{"id":187,"date":"2015-11-18T23:01:31","date_gmt":"2015-11-18T23:01:31","guid":{"rendered":"http:\/\/itergy.com\/blog\/fr\/?p=187"},"modified":"2015-11-18T23:01:31","modified_gmt":"2015-11-18T23:01:31","slug":"utiliser-active-directory-pour-la-gouvernance-de-lacces-aux-donnees","status":"publish","type":"blog","link":"https:\/\/itergy.com\/fr\/blogue\/utiliser-active-directory-pour-la-gouvernance-de-lacces-aux-donnees\/","title":{"rendered":"Utiliser Active Directory pour la gouvernance de l\u2019acc\u00e8s aux donn\u00e9es"},"content":{"rendered":"<h2>\u00ab\u00a0L\u2019identit\u00e9 est le nouveau p\u00e9rim\u00e8tre \u00bb<\/h2>\n<p>Peut-\u00eatre avez-vous d\u00e9j\u00e0 entendu une phrase semblable \u00e0 celle-l\u00e0, soit dans une pr\u00e9sentation Microsoft ou sur les m\u00e9dias sociaux. Simple, mais quelque peu obscure, cette id\u00e9e fait allusion \u00e0 notre monde ax\u00e9 sur le Cloud et les technologies mobiles. Il est important que vous en compreniez la signification et, surtout, que sachiez agir en cons\u00e9quence.<\/p>\n<p>Pour \u00eatre plus clair, ce concept signifie que les formes traditionnelles de cyberd\u00e9fense, comme les pare-feux et autres p\u00e9rim\u00e8tres de s\u00e9curit\u00e9, ne sont pas d\u2019une grande utilit\u00e9 dans les environnements de TI actuels, o\u00f9 les fronti\u00e8res sont assez floues. Au cours des derni\u00e8res ann\u00e9es, la plupart des compagnies ont d\u00fb implanter leurs strat\u00e9gies antivirus et antipourriel \u00e0 l\u2019ext\u00e9rieur de leurs espaces de travail physiques pour atteindre leurs objectifs de s\u00e9curit\u00e9. Dans un m\u00eame ordre d\u2019id\u00e9es, les entreprises doivent d\u00e9sormais repenser leurs strat\u00e9gies de d\u00e9fense de A \u00e0 Z; ceci inclut <a href=\"http:\/\/itergy.com\/fr\/services\/consultation-et-gestion-de-projets\/gestion-des-acces-et-identites\/\">l\u2019identification des individus<\/a> et <a href=\"http:\/\/itergy.com\/fr\/services\/consultation-et-gestion-de-projets\/gestion-des-appareils-mobiles\/\">des appareils<\/a> qui tentent d\u2019acc\u00e9der aux donn\u00e9es d\u2019entreprise, sans oublier l\u2019\u00e9tat desdits appareils.<\/p>\n<h2>D\u00e9terminez quelles donn\u00e9es vous voulez prot\u00e9ger<\/h2>\n<p>Si vous n\u2019avez pas d\u00e9j\u00e0 \u00e9tabli clairement quelles donn\u00e9es vous voulez prot\u00e9ger, vous devrez d\u00e9ployer des outils pour vous aider \u00e0 le faire, particuli\u00e8rement pour les donn\u00e9es non structur\u00e9es qui se trouvent dans des syst\u00e8mes de partage de fichiers, des sites SharePoint, et ainsi de suite. Ce sujet pourra \u00eatre abord\u00e9 en d\u00e9tail dans un autre billet.<\/p>\n<h2>Comment Active Directory peut vous aider avec la gouvernance de l\u2019acc\u00e8s aux donn\u00e9es<\/h2>\n<p>Active Directory stocke trois grands types d\u2019objets\u00a0:<\/p>\n<ol>\n<li>Les comptes d\u2019utilisateurs, qui repr\u00e9sentent les identit\u00e9s dans l\u2019univers Microsoft<\/li>\n<li>Les groupes de s\u00e9curit\u00e9, qui gouvernent l\u2019acc\u00e8s aux donn\u00e9es et aux applications<\/li>\n<li>Les comptes d\u2019ordinateurs, qui d\u00e9terminent quels comptes utilisateurs peuvent acc\u00e9der aux ressources, et de quelle fa\u00e7on.<\/li>\n<\/ol>\n<p>Ces types d\u2019objets constituent les Principes de s\u00e9curit\u00e9 (\u00ab\u00a0Security Principals\u00a0\u00bb) d\u2019Active Directory, et vous devez les g\u00e9rer avec le plus grand soin afin de bien prot\u00e9ger vos donn\u00e9es.<\/p>\n<h2>Port\u00e9e<\/h2>\n<p>Les informations de ce billet concernent les services de domaine Active Directory (AD\u00a0DS, Active Directory Domain Services) pour les types de d\u00e9ploiements suivants\u00a0:<\/p>\n<ul>\n<li>D\u00e9ploiement sur place seulement<\/li>\n<li>D\u00e9ploiement hybride (sur place et dans le Cloud)<\/li>\n<li>D\u00e9ploiement dans le Cloud seulement, \u00e0 l\u2019aide du mod\u00e8le IaaS (\u00ab\u00a0Infrastructure as a Service\u00a0\u00bb) ou PaaS (\u00ab\u00a0Platform as a Service\u00a0\u00bb).<\/li>\n<\/ul>\n<p>Cette information ne concerne pas les d\u00e9ploiements effectu\u00e9s enti\u00e8rement dans le Cloud qui utilisent le mod\u00e8le SaaS (\u00ab\u00a0Software as a Service), mais des recommandations \u00e9quivalentes s\u2019appliqueront dans ce cas.<\/p>\n<h2>Analyse des cybermenaces<\/h2>\n<p>Les Principes de s\u00e9curit\u00e9 (c.-\u00e0-d. les comptes utilisateurs, groupes de s\u00e9curit\u00e9 et comptes d\u2019ordinateurs) constituent le point de d\u00e9part de la protection des donn\u00e9es dans Active Directory. En outre, vous devez bien comprendre les menaces auxquelles vous \u00eates confront\u00e9. L\u2019\u00e9poque des pirates informatiques amateurs ou des simples interruptions de service semble r\u00e9volue (mais ces menaces ne doivent pas \u00eatre compl\u00e8tement ignor\u00e9es, comme en t\u00e9moignent les \u00e9v\u00e9nements r\u00e9cents au Royaume-Uni). Les environnements de TI mal s\u00e9curis\u00e9s sont une v\u00e9ritable mine d\u2019or pour les organisations criminelles. Les cybercriminels souhaitent extraire vos donn\u00e9es et demeurer incognito dans votre syst\u00e8me le plus longtemps possible (de nos jours, les attaquants restent en moyenne 200 jours dans le r\u00e9seau d\u2019une victime avant d\u2019\u00eatre d\u00e9tect\u00e9s. Dans son entrevue de 2014 \u00e0 l\u2019\u00e9mission <em>60 Minutes, <\/em>James Comey, le directeur du FBI, disait qu\u2019il existait deux types de grandes entreprises\u00a0: celles qui ont \u00e9t\u00e9 victimes de piratage, et celles qui ne savent pas qu\u2019elles ont \u00e9t\u00e9 victimes de piratage). Les malfaiteurs ont tendance \u00e0 cibler les comptes avec des privil\u00e8ges d\u2019administrateur ou ceux qui n\u2019ont pas \u00e9t\u00e9 utilis\u00e9s r\u00e9cemment (autrement dit, les comptes inactifs). Une fois qu\u2019ils ont pris le contr\u00f4le de ces comptes, ils tentent ensuite d\u2019accro\u00eetre leurs privil\u00e8ges.<\/p>\n<p>Vous pensez peut-\u00eatre que vos mesures de s\u00e9curit\u00e9 sont infaillibles, mais il y a fort \u00e0 parier que votre syst\u00e8me pr\u00e9sente des failles. Peut-\u00eatre que vos utilisateurs cliquent sur des liens ou ouvrent des documents joints dans des courriels non sollicit\u00e9s ou encore que vos employ\u00e9s utilisent leurs ordinateurs portables \u00e0 la maison d\u2019une mani\u00e8re impr\u00e9vue. Ce ne sont l\u00e0 que quelques exemples des menaces continues qui existent au sein de votre soci\u00e9t\u00e9. Vous devez pr\u00e9supposer que des inconnus et des gens que vous ne voulez pas dans votre r\u00e9seau vont tenter d\u2019acc\u00e9der \u00e0 vos donn\u00e9es par tous les moyens possibles. Il se peut m\u00eame que ce soit d\u00e9j\u00e0 le cas, d\u2019o\u00f9 la n\u00e9cessit\u00e9 d\u2019exercer une vigilance extr\u00eame, en utilisant des<a href=\"http:\/\/itergy.com\/fr\/services\/services-geres\/gestion-active-directory\/\"> syst\u00e8mes automatis\u00e9s<\/a>, lorsque possible.<\/p>\n<h2>Le r\u00f4le des services de domaine Active Directory<\/h2>\n<p>Dans un environnement Microsoft hybride ou sur site, les comptes d\u2019utilisateurs et appareils sont stock\u00e9s dans Active Directory. La gouvernance des acc\u00e8s pour les identit\u00e9s est contr\u00f4l\u00e9e par les membres des groupes de s\u00e9curit\u00e9 Active Directory, qui sont g\u00e9r\u00e9s sur site et dupliqu\u00e9s dans Azure Active Directory. L\u2019acc\u00e8s \u00e0 partir des appareils mobiles est contr\u00f4l\u00e9 dans <a href=\"http:\/\/itergy.com\/fr\/services\/consultation-et-gestion-de-projets\/gestion-des-appareils-mobiles\/\">Microsoft Intune<\/a> (d\u2019autres solutions de gestion des appareils mobiles sont disponibles, mais Intune est celle qui s\u2019int\u00e8gre le mieux avec Active Directory et System Center Configuration Manager).<\/p>\n<p>Si vos donn\u00e9es \u00e9taient stock\u00e9es dans les coffres d\u2019une chambre forte, vous auriez besoin d\u2019entrer dans la chambre forte et d\u2019avoir une cl\u00e9 pour acc\u00e9der \u00e0 vos coffres. C\u2019est le personnel de s\u00e9curit\u00e9 qui vous donnerait cet acc\u00e8s. Ce syst\u00e8me est l\u2019\u00e9quivalent d\u2019un compte d\u2019utilisateur dans Active Directory. Ce compte sert \u00e0 vous identifier (authentification) et \u00e0 vous accorder le droit d\u2019\u00eatre membre d\u2019un groupe de s\u00e9curit\u00e9 qui gouverne l\u2019acc\u00e8s aux donn\u00e9es (autorisation). Le personnel de s\u00e9curit\u00e9 de la chambre forte correspond aux utilisateurs membres des groupes privil\u00e9gi\u00e9s dans Active Directory. Vous devez donc faire preuve d\u2019une grande vigilance en d\u00e9terminant quelles personnes auront acc\u00e8s \u00e0 la chambre forte (les gens ayant des comptes d\u2019utilisateurs Active Directory) et qui aura les cl\u00e9s des coffres (les membres des groupes de s\u00e9curit\u00e9). Par-dessus tout, vous devez vous assurer que vous pouvez faire confiance \u00e0 votre personnel de s\u00e9curit\u00e9 (membres des groupes privil\u00e9gi\u00e9s), puisque ces gens ont le contr\u00f4le absolu sur tout!<\/p>\n<h2>Protection des comptes<\/h2>\n<p>Comment faire, alors, pour prot\u00e9ger le contenu de vos coffres, maintenant et dans le futur? La solution simple ne consiste pas \u00e0 embaucher un personnel de s\u00e9curit\u00e9! Optez plut\u00f4t pour la gestion des comptes privil\u00e9gi\u00e9s (PAM) en mode juste \u00e0 temps. De cette fa\u00e7on, l\u2019acc\u00e8s administrateur \u00e0 Active Directory est accord\u00e9 uniquement lorsque n\u00e9cessaire et le moins longtemps possible, sous r\u00e9serve d\u2019une approbation. C\u2019est un peu comme si vous alliez \u00e0 la banque pour ouvrir un coffre fort, car un membre du personnel de s\u00e9curit\u00e9 doit vous donner acc\u00e8s \u00e0 la chambre forte \u00e0 un moment pr\u00e9cis et pour une p\u00e9riode de temps limit\u00e9e.<\/p>\n<p>Outre la configuration PAM, vous devez exercer un contr\u00f4le rigoureux des acc\u00e8s aux groupes d\u2019administration de la s\u00e9curit\u00e9 et de l\u2019attribution des membres \u00e0 ces groupes. Dans Active Directory, ces groupes comprennent les Administrateurs du domaine (Domain Admins) et les Administrateurs de l\u2019entreprise (Enterprise Admins). Consid\u00e9rez les membres d\u2019un groupe d\u2019administration de la s\u00e9curit\u00e9 Active Directory comme le personnel d\u2019une banque qui poss\u00e8de la cl\u00e9 passe-partout\u00a0: non seulement ces individus peuvent-ils entrer dans la chambre forte, mais ils peuvent aussi ouvrir n\u2019importe quel coffre qui s\u2019y trouve. En contr\u00f4lant l\u2019acc\u00e8s aux groupes de s\u00e9curit\u00e9 et l\u2019attribution des membres, vous luttez contre les tentatives des attaquants qui cherchent \u00e0 accro\u00eetre les privil\u00e8ges des comptes qu\u2019ils ont compromis.<\/p>\n<h2>Le r\u00f4le de la gestion des identit\u00e9s pour la gouvernance de l\u2019acc\u00e8s aux donn\u00e9es<\/h2>\n<p>Lorsque des comptes inactifs sont compromis, cela peut entra\u00eener des probl\u00e8mes suppl\u00e9mentaires si les membres des groupes de s\u00e9curit\u00e9 contenant les comptes inactifs peuvent \u00eatre utilis\u00e9s pour acc\u00e9der aux donn\u00e9es. Ici vous devez donc vous prot\u00e9ger contre deux risques\u00a0: les comptes inactifs et les membres des groupes de s\u00e9curit\u00e9 qui n\u2019ont plus raison d\u2019y \u00eatre. Assurez-vous que les comptes qui existent dans votre environnement Active Directory doivent bel et bien s\u2019y trouver, et v\u00e9rifiez cette information de mani\u00e8re constante, pas seulement une fois. La fa\u00e7on la plus simple de le faire est de mettre en place <a href=\"http:\/\/itergy.com\/fr\/services\/consultation-et-gestion-de-projets\/gestion-des-acces-et-identites\/\">une solution de gestion des identit\u00e9s<\/a>, qui permet de synchroniser vos comptes d\u2019utilisateurs (et possiblement vos groupes de s\u00e9curit\u00e9) entre vos ressources humaines et vos syst\u00e8mes de gestion des fournisseurs et Active Directory. Bien s\u00fbr, il est fort probable que vous ayez \u00e0 effectuer un exercice de nettoyage au pr\u00e9alable.<\/p>\n<p>Vous devez fournir une identification ad\u00e9quate \u00e0 la banque pour entrer dans la chambre forte et acc\u00e9der \u00e0 votre coffre. De la m\u00eame fa\u00e7on, vous devez savoir qui acc\u00e8de \u00e0 vos donn\u00e9es et si ces personnes ont le droit de le faire, et vous devez vous assurer que ces personnes ne sont pas des imposteurs. D\u2019autre part, vous devez assurer un suivi des permissions et identit\u00e9s de vos utilisateurs, surtout quand des employ\u00e9s sont embauch\u00e9s, quand ils quittent l\u2019entreprise ou qu\u2019ils changent de poste.<\/p>\n<h2>Protection des membres des groupes de s\u00e9curit\u00e9<\/h2>\n<p>La meilleure fa\u00e7on d\u2019assurer que les membres des groupes de s\u00e9curit\u00e9 sont ad\u00e9quatement g\u00e9r\u00e9s est d\u2019automatiser leur contr\u00f4le, dans le cadre de votre strat\u00e9gie de gestion des identit\u00e9s. La plupart des solutions de gestion des identit\u00e9s permettent aux administrateurs d\u2019appliquer des r\u00e8gles tr\u00e8s complexes \u00e0 la gestion des membres (p. ex. attribuer un utilisateur \u00e0 un groupe pr\u00e9cis si cet utilisateur fait partie du Service comptable, s\u2019il est dans la r\u00e9gion de l\u2019Ouest et si son poste comprend les mots \u00ab\u00a0comptes d\u00e9biteurs\u00a0\u00bb). Une telle automatisation suffira jusqu\u2019\u00e0 ce que vous soyez en mesure d\u2019implanter une solution de contr\u00f4le des acc\u00e8s en fonction des r\u00f4les ainsi qu\u2019une solution de demande et d\u2019approbation des acc\u00e8s pour les ressources.<\/p>\n<h2>Contr\u00f4le temporel des objets pour la gouvernance de l\u2019acc\u00e8s aux donn\u00e9es<\/h2>\n<p>Comme mesure de s\u00e9curit\u00e9 suppl\u00e9mentaire, vous devriez configurer tous les objets de votre environnement Active Directory de fa\u00e7on \u00e0 ce qu\u2019ils aient un propri\u00e9taire\/gestionnaire et qu\u2019ils comportent une limite de temps (c.-\u00e0-d. qu\u2019ils soient cr\u00e9\u00e9s avec une date de fin). La plupart des solutions de gestion des identit\u00e9s comportent cette fonctionnalit\u00e9. Lorsque vous l\u2019appliquez aux fournisseurs, la dur\u00e9e de leur contrat d\u00e9termine la date de fin de leur acc\u00e8s; pour les employ\u00e9s r\u00e9guliers, la date de fin peut donner lieu \u00e0 l\u2019\u00e9valuation de fin d\u2019ann\u00e9e; et pour les groupes, la date de fin peut servir \u00e0 confirmer que le groupe est toujours n\u00e9cessaire et que les membres sont valides.<\/p>\n<p>De plus, les solutions de gestion des identit\u00e9s peuvent d\u00e9clencher des flux de travail visant le propri\u00e9taire\/gestionnaire d\u2019un objet, \u00e0 des p\u00e9riodes d\u00e9finies avant \u00ab\u00a0l\u2019expiration\u00a0\u00bb de l\u2019objet. Si le propri\u00e9taire\/gestionnaire n\u2019agit pas, la solution de gestion de l\u2019identit\u00e9 peut automatiquement d\u00e9sactiver le compte Active Directory d\u2019un utilisateur ou d\u2019un fournisseur, supprimer un groupe de distribution et vider les membres d\u2019un groupe de s\u00e9curit\u00e9. Cette solution s\u2019av\u00e8re sens\u00e9e, en attendant de mettre en place une solution d\u2019attestation (ou de \u00ab\u00a0re-certification\u00a0\u00bb) en bonne et due forme.<\/p>\n<h2>Le r\u00f4le des solutions SIEM et de l\u2019analyse avanc\u00e9e des menaces<\/h2>\n<p>Une fois que vous avez effectu\u00e9 toutes les autres \u00e9tapes d\u00e9taill\u00e9es dans ce billet, vous devez songer \u00e0 mettre en place une solution SIEM (gestion d\u2019information et d\u2019\u00e9v\u00e9nements de s\u00e9curit\u00e9) pour surveiller et signaler toute activit\u00e9 inhabituelle dans votre environnement de TI; les v\u00e9rifications manuelles ne sont tout simplement pas suffisantes. Depuis que Microsoft a acquis Adallom, dans le cadre de son initiative d\u2019analyse avanc\u00e9e des menaces, la compagnie peut assurer cette protection pour ses services Cloud, et ce, \u00e0 l\u2019\u00e9chelle mondiale.<\/p>\n<h2>Perspectives d\u2019avenir pour la gouvernance de l\u2019acc\u00e8s aux donn\u00e9es<\/h2>\n<p>Les conseils prodigu\u00e9s dans ce billet vont assur\u00e9ment changer au cours des mois et des ann\u00e9es \u00e0 venir, \u00e0 mesure que Microsoft d\u00e9veloppe ses outils d\u2019automatisation dans le Cloud, et qu\u2019Azure Active Directory Connect devient capable de se connecter \u00e0 d\u2019autres sources de donn\u00e9es, comme les syst\u00e8mes de RH, les bases de donn\u00e9es et les annuaires LDAP, au lieu d\u2019\u00eatre limit\u00e9 \u00e0 l\u2019environnement Active Directory sur site. Pour l\u2019instant, nous vous conseillons d\u2019utiliser les services de domaine Active Directory sur votre site aux fins de gouvernance. De plus, les modifications apport\u00e9es aux comptes d\u2019utilisateurs et aux membres de groupes devraient \u00eatre synchronis\u00e9es avec le Cloud.<\/p>\n<h2>Conclusion<\/h2>\n<p>\u00c0 l\u2019heure actuelle, il est sens\u00e9 d\u2019utiliser vos services de domaine Active Directory en tant que strat\u00e9gie pour la gouvernance de l\u2019acc\u00e8s \u00e0 vos donn\u00e9es, tant celles qui r\u00e9sident dans votre site que dans le Cloud. Dans ce monde ax\u00e9 sur le Cloud et les technologies mobiles, l\u2019identit\u00e9 constitue manifestement le nouveau mode de p\u00e9rim\u00e8tre, et sa protection repose sur l\u2019automatisation de la s\u00e9curit\u00e9 \u00e0 tous les niveaux.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"author":50,"featured_media":163,"parent":0,"menu_order":0,"template":"","blog_tag":[],"class_list":["post-187","blog","type-blog","status-publish","has-post-thumbnail","hentry"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/187","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/users\/50"}],"version-history":[{"count":0,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/187\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media\/163"}],"wp:attachment":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media?parent=187"}],"wp:term":[{"taxonomy":"blog_tag","embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog_tag?post=187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}