L'ANSSI invite à renforcer le contrôle d'Active Directory

le 04/06/2020, par Jacques Cheminat, Sécurité, 414 mots

Souvent considéré comme le centre névralgique du SI de l'entreprise, Microsoft Active Directory est l'objet de toutes les attentions sur le plan de la sécurité. L'ANSSI vient de publier un ensemble de points de vigilance sur cet annuaire très prisé des cybercriminels.

L'ANSSI invite à renforcer le contrôle d'Active Directory

Pour un pirate, accéder à l'Active Directory de l'entreprise représente le saint Graal. En effet, comme l'indique l'ANSSI dans une note, cet outil de Microsoft « est un élément critique permettant la gestion centralisée des comptes, des ressources et de permissions ». En accédant à l'AD, un pirate peut via une élévation de privilèges obtenir « une prise de contrôle instantanée et complète de toutes les ressources ainsi administrées ». Et les cas de prise de contrôle se multiplient, souligne l'agence qui constate un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory.

Face à ce risque de plus en plus présent, l'agence a publié une note recensant les points de contrôle sur la configuration de ces outils. Après analyse, des notes sont affectées sur chaque point de vigilance sur un barème de 1 à 5 en fonction du niveau de faiblesse ou de maturité (1 étant la plus mauvaise note). Parmi ces éléments à surveiller, les chemins de contrôle et les groupes privilégiés (administrateurs et opérateurs) sont des cibles prioritaires pour les attaquants et demandent une attention soutenue.

Des outils de cartographie des AD existent

Les DSI et RSSI n'ont souvent pas le temps et les outils pour mener cet audit des annuaires AD. L'ANSSI met donc en avant son service ADS (Active Directory Security). Cette solution est disponible pour les entreprises réglementées (OIV ou OSE) et les administrations. Elle scanne les domaines, les forêts des organisations et attribue des notes de 1 à 5 en fonction de la liste des points de contrôle.

A destination des autres entreprises, il existe des solutions de type ADS, comme Ping Castle qui est open source. Casino avait eu recours à ce dernier pour vérifier l'ensemble des AD du groupe et des filiales et le RSSI, Philippe Faure, avait témoigné aux Assises de la Sécurité à Monaco. En lançant l'outil de cartographie la première fois, il se rappelait que « les premiers rapports ont été rouges, très rouges ». Un rapport qui a servi de base pour corriger les erreurs et les faiblesses de configuration des AD.

((Légende illustration principale))
L'annuaire Active Directory est un élément crucial pour l'entreprise et constitue une cible prioritaire pour les cybercriminels. (Crédit Photo: Geralt/Pixabay)

Le SASE en 7 points clefs

Tous les fournisseurs de SASE ne se valent pas. Ces 7 critères peuvent aider les décideurs IT à mieux évaluer leurs options et à choisir la solution la plus adaptée à leurs besoins et à leur environnement....

le 11/01/2021, par Lee Doyle, IDG (adaptation Jean Elyan), 1358 mots

La start-up White Ops rachétée par Goldman Sachs

Les plates-formes publicitaires en ligne sont des entreprises comme les autres. C'est à dire qu'elles sont aussi vict

le 28/12/2020, par Dominique Filippone, 259 mots

Sécurité à la carte avec Mc Afee Mvision Marketplace

Si McAfee a classiquement annoncé des mises à jour de ses solutions de sécurité lors de son événement virtuel Mpower Digital 2020, le plus intéressant est peut-être l'arrivée de sa plateforme composable...

le 13/11/2020, par Serge LEBLAL, 530 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...