Utiliser Active Directory pour la gouvernance de l’accès aux données

« L’identité est le nouveau périmètre »

Peut-être avez-vous déjà entendu une phrase semblable à celle-là, soit dans une présentation Microsoft ou sur les médias sociaux. Simple, mais quelque peu obscure, cette idée fait allusion à notre monde axé sur le Cloud et les technologies mobiles. Il est important que vous en compreniez la signification et, surtout, que sachiez agir en conséquence.

Pour être plus clair, ce concept signifie que les formes traditionnelles de cyberdéfense, comme les pare-feux et autres périmètres de sécurité, ne sont pas d’une grande utilité dans les environnements de TI actuels, où les frontières sont assez floues. Au cours des dernières années, la plupart des compagnies ont dû implanter leurs stratégies antivirus et antipourriel à l’extérieur de leurs espaces de travail physiques pour atteindre leurs objectifs de sécurité. Dans un même ordre d’idées, les entreprises doivent désormais repenser leurs stratégies de défense de A à Z; ceci inclut l’identification des individus et des appareils qui tentent d’accéder aux données d’entreprise, sans oublier l’état desdits appareils.

Déterminez quelles données vous voulez protéger

Si vous n’avez pas déjà établi clairement quelles données vous voulez protéger, vous devrez déployer des outils pour vous aider à le faire, particulièrement pour les données non structurées qui se trouvent dans des systèmes de partage de fichiers, des sites SharePoint, et ainsi de suite. Ce sujet pourra être abordé en détail dans un autre billet.

Comment Active Directory peut vous aider avec la gouvernance de l’accès aux données

Active Directory stocke trois grands types d’objets :

  1. Les comptes d’utilisateurs, qui représentent les identités dans l’univers Microsoft
  2. Les groupes de sécurité, qui gouvernent l’accès aux données et aux applications
  3. Les comptes d’ordinateurs, qui déterminent quels comptes utilisateurs peuvent accéder aux ressources, et de quelle façon.

Ces types d’objets constituent les Principes de sécurité (« Security Principals ») d’Active Directory, et vous devez les gérer avec le plus grand soin afin de bien protéger vos données.

Portée

Les informations de ce billet concernent les services de domaine Active Directory (AD DS, Active Directory Domain Services) pour les types de déploiements suivants :

  • Déploiement sur place seulement
  • Déploiement hybride (sur place et dans le Cloud)
  • Déploiement dans le Cloud seulement, à l’aide du modèle IaaS (« Infrastructure as a Service ») ou PaaS (« Platform as a Service »).

Cette information ne concerne pas les déploiements effectués entièrement dans le Cloud qui utilisent le modèle SaaS (« Software as a Service), mais des recommandations équivalentes s’appliqueront dans ce cas.

Analyse des cybermenaces

Les Principes de sécurité (c.-à-d. les comptes utilisateurs, groupes de sécurité et comptes d’ordinateurs) constituent le point de départ de la protection des données dans Active Directory. En outre, vous devez bien comprendre les menaces auxquelles vous êtes confronté. L’époque des pirates informatiques amateurs ou des simples interruptions de service semble révolue (mais ces menaces ne doivent pas être complètement ignorées, comme en témoignent les événements récents au Royaume-Uni). Les environnements de TI mal sécurisés sont une véritable mine d’or pour les organisations criminelles. Les cybercriminels souhaitent extraire vos données et demeurer incognito dans votre système le plus longtemps possible (de nos jours, les attaquants restent en moyenne 200 jours dans le réseau d’une victime avant d’être détectés. Dans son entrevue de 2014 à l’émission 60 Minutes, James Comey, le directeur du FBI, disait qu’il existait deux types de grandes entreprises : celles qui ont été victimes de piratage, et celles qui ne savent pas qu’elles ont été victimes de piratage). Les malfaiteurs ont tendance à cibler les comptes avec des privilèges d’administrateur ou ceux qui n’ont pas été utilisés récemment (autrement dit, les comptes inactifs). Une fois qu’ils ont pris le contrôle de ces comptes, ils tentent ensuite d’accroître leurs privilèges.

Vous pensez peut-être que vos mesures de sécurité sont infaillibles, mais il y a fort à parier que votre système présente des failles. Peut-être que vos utilisateurs cliquent sur des liens ou ouvrent des documents joints dans des courriels non sollicités ou encore que vos employés utilisent leurs ordinateurs portables à la maison d’une manière imprévue. Ce ne sont là que quelques exemples des menaces continues qui existent au sein de votre société. Vous devez présupposer que des inconnus et des gens que vous ne voulez pas dans votre réseau vont tenter d’accéder à vos données par tous les moyens possibles. Il se peut même que ce soit déjà le cas, d’où la nécessité d’exercer une vigilance extrême, en utilisant des systèmes automatisés, lorsque possible.

Le rôle des services de domaine Active Directory

Dans un environnement Microsoft hybride ou sur site, les comptes d’utilisateurs et appareils sont stockés dans Active Directory. La gouvernance des accès pour les identités est contrôlée par les membres des groupes de sécurité Active Directory, qui sont gérés sur site et dupliqués dans Azure Active Directory. L’accès à partir des appareils mobiles est contrôlé dans Microsoft Intune (d’autres solutions de gestion des appareils mobiles sont disponibles, mais Intune est celle qui s’intègre le mieux avec Active Directory et System Center Configuration Manager).

Si vos données étaient stockées dans les coffres d’une chambre forte, vous auriez besoin d’entrer dans la chambre forte et d’avoir une clé pour accéder à vos coffres. C’est le personnel de sécurité qui vous donnerait cet accès. Ce système est l’équivalent d’un compte d’utilisateur dans Active Directory. Ce compte sert à vous identifier (authentification) et à vous accorder le droit d’être membre d’un groupe de sécurité qui gouverne l’accès aux données (autorisation). Le personnel de sécurité de la chambre forte correspond aux utilisateurs membres des groupes privilégiés dans Active Directory. Vous devez donc faire preuve d’une grande vigilance en déterminant quelles personnes auront accès à la chambre forte (les gens ayant des comptes d’utilisateurs Active Directory) et qui aura les clés des coffres (les membres des groupes de sécurité). Par-dessus tout, vous devez vous assurer que vous pouvez faire confiance à votre personnel de sécurité (membres des groupes privilégiés), puisque ces gens ont le contrôle absolu sur tout!

Protection des comptes

Comment faire, alors, pour protéger le contenu de vos coffres, maintenant et dans le futur? La solution simple ne consiste pas à embaucher un personnel de sécurité! Optez plutôt pour la gestion des comptes privilégiés (PAM) en mode juste à temps. De cette façon, l’accès administrateur à Active Directory est accordé uniquement lorsque nécessaire et le moins longtemps possible, sous réserve d’une approbation. C’est un peu comme si vous alliez à la banque pour ouvrir un coffre fort, car un membre du personnel de sécurité doit vous donner accès à la chambre forte à un moment précis et pour une période de temps limitée.

Outre la configuration PAM, vous devez exercer un contrôle rigoureux des accès aux groupes d’administration de la sécurité et de l’attribution des membres à ces groupes. Dans Active Directory, ces groupes comprennent les Administrateurs du domaine (Domain Admins) et les Administrateurs de l’entreprise (Enterprise Admins). Considérez les membres d’un groupe d’administration de la sécurité Active Directory comme le personnel d’une banque qui possède la clé passe-partout : non seulement ces individus peuvent-ils entrer dans la chambre forte, mais ils peuvent aussi ouvrir n’importe quel coffre qui s’y trouve. En contrôlant l’accès aux groupes de sécurité et l’attribution des membres, vous luttez contre les tentatives des attaquants qui cherchent à accroître les privilèges des comptes qu’ils ont compromis.

Le rôle de la gestion des identités pour la gouvernance de l’accès aux données

Lorsque des comptes inactifs sont compromis, cela peut entraîner des problèmes supplémentaires si les membres des groupes de sécurité contenant les comptes inactifs peuvent être utilisés pour accéder aux données. Ici vous devez donc vous protéger contre deux risques : les comptes inactifs et les membres des groupes de sécurité qui n’ont plus raison d’y être. Assurez-vous que les comptes qui existent dans votre environnement Active Directory doivent bel et bien s’y trouver, et vérifiez cette information de manière constante, pas seulement une fois. La façon la plus simple de le faire est de mettre en place une solution de gestion des identités, qui permet de synchroniser vos comptes d’utilisateurs (et possiblement vos groupes de sécurité) entre vos ressources humaines et vos systèmes de gestion des fournisseurs et Active Directory. Bien sûr, il est fort probable que vous ayez à effectuer un exercice de nettoyage au préalable.

Vous devez fournir une identification adéquate à la banque pour entrer dans la chambre forte et accéder à votre coffre. De la même façon, vous devez savoir qui accède à vos données et si ces personnes ont le droit de le faire, et vous devez vous assurer que ces personnes ne sont pas des imposteurs. D’autre part, vous devez assurer un suivi des permissions et identités de vos utilisateurs, surtout quand des employés sont embauchés, quand ils quittent l’entreprise ou qu’ils changent de poste.

Protection des membres des groupes de sécurité

La meilleure façon d’assurer que les membres des groupes de sécurité sont adéquatement gérés est d’automatiser leur contrôle, dans le cadre de votre stratégie de gestion des identités. La plupart des solutions de gestion des identités permettent aux administrateurs d’appliquer des règles très complexes à la gestion des membres (p. ex. attribuer un utilisateur à un groupe précis si cet utilisateur fait partie du Service comptable, s’il est dans la région de l’Ouest et si son poste comprend les mots « comptes débiteurs »). Une telle automatisation suffira jusqu’à ce que vous soyez en mesure d’implanter une solution de contrôle des accès en fonction des rôles ainsi qu’une solution de demande et d’approbation des accès pour les ressources.

Contrôle temporel des objets pour la gouvernance de l’accès aux données

Comme mesure de sécurité supplémentaire, vous devriez configurer tous les objets de votre environnement Active Directory de façon à ce qu’ils aient un propriétaire/gestionnaire et qu’ils comportent une limite de temps (c.-à-d. qu’ils soient créés avec une date de fin). La plupart des solutions de gestion des identités comportent cette fonctionnalité. Lorsque vous l’appliquez aux fournisseurs, la durée de leur contrat détermine la date de fin de leur accès; pour les employés réguliers, la date de fin peut donner lieu à l’évaluation de fin d’année; et pour les groupes, la date de fin peut servir à confirmer que le groupe est toujours nécessaire et que les membres sont valides.

De plus, les solutions de gestion des identités peuvent déclencher des flux de travail visant le propriétaire/gestionnaire d’un objet, à des périodes définies avant « l’expiration » de l’objet. Si le propriétaire/gestionnaire n’agit pas, la solution de gestion de l’identité peut automatiquement désactiver le compte Active Directory d’un utilisateur ou d’un fournisseur, supprimer un groupe de distribution et vider les membres d’un groupe de sécurité. Cette solution s’avère sensée, en attendant de mettre en place une solution d’attestation (ou de « re-certification ») en bonne et due forme.

Le rôle des solutions SIEM et de l’analyse avancée des menaces

Une fois que vous avez effectué toutes les autres étapes détaillées dans ce billet, vous devez songer à mettre en place une solution SIEM (gestion d’information et d’événements de sécurité) pour surveiller et signaler toute activité inhabituelle dans votre environnement de TI; les vérifications manuelles ne sont tout simplement pas suffisantes. Depuis que Microsoft a acquis Adallom, dans le cadre de son initiative d’analyse avancée des menaces, la compagnie peut assurer cette protection pour ses services Cloud, et ce, à l’échelle mondiale.

Perspectives d’avenir pour la gouvernance de l’accès aux données

Les conseils prodigués dans ce billet vont assurément changer au cours des mois et des années à venir, à mesure que Microsoft développe ses outils d’automatisation dans le Cloud, et qu’Azure Active Directory Connect devient capable de se connecter à d’autres sources de données, comme les systèmes de RH, les bases de données et les annuaires LDAP, au lieu d’être limité à l’environnement Active Directory sur site. Pour l’instant, nous vous conseillons d’utiliser les services de domaine Active Directory sur votre site aux fins de gouvernance. De plus, les modifications apportées aux comptes d’utilisateurs et aux membres de groupes devraient être synchronisées avec le Cloud.

Conclusion

À l’heure actuelle, il est sensé d’utiliser vos services de domaine Active Directory en tant que stratégie pour la gouvernance de l’accès à vos données, tant celles qui résident dans votre site que dans le Cloud. Dans ce monde axé sur le Cloud et les technologies mobiles, l’identité constitue manifestement le nouveau mode de périmètre, et sa protection repose sur l’automatisation de la sécurité à tous les niveaux.

 


TAGS:

    Contactez un expert