Vous souvenez-vous des débuts d’Active Directory (AD), quand personne ne le connectait à Internet ? Quand un simple antivirus sur vos ordinateurs et serveurs suffisait à protéger votre entreprise ? Quand la plus grosse menace qui pesait sur AD était un administrateur malveillant qui supprimerait quelque chose ou une personne avec trop de permissions qui changerait accidentellement une configuration ? Vous souvenez-vous de l’époque où l’on dormait bien la nuit ?
Il y a environ huit mois, j’ai été réveillé au beau milieu de la nuit par un ancien client qui avait été embauché par un nouvel employeur. “Don” m’a-t-il dit, “Notre AD a été crypté par un logiciel rançonneur. Nos sauvegardes ont été supprimées et nos contrôleurs de domaine ont été cryptés. Qu’est-ce qu’on doit faire ?”
Malheureusement, ce ne fut pas le premier (ni le dernier) appel de la sorte que je recevrais. En tant qu’experts s’occupant d’AD 24×7 pour de grandes entreprises, nous avons assisté à plusieurs reprises à la compromission d’Active Directory et nous avons été appelés de nombreuses fois pour le restaurer. Toutefois, nous avions chaque fois accès à une sauvegarde. Nous étions alors capables de nous connecter au réseau afin de remettre les contrôleurs de domaine en état de marche.
Aujourd’hui, les attaques par ransomware ont changé la donne.
Les règles ont changé
Les pirates passent dorénavant beaucoup plus de temps à l’intérieur de votre réseau. On parle de 50 jours en moyenne. Vous pourriez vous demander ce qu’ils font. Ils cherchent vos données importantes et les extraient très progressivement de votre réseau de sorte que vous ne vous rendiez même pas compte qu’ils sont en train de le faire. Ils se préparent également à crypter vos serveurs. Ils modifient et suppriment vos sauvegardes. Ils construisent des accès cachés dans vos systèmes et plus particulièrement dans AD. Enfin, ils infectent vos contrôleurs de domaine avec leurs différents outils.
Tout ça change fondamentalement la manière dont vous devez aborder la restauration d’AD.
Pourquoi cela change-t-il notre approche ?
Vous comprenez peut-être AD mieux que la plupart des gens mais je vais rester simple : récupérer AD quand vous ne pouvez pas vous connecter sur votre ordinateur est compliqué. Restaurer AD quand un logiciel malveillant est installé dans la sauvegarde de votre OS est vain. Restaurer une ancienne version d’AD est explosif. Restaurer AD quand vos sauvegardes ont été supprimées est impossible. Pour toutes ces raisons, vous avez besoin d’une nouvelle approche lorsqu’il s’agit de sauvegarder et restaurer votre AD.
Nous discutons régulièrement avec des personnes travaillant pour des entreprises ayant de solides plans de restauration. Ils répliquent (en temps réel ou en l’espace de quelques minutes) leurs serveurs et données (y compris AD) et sont capables d’en restaurer rapidement une ancienne version. C’est peut-être d’ailleurs votre cas. Cependant, est-ce que vos sauvegardes sont protégées ? Peuvent-elles être supprimées ou altérées ? Est-il toujours possible d’accéder à la console de restauration en cas de compromission d’AD ? Avez-vous pratiqué un scénario de terre brûlée avec AD afin de vous assurer de pouvoir le restaurer en quelques heures et non jours ? Si vous pouvez répondre affirmativement à toutes ces questions, vous avez sûrement déjà un plan de protection et de restauration spécifique pour AD. Félicitations ! Dans le cas contraire, nous avons quelques suggestions.
Comment aborder la restauration après sinistre d’Active Directory
Vous pouvez faire ces trois choses relativement simples :
- Protéger vos sauvegardes.
- Élaborer un processus de restauration et le tester.
- Définir un moyen temporaire permettant de réactiver la capacité de se connecter pendant que vous restaurez AD.
Pour ce faire, vous aurez besoin de plusieurs éléments. Tout d’abord, il vous faut un logiciel de sauvegarde spécifique à AD qui ne va pas sauvegarder le logiciel rançonneur présent dans votre système d’exploitation. Puis, il vous faut des personnes très habiles et spécialisées dans AD. Ensuite, vous devrez avoir un environnement de restauration hermétique au sein duquel vous pourrez temporairement restaurer AD et les services qui y sont associés et les faire tourner. Dans le même temps, il vous faudra remettre en ligne le reste de votre infrastructure et vos applications et restaurer vos contrôleurs de domaine de production. Après ça, vous devrez protéger cet environnement hermétique afin de vous assurer que personne ne supprime ou n’altère vos sauvegardes. Enfin, vous devrez pratiquer vos scénarios de restauration plusieurs fois par an pour que votre équipe soit toujours prête en cas d’attaque. Facile, non ?
Ce n’est pas tout
Évidemment, se remettre d’une attaque par ransomware est nettement plus complexe que la seule restauration d’AD. Toutefois, si vos employés peuvent se connecter et accéder à leurs applications (Microsoft 365, Teams, SharePoint), ils peuvent se remettre à travailler et vous pouvez vous concentrer sur la restauration d’applications essentielles à vos activités. Un plan de restauration spécifique à AD n’est qu’un composant parmi tant d’autres de votre stratégie de sécurité. Néanmoins, il joue un rôle capital. Si vos employés peuvent se remettre au travail, une pression substantielle est enlevée des épaules de votre département TI, lequel peut se concentrer sur la restauration d’autres systèmes d’une importance critique. Par contre, si vos employés ne peuvent pas se connecter, ils ne peuvent pas accéder à leurs applications et ne peuvent pas travailler, quand bien même ces applications auraient été restaurées préalablement. À méditer.
Discutons
Partagez avec nous ce que vous avez fait pour protéger votre AD ou contactez-nous si vous avez besoin d’aide à ce propos. Il existe des moyens rapides et économiques d’obtenir un plan et de le configurer. Pour en apprendre plus sur notre service, visitez notre page de service Solution proactive de restauration d’Active Directory.
À propos d’Itergy
Itergy surveille et gère Active Directory dans 65 pays, 24h/24 et 7j/7 pour le compte de ses clients depuis plus de 20 ans. Certains de nos services Active Directory et services gérés AD incluent des bilans de santé, des conseils stratégiques, des migrations, des consolidations, des fusions et acquisitions et des cessions, ainsi que la reprise après sinistre d’Active Directory.
Nous faisons d’Active Directory l’application agile, sécurisée et mature qu’elle était censée être, celle dont votre entreprise a besoin pour réussir dans toutes ses opérations commerciales.