Ignorez-vous cet élément essentiel de votre stratégie de cybersécurité ?

Employé se connectant depuis une sauvegarde Active Directory

Plus de 90 % des entreprises utilisent Active Directory (AD). Pourtant, la plupart d’entre elles n’ont pas mis en place de plan de restauration après une cyberattaque. 

Active Directory est utilisé pour gérer l’accès aux ressources du réseau. En d’autres termes, il détient les clés de votre royaume et doit donc fonctionner en permanence. En effet, une fois qu’ils ont mis le pied dans la porte, ils cherchent des moyens d’accéder à vos actifs les plus précieux. 

Lorsqu’AD est crypté par un logiciel malveillant, vous êtes alors bloqué hors de votre propre système et votre entreprise ne peut plus être fonctionnelle. 

Dans un contexte où le nombre de cyberattaques ne cesse d’augmenter, le risque ne fait que s’accroitre. L’Autorité canadienne des enregistrements Internet (ACEI) a d’ailleurs indiqué dans sa dernière enquête sur la cybersécurité que « La pandémie a bouleversé le paysage de la cybersécurité au Canada. » Selon celle-ci, 36 % des organisations canadiennes ont été confrontées à un nombre d’attaques plus important durant la pandémie. 

Désormais, une armée de pirates informatiques se lance dans l’aventure, car les professionnels vendent leurs plateformes sur le marché libre. 

Qu’est-ce que cela signifie en termes de menace pour Active Directory ? 

Le récent rapport de recherche A.U.S. a démontré que la moitié des organisations interrogées ont subi une attaque sur AD au cours des deux dernières années. Pire encore, 40% d’entre elles ont affirmé que l’attaque a abouti. 

Cela souligne bien l’importance de mettre en place un plan pour restaurer AD en cas d’attaque. En effet, c’est la première chose dont vous aurez besoin pour reprendre vos activités. 

Pourquoi les sauvegardes conventionnelles ne suffisent-elles pas ? 

Vous pensez peut-être que ce problème ne vous concerne pas parce que vous avez des sauvegardes de votre Active Directory. 

Pour plusieurs raisons, ce n’est malheureusement pas si simple. 

En général, les cybercriminels passent un certain temps, parfois des mois, sur votre réseau, leur permettant ainsi de trouver et supprimer vos sauvegardes. Il vous est alors plus difficile de restaurer et vos chances de devoir payer les criminels se voient nettement augmentées. 

Vous pourriez toujours vous dire : « Pas de problème, mon Active Directory est sauvegardé dans le cloud. » Cependant, la vérité est qu’il n’est pas spécialement plus en sécurité dans le cloud. Effectivement, l’accès à AD fournira très probablement aux criminels les informations d’identification permettant d’accéder également au cloud. 

De plus, même si vous parvenez à restaurer la sauvegarde, ce sera au terme d’un processus long et ardu. En effet, la Chambre de commerce américaine indique que le temps d’arrêt moyen pour ce type d’attaques est de 21 jours. 

Il n’est pas excessivement difficile de restaurer la sauvegarde d’un seul contrôleur de domaine. Toutefois, ce n’est pas la même chose que de restaurer l’ensemble de la forêt AD dans la mesure où celle-ci est le niveau supérieur d’AD et contient les domaines, les utilisateurs, les ordinateurs et les stratégies de groupe. Sa restauration constitue donc un processus compliqué et forcément manuel.   

Je me souviens d’avoir participé à une conférence téléphonique où une trentaine de personnes essayaient de déterminer comment restaurer leur Active Directory après que celui-ci avait été attaqué. Ce n’est évidemment pas à ce moment-là de parler des actions à poser. De fait, vous voulez plutôt avoir un plan prédéfini en place. 

Pourtant, ces situations se produisent encore trop souvent. Vous n’entendrez peut-être pas toujours ce niveau de détail, mais Active Directory a été impliqué dans de nombreuses cyberattaques qui ont fait la une de l’actualité. Par exemple, aux États-Unis, Semperis a récemment indiqué qu’AD constituait l’enjeu principal dans l’attaque Solar Winds qui a touché des milliers d’entreprises et d’organismes gouvernementaux. Dans le cas de cette attaque, les cybercriminels ont pu accéder aux ressources du cloud après avoir pris le contrôle d’Active Directory. Vous vous doutez bien que personne ne veut faire la une des journaux pour cette raison. 

Ce que votre plan de restauration d’Active Directory doit inclure   

L’élaboration d’un plan de restauration d’Active Directory est souvent négligée. Effectivement, un sondage réalisé par le SANS Institute rapporte que « seule une organisation sur cinq a mis en place un plan testé pour la restauration d’AD après une cyberattaque. » 

Ce n’est malheureusement pas une surprise. On pourrait comparer AD à la tuyauterie dans un édifice : la plupart des gens n’y pensent pas parce qu’elle fonctionne de manière invisible. 

À quoi devriez-vous alors penser ? 

Il est essentiel que votre entreprise dispose d’une solution qui traite les sauvegardes d’AD séparément des autres systèmes afin qu’elles ne soient pas accessibles depuis votre environnement actuel. À cet égard, l’automatisation est essentielle afin que vous puissiez activer la sauvegarde relative à un moment précis en quelques heures, et non en quelques jours. 

Enfin, et je ne saurais trop insister sur ce point, la restauration de vos sauvegardes doit être testée au moins tous les trois mois. De plus, ces tests doivent être vérifiés au niveau de la direction.  

Les cyberattaques sont devenues un élément avec lequel il n’y a pas le choix de composer. En fin de compte, le plus important est donc que vous sachiez comment remettre votre entreprise sur pieds le plus rapidement possible. Consultez notre article 12 considérations importantes pour la restauration d’Active Directory après une attaque par rançongiciel pour plus d’informations.

Contactez-nous pour discuter de la manière dont vous pouvez garantir une restauration rapide d’AD si vous êtes victime d’une cyberattaque. 

Apprenez-en davantage sur notre solution proactive de sauvegarde et de restauration d’Active Directory.

Martin Fitzsimons est le vice-président des services aux entreprises chez Itergy.

À propos d’Itergy

Itergy surveille, gère et restaure Active Directory dans 65 pays, 24h/24 et 7j/7 pour le compte de ses clients depuis plus de 20 ans. Certains de nos services Active Directory et services gérés AD incluent des bilans de santé, des conseils stratégiques, des migrationsdes consolidations, des fusions et acquisitions et des cessions, ainsi que la reprise après sinistre d’Active Directory.

Nous faisons d’Active Directory l’application agile, sécurisée et mature qu’elle était censée être, celle dont votre entreprise a besoin pour réussir dans toutes ses opérations commerciales.




    Contactez un expert