Chaque élément de ce triptyque correspond à un point focal essentiel pour la sécurité. Si ces sujets sont abondamment traités de façon distincte, il est vital de ne pas perdre de vue leur interdépendance, car il s’agit de trois éléments d’un tout qui, lorsqu’il est traité en tant que tel, joue un rôle important pour l’amélioration et la préservation de la sécurité.

Jouez votre rôle

Azure AD est géré par des rôles qui peuvent être classés en deux catégories : intégrés et personnalisés. Les rôles intégrés disposent de leurs propres autorisations. Au total, il y en a environ 60 dans Azure AD. Ces rôles peuvent être classés dans trois catégories :

• Rôles spécifiques au service (p. ex., administrateur de services CRM)
• Rôles spécifiques à Azure AD (p. ex., Administrateur d’applications ou Administrateur de groupes)
• Rôles transversaux pour les services (p. ex., Administrateur des services d’assistance)

Azure AD prend également en charge la création de rôles personnalisés définis en fonction des autorisations imposées par l’administrateur. Ces rôles personnalisés peuvent ensuite être affectés à un utilisateur dans le cadre d’une définition spécifique. Toutefois, un modèle d’autorisation dépendant uniquement des rôles risque de générer de la confusion du point de vue de la sécurité et les administrateurs doivent procéder avec précautions.

Connaître les privilèges associés à ces rôles et savoir quels rôles sont liés à un utilisateur donné est essentiel pour garantir la sécurité. Nous conseillons aux entreprises d’évaluer régulièrement leur environnement AD sur site pour éradiquer les comptes orphelins, les comptes ayant des privilèges excessifs et autres indicateurs au rouge et il est important d’appliquer la même diligence aux environnements cloud. En effet, une fois que les cybercriminels parviennent à s’introduire dans un environnement, l’une de leurs tactiques privilégiées consiste à élever leurs privilèges. Le monitoring de la création et de la modification des rôles permettent de détecter les prémisses d’une attaque, même si la plupart de ces modifications se révèlent le plus souvent légitimes après investigation. Il n’en reste pas moins que cette procédure permet également de détecter l’altération de rôles ou de privilèges.

L’authentification multifacteurs assure une défense efficace

D’une certaine façon, l’authentification multifacteurs peut être comprise comme un système d’alerte anticipée. Supposons qu’un attaquant vole des identifiants et tente de se connecter au compte correspondant. Dans ce cas, le deuxième facteur bloque immédiatement la menace et en alerte l’organisation. On estime que l’authentification multifacteurs bloque 99 % des violations de compte, mais elle n’est souvent que partiellement implémentée. En effet, il n’est pas rare que seuls certains comptes privilégiés soient protégés par ce type d’authentification.

Dans d’autres situations, tous les comptes privilégiés peuvent être soumis à l’authentification multifacteurs sauf un, qui dispose d’un passe d’accès temporaire. Cette approche fragmentée génère des lacunes de sécurité que les cybercriminels s’empressent d’exploiter, car ils peuvent ainsi évoluer avec des informations d’authentification volées ou compromises sans qu’elles soient détectées.

Microsoft active partiellement l’authentification multifacteurs dans les valeurs par défaut de sécurité. Ces valeurs par défaut sont :
_ ? Demander à tous les utilisateurs de s’inscrire à l’authentification multifacteurs d’Azure Active Directory
_ ? Demander aux administrateurs d’appliquer l’authentification multifacteurs
_ ? Bloquer les protocoles d’authentification hérités
_ ? Demander aux utilisateurs d’appliquer l’authentification multifacteurs si nécessaire
_ ? Protéger les activités privilégiées, telles que l’accès au portail Azure

Les valeurs par défaut de sécurité peuvent être activées sur le portail Azure. Si votre tenant a été créé après le 21 octobre 2019, les valeurs par défaut de sécurité peuvent être déjà activées. L’objectif de ces mesures par défaut est d’aider les organisations qui sont encore au début de leur parcours de sécurisation. Il est important de noter, cependant, que les paramètres de sécurité par défaut forceront uniquement les neuf rôles d’administrateur Azure AD suivants à procéder à une authentification supplémentaire à la connexion :
_ ? Administrateur général
_ ? Administrateur SharePoint
_ ? Administrateur Exchange
_ ? Administrateur d’accès conditionnel
_ ? Administrateur de la sécurité
_ ? Administrateur du centre d’assistance
_ ? Administrateur de la facturation
_ ? Administrateur des utilisateurs
_ ? Administrateur de l’authentification

Il sera demandé aux autres utilisateurs de s’authentifier avec une autre méthode sous certaines circonstances, telle que l’utilisation d’un autre appareil ou l’exécution de certaines tâches. Les valeurs par défaut de sécurité bloquent également les méthodes d’authentification héritées, car elles représentent une partie significative des tentatives de compromission de la connexion auxquelles les organisations sont confrontées. Dans la mesure où des protocoles plus anciens risquent de contourner l’authentification multifacteurs, leur blocage en tant que vecteurs d’attaque est un élément vital de la sécurité dans Azure AD.

Toute indication de contournement de l’authentification multifacteurs, telle que l’annulation de l’enregistrement de ces utilisateurs, doit faire l’objet d’investigations.

Sécurité des applications dans Azure

L’enregistrement des applications dans Azure AD est à la fois un nouveau concept pour les administrateurs Active Directory et un nouveau niveau d’accès pour les utilisateurs, qu’ils soient à l’intérieur ou à l’extérieur du périmètre AAD. Les applications servent généralement à étendre votre Azure Active Directory vers d’autres services, notamment les services SaaS. Les valeurs par défaut de sécurité obligeront également les utilisateurs à utiliser l’authentification multifacteurs lorsqu’ils se connectent au moyen de ces nouvelles applications. Cependant, ce type d’authentification ne permet pas de résoudre tous les problèmes de sécurité, car si l’authentification multifacteurs peut limiter l’efficacité des identifiants de connexion volés, maîtriser les risques posés par les applications tierces ne se limite pas à la protection des mots de passe. Envisagez ce scénario : un cybercriminel ciblant le tenant Azure AD d’une organisation décide qu’au lieu d’essayer d’induire ses victimes à révéler leur mot de passe, il va tenter de les pousser à installer des applications malveillantes. S’il y parvient, l’utilisateur lui livrera les clés du château en lui donnant l’accès et le contrôle du compte de l’utilisateur. Si l’utilisateur agit rapidement, il risque de ne pas s’interroger sur les droits accordés à cette organisation. Les enregistrements d’applications doivent être vérifiés et l’affectation d’applications en libre-service ne doit être envisagée que si vous faites confiance à vos utilisateurs pour recommander les applications à utiliser. Dans la plupart des cas, les demandes d’application doivent faire l’objet d’un processus formel.

La plupart des organisations peuvent ne pas percevoir cela comme un vecteur d’attaque et la détection est plus difficile, car aucun code malveillant ne s’exécute sur le terminal de l’utilisateur. Ce type d’attaque repose avant tout sur l’ingénierie sociale et l’abus de confiance. Compte tenu du nombre sans cesse croissant d’applications cloud dans les entreprises modernes, fermer la porte à ce type d’attaque implique de vérifier la liste d’applications en cliquant sur l’option « Applications d’entreprise », dans la section « Gérer » du portail Azure. Les administrateurs peuvent également faire le monitoring des événements de consentement dans Azure AD pour vérifier si les applications autorisées utilisent des droits qu’elles ne devraient pas avoir.

Savoir prendre du recul

Concernant la sécurité dans le cloud, les responsables IT doivent prendre du recul et adopter une approche holistique. Toute nouvelle couche de protection doit renforcer les couches existantes. Une affectation efficace des rôles limite les dommages que les attaquants peuvent faire s’ils poussent un utilisateur à activer une application malveillante. Dans ce cas, l’authentification multifacteurs empêche les tiers d’utiliser cette application pour contourner les contrôles d’accès. En combinant de façon méticuleuse les différentes approches de la sécurité dans votre organisation, vous réduirez de façon substantielle les risques auxquels votre entreprise est confrontée.