Cependant, un récent rapport de cybersécurité met en lumière un risque croissant : après plusieurs années d’utilisation, de nombreuses entreprises présentent des erreurs de configuration ou des failles non corrigées dans leur infrastructure AD. Ces vulnérabilités offrent une porte d’entrée aux cyberattaquants, qui peuvent alors élever leurs privilèges, se déplacer latéralement au sein du réseau, accéder à des données sensibles, et maintenir une présence furtive.
L'Active Directory : Une cible privilégiée des cybercriminels
L'AD est souvent exploité par les attaquants après une première brèche. Ils l'utilisent pour cartographier l'environnement informatique de la cible. Ils analysent la structure, les configurations et les relations internes propres à chaque entreprise. Parfois, ils maîtrisent l'environnement AD mieux que les administrateurs eux-mêmes.Des attaques majeures, comme celles perpétrées par Midnight Blizzard contre Microsoft, par Cozy Bear contre TeamViewer, ou par le groupe Black Basta via des ransomwares, illustrent cette exploitation. Leur objectif ? L'exfiltration de données sensibles.
La migration vers le cloud : Une solution limitée
Face aux défis de sécurité posés par l'AD, certaines entreprises envisagent une migration complète vers des solutions cloud. Si cela peut convenir aux petites entreprises, cette transition reste complexe et onéreuse pour les grandes organisations. Repenser entièrement la gestion des identités et des accès, répondre aux exigences réglementaires, gérer le temps d'adaptation et minimiser les perturbations opérationnelles sontautant de défis.
Renforcer la gouvernance et adopter des bonnes pratiques
Le manque de gouvernance historique a fortement fragilisé l'AD. Au fil des années, les administrateurs se succèdent, les priorités changent, et des raccourcis sont pris dans l'attribution des droits. Les fusions-acquisitions complexifient davantage la situation. Cela entraîne une accumulation de permissions obsolètes, de configurations incohérentes et de comptes sensibles laissés sans surveillance. Ce manque de visibilité expose les entreprises à des attaques.Pour contrer ces risques, plusieurs actions s'imposent. Il est crucial de sécuriser les comptes administrateurs de domaine et de limiter l'utilisation des comptes à privilèges élevés. L'utilisation de stations de travail administratives sécurisées (SAW) est recommandée, tout comme la désactivation des comptes administrateurs locaux et l'usage de comptes de service gérés (MSA). La suppression des comptes inutilisés et la gestion active des patchs et des vulnérabilités sont également essentielles.
En parallèle, il est impératif de remédier aux faiblesses structurelles fréquemment observées dans les environnements AD. Celles-ci incluent des politiques de mots de passe insuffisantes, l'absence d'authentification multifactorielle (MFA), de mauvaises configurations, des systèmes obsolètes et les menaces internes.
Une approche proactive pour sécuriser les Active Directories
Pour faire face aux menaces croissantes, les entreprises doivent adopter une stratégie proactive. Elles peuvent s'appuyer sur des outils d'Identity Threat Detection and Response (ITDR). Ces solutions sont capables de détecter, prioriser et corriger les vulnérabilités et erreurs de configuration en temps réel. Lorsqu'elles sont intégrées à des systèmes de gestion des accès à privilèges (PAM), elles offrent une vision complète et centralisée de la posture de sécurité liée aux identités.La sécurisation de l'AD est bien plus qu'un enjeu technique. C'est une priorité stratégique pour garantir la résilience des systèmes, protéger les données sensibles et faire face à des cybermenaces de plus en plus sophistiquées.
Par Xavier Daspre, Directeur Technique France chez Proofpoint
