Azure Active Directory est la clé de votre royaume Microsoft 365. Responsable de fonctions vitales, telles que l’authentification et l’autorisation, Azure AD est en fait la clé de la gestion de l’accès sur tout l’écosystème Microsoft dans lecloud. Pour cette raison, il est la cible de nombreuses cyberattaques.
Dans cet article, nous allons voir en détails les cinq meilleures pratiques de sécurité pour sécuriser votre Azure Active Directory et protéger votre entreprise.
1. Limiter les privilèges d’administrateur.
Les comptes d’administrateur sont la cible nº1 des attaquants car ils donnent accès aux données et systèmes les plus sensibles de l’écosystème de l’organisation. Tout en étant indispensables à la fois aux fonctions informatiques et commerciales, ils représentent aussi un risque significatif pour votre organisation.
Pour cette raison, les experts insistent sur le fait qu’il est d’une importance capitale non seulement de sécuriser ces comptes, mais aussi d’en limiter le nombre. Pour atteindre cet objectif, il vous faut avoir une compréhension globale des comptes d’administrateur de votre organisation – de ceux qui sont évidents, et de ceux qui le sont moins. C’est pourquoi, en plus de faire la liste des membres de groupes et des rôles connus ayant un accès d’administrateur, assurez-vous d’auditer les droits d’accès individuels, afin de vous assurer qu’aucun administrateur dans l’ombre ne soit à l’affût d’une occasion pour augmenter ses privilèges par des moyens non réglementaires.
2. Réviser régulièrement les permissions d’accès et d’applications.
Azure AD va plus loin que les pouvoirs concédés par l’Active Directory sur place, il est responsable d’authentifier et d’autoriser l’accès non seulement à des utilisateurs et à des groupes, mais aussi à des applications, à travers des méthodes d’authentification modernes comme SAML ou OAuth. Avec le temps, il se peut que les applications en question n’aient plus besoin des permissions d’accès qui leur avaient été attribuées. Sans une surveillance constante, les accès peuvent se multiplier, ce qui augmente considérablement la surface d’attaque de l’organisation.
3. Activer l’authentification multifacteur (MFA) d’Azure AD.
La MFA d’Azure AD réduit le risque d’une authentification par mot de passe seul en demandant aux utilisateur·ices une combinaison de deux facteurs ou plus : « quelque chose qu’ils savent » (p. ex. un mot de passe), « quelque chose qu’ils ont » (p. ex. un appareil de confiance, comme un téléphone) et quelque chose qu’ils sont (p. ex. une empreinte digitale). En général, il est recommandé d’activer la MFA non seulement pour les administrateur·ices, mais aussi pour le reste des comptes, plus particulièrement ceux qui représenteraient une menace significative s’ils étaient compromis.
Microsoft propose plusieurs méthodes pour activer la MFA :
- Sécurité par défaut d’Azure AD – Cette option permet aux organisations de normaliser le déploiement de la MFA et d’appliquer des politiques pour mettre à l’épreuve les comptes d’administrateur, exiger la MFA à travers Microsoft Authenticator pour tous les utilisateurs et restreindre l’héritage des protocoles d’authentification. Cette méthode est disponible pour toutes les licences.
- Politiques d’accès conditionnel – Ces politiques offrent la flexibilité de demander la MFA sous certaines conditions, par exemple une connexion depuis un emplacement inhabituel, un appareil qui ne soit pas de confiance ou une application risquée. Cette approche réduit la gêne pour les utilisateurs en ne demandant une vérification additionnelle que lorsqu’un risque potentiel est identifié.
- Modifier individuellement les états utilisateurs – Cette option fonctionne aussi bien avec Azure AD dans le cloud qu’avec le serveur Azure MFA Authentication. Cela exige aux utilisateur·ices la réalisation d’une vérification en deux étapes à chaque connexion et prime sur les politiques d’accès conditionnels.
4. Auditer l’activité dans Azure AD.
Il est extrêmement important d’auditer ce qui se passe dans votre environnement Azure AD, y compris les connexions qui ont lieu, les modifications réalisées et l’utilisation qui est faite des applications. Les organisations devraient déployer des outils qui peuvent non seulement surveiller les événements ayant lieu, mais aussi détecter et indiquer lorsque quelque chose d’inhabituel ou menaçant se passe, comme :
- Des modifications de privilèges d’administration, par exemple de permissions d’applications, de certificats d’applications ou de génération de clé, ainsi que des modifications apportées à des rôles sensibles (p. ex. Admin global) ou à des groupes
- Des activités suspectes, telles qu’une géolocalisation de connexion irréaliste ou anormale ou un comportement anormal en comparaison avec l’historique des tendances d’activité
- Des signes d’attaques connues, tels que des tentatives de connexion manquées, qui peuvent indiquer une attaque par « password spraying »
5. Sécuriser l’Active Directory sur place.
Alors que certaines organisations sont déployées exclusivement dans le cloud, la plupart des entreprises utilisent actuellement une combinaison de systèmes physiques et de plateformes et d’applications dans le cloud. Dans le cas de ces déploiements hybrides de l’AD, on ne répétera jamais assez l’importance de surveiller aussi bien l’Azure AD que l’Active Directory. Quand les identités sont synchronisées sur place et en ligne avec des outils tels qu’Azure AD Connect, si une violation affecte un compte utilisateur d’AD, elle affectera facilement le compte utilisateur d’Azure AD, ce qui donnera à l’attaquant un accès allant au-delà des frontières physiques de l’infrastructure.
Où trouver de l’aide
Maintenant que vous avez découvert les bonnes pratiques pour renforcer votre environnement d’Azure Active Directory, il est temps de les mettre en œuvre. Cela peut vous sembler une épreuve titanesque de comprendre tous vos comptes d’administrateur, de les sécuriser avec une MFA, de réviser régulièrement les accès et de surveiller les modifications de façon productive. Ne vous inquiétez pas : Netwrix a les outils qu’il faut pour vous aider ! Découvrez comment auditer les privilèges d’administrateur, détecter l’activité malveillante dans l’ensemble de votre écosystème hybride et remplacer des comptes d’administrateur permanents vulnérables par un accès juste-à-temps, grâce à notre gamme diversifiée de produits.
