Retour au blog

5 recommandations de l'ANSSI pour sécuriser votre SI reposant sur Active Directory

Cybersécurité • 29 novembre 2023

Quelles sont les recommandations de l’ANSSI pour protéger votre SI lorsque celui-ci repose sur Microsoft Active Directory ? 🛡️

 

En voici 5 !

 

Nous avons résumé pour vous le guide de 160 pages de l’ANSSI sur la sécurité des systèmes d’information reposant sur Microsoft Active Directory.

 

Notre abrégé s’appuie sur la version initiale de ce guide, en date du 02/10/2023 et disponible dans son intégralité ici.

 

Microsoft Active Directory qu’est-ce que c’est ?

 

"L’AD est un service d’annuaire introduit par Microsoft sous Windows 2000 Serveur. Il permet de centraliser des informations relatives aux utilisateurs et aux ressources d’un SI.” - ANSSI

 

Ce service d’annuaire permet de gérer les comptes et groupes d’utilisateurs ayant accès au SI d’une organisation, ainsi que les serveurs, les postes de travail, les imprimantes, les domaines etc…

 

Sa vocation est notamment de permettre aux utilisateurs d’accéder aux ressources de l’entreprise en fournissant des procédés d’identification, d’authentification et d'autorisation.

 

Pour qu’un ordinateur soit géré par l’AD il doit être intégré à un “domaine” AD. Les services AD (authentification, annuaire, réplication, etc.) sont portés par des serveurs appelés des contrôleurs de domaine.

 

Qu’entend-on par “SI reposant sur un AD” ?

 

“Lorsque qu’un AD est placé au cœur de l’infrastructure d’un SI (gestions des authentifications, attribution des droits d’accès aux ressources, paramétrage des politiques de sécurité, etc.) il est alors considéré que le SI repose sur AD. Dans ce contexte, une compromission de l’annuaire AD conduit souvent à une compromission globale du SI.” - ANSSI

 

Permettant d’accéder à l’intégralité des identifiants et droits d’accès de votre système d’information, les annuaires sont une cible prioritaire pour de nombreux attaquants. En maîtriser la sécurité est donc capital.

 

Quelles failles sont principalement exploitées ?

 

La compromission d’un SI reposant sur l’AD commence souvent par des attaques via les postes de travail. Les attaquants vont ensuite exploiter des faiblesses dans le cloisonnement du SI pour opérer des déplacements dits latéraux afin d’élever petit à petit leurs privilèges jusqu’à avoir un contrôle total de l’AD.

 

“À ce niveau de contrôle de l’AD, un attaquant est en mesure de s’aménager des portes dérobées qui lui assurent un contrôle persistant du SI.” - ANSSI

 

Les conséquences de ce types d’attaques peuvent être lourdes pour une organisation : 

  • Atteinte à la confidentialité des données (Secrets industriels, confidentialité des données clients et/ou collaborateurs)
  • Indisponibilité des données (notamment en cas de chiffrement des données)
  • Atteinte de l’image de l’organisation touchée (auprès des clients, fournisseurs, partenaires, collaborateurs)
  • Coût de la remédiation et de la reconstruction du SI

 

C'est pourquoi l’administration du SI est une activité critique qui doit être réalisée avec la plus grande attention.

 

“Nous constatons souvent que les compromissions de systèmes d’information (SI) reposant sur un annuaire Active Directory (AD) sont le résultat de mauvaises pratiques d’administration et d’un manque de cloisonnement.” - ANSSI

 

Dans ce résumé, passons en revue les bonnes pratiques d’administration et de cloisonnement afin d’assurer la sécurité d’un SI reposant sur AD et ainsi limiter les risques de compromission.

 

1. Optez pour un modèle de gestion des accès privilégiés

 

Au sein de votre entreprise et en fonction de leurs missions, vos utilisateurs ont besoin d’accéder à des informations et ressources différentes.

 

Dans votre SI il en va de même. Les droits d’accès doivent être donnés à chacun en fonction de ses besoins réels. Il faut distinguer les administrateurs qui requièrent des droits et privilèges spécifiques pour mener à bien leurs fonctions et les utilisateurs dits “simples” qui n’ont pas besoin de tels accès.

 

“Selon le principe de moindre privilège, les droits et privilèges de chaque administrateur doivent être octroyés en fonction du juste besoin opérationnel; deux administrateurs n’ayant pas nécessairement les mêmes besoins. La catégorisation des comptes par rôles doit ainsi être effectuée en regroupant des familles de cas d’usage et en séparant les droits et privilèges nécessaires aux administrateurs de manière rigoureuse.” - ANSSI

 

2. Découpez le SI en plusieurs “Zones de confiance”

 

Le principe de “modèle de gestion des accès privilégiés” est de découper le SI de façon pertinente en différents niveaux de confiance. Ces niveaux de confiance seront réalisés sur la base de la criticité des ressources de l’organisation et de leur exposition à la menace.

 

⚠️ Il est essentiel de définir un nombre suffisant de niveaux afin d’avoir un véritable cloisonnement du SI en différentes zones de confiance et que ces zones soient pertinentes en fonction des besoins métiers. Ainsi vous limiterez un maximum les chemins d’attaques qui pourraient permettre à un acteur malveillant de passer d’une zone de confiance à une autre et qui amènerait à terme à une compromission globale du SI.

 

“Un découpage du SI en zones de confiance est réalisé de sorte à cloisonner logiquement ces zones les unes des autres, l’objectif étant de contenir une potentielle compromission au sein d’une zone et ainsi préserver la sécurité des autres. La mise en œuvre d’un tel découpage est le fondement d’un cloisonnement logique de l’AD et d’une démarche de gestion des accès privilégiés. Il concourt à ce que, par exemple, la compromission d’un poste de travail ne débouche pas de facto sur un contrôle total de l’AD par les attaquants.” - ANSSI

 

Microsoft a historiquement défini un modèle de cloisonnement du SI en trois niveaux de confiance, caractérisés par les niveaux de sensibilité des données.

Représentation hiérarchique du modèle en trois Tiers de Microsoft

En haut de la pyramide se trouvent les ressources sensibles ou critiques, en nombre réduit ; tandis qu’en bas se trouvent les données moins sensibles, mais en beaucoup plus grande quantité.

 

Le Tier 0 représente le cœur de confiance de l’organisation. Les privilèges d’administration y sont les plus élevés (octroi de privilèges sur les autres tiers et contrôle de toutes les ressources de l’annuaire AD). 

 

“La compromission d’une ressource de ce Tier, au-delà de permettre la compromission de l’ensemble des ressources de l’AD, permet aussi l’aménagement de portes dérobées potentiellement complexes à identifier et à éradiquer. Une telle compromission nécessiterait une remédiation extrêmement longue, compliquée et coûteuse à mettre en œuvre pour rétablir la confiance dans le SI.” - ANSSI

 

 

Le Tier 1 représente la confiance dans les valeurs métiers de l’organisation. Ce sont par exemple les serveurs de gestion du code source pour une entreprise qui développe un logiciel ou bien des équipements critiques de la chaîne de production pour un industriel.

 

“Les privilèges d’administration afférents à ce Tier 1 permettent le contrôle de tout ou d’un ensemble de ces biens supports et sont généralement octroyés à des administrateurs système ou à des responsables d’applications ou de services du SI. - ANSSI



Le Tier 2 représente la confiance dans les postes de travail des utilisateurs du SI et plus largement dans tous moyens d’accès à la donnée métier.

 

“Un tel niveau de droits et privilèges est généralement accordé à des téléadministrateurs des postes bureautiques, des administrateurs de services de déploiement des postes bureautiques, des déployeurs de consoles industrielles, etc. 

 

Ces moyens d’accès hébergent des portions de valeurs métiers de l’organisation ou permettent d’y accéder. La compromission d’un ensemble de moyens d’accès peut ainsi permettre un large accès aux données de l’organisation ou à ses valeurs métiers, depuis le SI interne ou même parfois depuis Internet. Il arrive par ailleurs que des utilisateurs haut placés dans la hiérarchie de l’organisation aient des droits d’accès très larges sur les valeurs métiers, ce qui en fait des cibles de choix pour des attaquants. - ANSSI 

 

L’objectif de la démarche de cloisonnement du SI en Tiers est d’améliorer le niveau de résilience du SI face à des compromissions. À ce titre, il convient de veiller à ne pas créer un Tier 0 « fourre- tout » qui présenterait une importante surface d’attaque.

 

Microsoft a fait évoluer ce modèle fin 2020 pour faciliter l’application à des SI étendus dans le cloud et mettant par exemple en œuvre des architectures hybrides.

Modèle Microsoft 2020

Pour assurer la sécurité du SI, il est essentiel de protéger chaque niveau du modèle de façon proportionnée.

 

Le protection et le cloisonnement du Tier 0 est une priorité mais ne doit pas exclure la prise de mesure suffisante pour protéger et cloisonner les Tier 1 et Tier 2 rapidement.

 

“Bien que la protection du Tier 0 soit la priorité des organisations, elles doivent garder à l’esprit que leurs missions et leurs valeurs métiers sont in fine les plus importantes et qu’elles sont portées par le Tier 1 . Des compromissions étendues du Tier 1 voire du Tier 2 sont des évènements redoutés dont les conséquences peuvent être dramatiques pour l’entité, y compris sans compromission du Tier 0.” - ANSSI 

 

3. Identifiez les chemins d’attaques potentiels

 

L’enjeu principal du cloisonnement des accès consiste à identifier les chemins d’attaques qui permettraient à un acteur malveillant de se déplacer d’une zone de confiance vers une autre (du Tier 2 au Tier 1, du Tier 1 au Tier 0, voire même du Tier 2 au Tier 0).

 

L’analyse des chemins d’attaque doit être menée de façon rigoureuse afin que le cloisonnement des Tiers soit pertinent et surtout efficace !

 

Pour cela, faites appel à des experts en SSI et veiller à impliquer toute personne ayant la connaissance technique et métier du SI de l’organisation.

Ces zones de confiance reposent en grande partie sur le bon cloisonnement de l’AD mais aussi sur celui relatif à l’architecture générale du SI (cloisonnement du réseau, des systèmes, physique etc…). 

 

Ce sujet ne doit donc pas être traité uniquement par l’administrateur de l’AD mais par différents acteurs en charge de la sécurité du SI au sein de l’organisation.

 

⚠️ Attention → “Il n’est pas rare de rencontrer des architectures AD découpées en plusieurs domaines AD dans un objectif de cloisonnement en zones de confiance. Il s’agit d’une mauvaise pratique puisque le domaine AD n’est pas une réelle frontière de sécurité. Par injection de SID History notamment, la détention de privilèges de Tier 0 dans un domaine AD aboutit à l’obtention aisée de ce même niveau de privilèges au sein de tous les domaines de la forêt.

 

Il est donc strictement déconseillé d’appliquer un modèle de gestion des accès privilégiés sur le seul périmètre d’un domaine AD dans la mesure où sa sécurité dépend directement des autres domaines de sa forêt. Le véritable périmètre de sécurité minimum d’une architecture AD est la forêt.” - ANSSI

 

4. Mettez en place une délégation fine des droits


La délégation fine des droits est un pilier du cloisonnement du SI en Tiers.

 

Les comptes de Tier 0 doivent par exemple être strictement réservés à des actions d’administration rares (configuration de relations d’approbation entre forêts, ajout de domaines, gestion des comptes à privilèges…).

 

Vous devez octroyer uniquement les droits et privilèges nécessaires à chaque groupe d’administrateurs pour la réalisation des actions d’administration qui leur incombent (principe de moindre privilège).

 

Une fois votre AD paramétré de façon à restreindre un maximum les privilèges de chacun sur le SI, pensez également à appliquer cette règle du moindre privilège à l’ensemble des accès professionnels.

 

En complément : Reliez votre gestionnaire de mots de passe LockPass à votre AD

 

Vous l’avez compris, en proposant ces recommandations autour d’Active Directory, l’ANSSI cherche à fournir et diffuser au plus grand nombre un référentiel commun de bonnes pratiques permettant de renforcer votre sécurité à un instant T mais aussi dans le temps.

 

En suivant ce référentiel, vous êtes normalement en mesure d’avoir un AD : 

  • ✅ Sain via une catégorisation et un mapping des données en Tiers.
  • ✅ Cloisonné via des règles claires et normalisées sur le “Qui a accès à quoi”.

 


Pourtant, si dans le même temps : 

  • ❌ Les mots de passe de la DSI sont accessibles dans un Keepass commun à l’ensemble de la DSI.
  • ❌ Et que les utilisateurs finaux stockent leurs mots de passe dans leur navigateur web ou sur post-it.

 

Et bien vos efforts pour construire une gestion fine des accès aux assets de votre entreprise seront vains.

 

Capitalisez sur ce travail de sécurisation de l'AD en l'interconnectant avec votre gestionnaire de mots de passe. Vous pourrez ainsi répliquer votre stratégie de cloisonnement des accès à tous les niveaux de votre organisation, jusqu’à vos utilisateurs finaux grâce à la réplication des groupes.

 

Voici quelques avantages à relier votre AD à votre gestionnaire de mots de passe : 

  • Contrôler le provisionning des comptes sur votre coffre-fort via l’AD.

  • Répliquer le mapping des groupes de votre AD dans votre coffre-fort. En fonction de son groupe AD, un utilisateur aura accès aux bons mots de passe ou groupes de mots de passe. Ce qui permet également de faciliter l'onboarding des nouveaux collaborateurs.

  • Assurer à la DSI un contrôle sur la robustesse des accès via la mise en place de politiques de mots de passe au sein de l’outil. 

  • Mieux gérer l’offboarding et s’assurer qu’un utilisateur interne ou un intervenant externe n’a plus accès aux assets de l’entreprise dans le bon timing.

  • Monitorer les logs et mettre en place des actions de blocages automatiques en cas de connexion suspectes.

 

💡Bonne pratique : Le compte d’administration de votre gestionnaire de mots de passe ne doit pas être relié à votre AD et servir de compte “Bris de glace”.

 

Ainsi, même si l’AD venait à tomber entre les mains d’acteurs malveillants, la sécurité des accès contenus dans votre coffre-fort ne serait pas compromise.

 

LockPass offre aussi la possibilité de créer des mots de passe temporaires pour des utilisateurs spécifiques, permettant de faciliter la reconstruction du SI.

 

 

5. Journalisation et détection

 

Bien que la journalisation et la détection ne participent pas au cloisonnement du SI, elles jouent un rôle important dans un modèle de gestion des accès privilégiés.

 

Vous pourrez ainsi détecter tout comportement anormal et venir bloquer une tentative d'élévation de droits afin de vérifier que celle-ci est bien légitime. 

 

Bonus : En plus des actions de journalisation et de détection mises en place sur l'AD votre gestionnaire de mots de passe LockPass permettra à la DSI d'avoir également accès à l'historique des logs sur l'ensemble des accès de l'organisation et pourra mettre en place des blocages automatique en cas d'actions suspectes à tous les niveaux.

 

_____

 

En suivant ce guide vous avez accès au résumé des bonnes pratiques de cloisonnement de votre SI. 

 

Attention cependant, ce cloisonnement doit être revu régulièrement pour s’adapter aux évolutions de votre système d’information et vous assurer que de nouveaux chemins d’attaques n’ont pas fait leur apparition !

 

Pour maintenir ce cloisonnement optimal de vos différentes zones de confiance et vous assurez que le modèle reste pertinent vous pouvez suivre les étapes suivantes 👇

Représentation graphique du cycle itératif d'amélioration continue du cloisonnement du SI en Tiers

Pensez également à documenter les itérations apportées de façon synthétique afin de faciliter les prises de décisions. Vous pourrez notamment vous appuyer sur ce document pour apporter de la visibilité à la direction sur les risques qui pèsent sur le SI et les actions identifiées et planifiées pour y remédier.

 

Pour la mise en place opérationnelle de ces bonnes pratiques nous vous recommandons de suivre attentivement le guide complet de l’ANSSI disponible ici 🤓

Découvrez LockSelf

La solution cyber adaptée à vos équipes métiers

Certifiée par l'ANSSI.

Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours, gratuitement.

LockSelf