L’environnement de gestion des identités et de l’authentification est une cible privilégiée des pirates numériques. Une étude confirme que certaines entreprises, dans tous les secteurs d'activité, continuent de ne pas combler les failles de sécurité de l'Active Directory (AD).

La prise de contrôle de l’Active Directory (AD), Azure AD (aujourd’hui Microsoft Entra ID) Okta et autres outils, est le graal qui permet d’accéder à une vaste palette de possibilités sur le système d’information d’une entreprise. L’AD recèle des données précieuses, préalables à une action malveillante, telles que des noms, numéros de téléphone, mots de passe, etc. ainsi que l’accès aux ressources (serveurs, volumes de stockage, imprimantes, etc.). Semperis a publié un rapport intéressant qui qualifie le niveau de protection de l’Active Directory selon un barème de notes sur une base de 100. Les notes collectées sont issues de l’analyse par des utilisateurs vérifiés de Purple Knight, l’outil d’analyse gratuit de Semperis. Première information, les grandes organisations sont les plus mal loties avec un score moyen de 63 sur 100.

Un score moyen de 72 sur 100 a été obtenu à partir des rapports initiaux, soit une faible note C, dans le cadre d'une enquête réalisée en 2023. Ce score global moyen est meilleur cette année que celui de l’année 2022 avec 61 %. Ces résultats montrent que les organisations ont toujours du mal à identifier et à traiter les vulnérabilités de sécurité concernant l’Active Directory. Ces données confirment le Digital Defense Report 2022 de Microsoft qui donnait le chiffre explicite de 88 % de ses clients touchés par des cyberincidents dus à une configuration AD non sécurisée.

Côté verre à moitié plein, 40 % des répondants à l’étude témoignent d’une amélioration de la sécurité de l’Active Directory. Ils seraient 64 % à témoigner d’un accroissement de la sécurité après avoir bénéficié des conseils d'un expert pour remédier à la situation, ce qui parait logique.

Tous les secteurs d’activité sont touchés

À l'exception notable du marché vertical de l'assurance dont le score est le plus faible avec une note de 66, la plupart des organisations ont déclaré des scores de sécurité entre 71 et 73 de l’Active Directory moyens et similaires. Elles appartiennent aux secteurs de la distribution, transport, infrastructures publiques, gouvernement, services financiers et santé.

Semperis estime que les organisations dont les scores de sécurité se situent autour d’une note de 70, ont encore un travail important pour combler les lacunes de sécurité. Ces entreprises sont fréquemment ciblées par les groupes de groupes de ransomwares tels que Vice Society, LockBit, BlackCat, Clop, et autres.

Les organisations obtiennent les résultats les plus faibles en matière de sécurité des comptes (Account security) . Ainsi, 55 % des répondants ont déclaré 5 indicateurs ou plus dans cette catégorie, devant l’infrastructure de l’AD (40 %) et la sécurité Kerberos (39 %).

Renforcer la protection de l’Active Directory

Cela n’arrive pas qu’aux autres, en 2022, Cisco, le géant des équipements réseau, a subi une attaque majeure. Le pirate, en lien avec les groupes Lapsus$, UNC2447 et Yanluowang, s’est introduit de manière durable dans le réseau, en élevant ses privilèges d’accès puis en cryptant et dérobant des données de l’entreprise pour compromettre l’Active Directory. Face aux risques, les organisations peuvent et doivent réduire la surface d'attaque AD afin d'éviter des incidents très pénalisants. Semperis recommande, sans surprises, son outil Purple Knight d’analyse des failles de l’Active Directory pour collecter et hiérarchiser les alertes. La correction des vulnérabilités et la configuration correcte de l’AD sont des actions de base que les équipe IT et sécurité doivent effectuer.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR