Cette étude révèle que les vulnérabilités non identifiées de l’Active Directory sont considérées comme étant les plus menaçantes. Les vulnérabilités connues, mais non résolues, de l’AD viennent juste après.

Les risques les plus pressants cités par les participants à cette étude, à savoir ceux qui ont un impact sur la position de sécurité générale de leur organisation, sont :
• Défauts de sécurité natifs de Microsoft
• Attaques par ingénierie sociale, telles que l’hameçonnage
• Cybercriminels capables de passer de l’AD sur site à Azure AD

Du fait d’un nombre croissant d’articles sur l’AD diffusés par les médias et les instituts de recherche, notamment 451 Research et Gartner, il est peu surprenant que les vulnérabilités inconnues soient perçues comme plus dangereuses par les répondants, qui incluent des DSI, des architectes de systèmes, des spécialistes du DevOps et des directeurs de la sécurité.

En 2021, la sensibilisation aux dangers de l’Active Directory, considéré comme étant le référentiel d’identité de 90 % des entreprises au niveau mondial, en tant que vecteur d’attaque a franchi un cap. L’un des signaux les plus forts fut l’attaque visant SolarWinds. S’il fallut un temps considérable pour remonter à la source de cette attaque sophistiquée, le rôle de l’Active Directory fut évident d’emblée. D’autres attaques ont suivi, notamment celle de Colonial Pipeline, qui ont mis en lumière les vulnérabilités de l’AD.

Les conclusions des experts de Mandiant corroborent l’exploitation fréquente de l’AD, car ils indiquent que dans 90 % des attaques sur lesquelles ils ont enquêté, l’AD intervient sous une forme ou une autre, que ce soit comme point de pénétration ou dans le cadre d’une tentative d’élévation généralisée des autorisations. Comme l’écrit Paula Musich, directrice des recherches chez EMA, dans l’introduction du rapport, les professionnels de la sécurité font face à des risques très divers lors de la gestion de l’AD : « Parce que la configuration de l’Active Directory évolue constamment, les cybercriminels trouvent toujours de nouvelles possibilités d’exploitation des vulnérabilités pour atteindre leurs objectifs. »

Des défauts notoires, tels que la vulnérabilité du service de spooler d’impression de Windows découverte en juin 2021 ont poussé les spécialistes de l’informatique et de la sécurité à revoir l’environnement AD de leur organisation. Depuis sa première publication en mars 2021, plus de 5 000 utilisateurs ont téléchargé Semperis Purple Knight, le logiciel gratuit d’évaluation des lacunes de sécurité qui recherche dans l’environnement de l’AD des indicateurs d’exposition et de compromission. Les retours dont nous disposons donnent un score moyen de sécurité d’environ 68 %, soit à peine la moyenne.

Inquiétudes entourant la restauration de l’AD

Les répondants ont également manifesté leur inquiétude concernant leurs plans de restauration de l’AD, ce qui inclut :
• L’absence de plan de récupération après une cyberattaque
• L’incapacité à restaurer rapidement le système
• Ne pas avoir de responsabilité définie pour la restauration de l’AD

La récupération d’une forêt AD est un processus sujet à erreurs et complexe qui implique une planification et des exercices pour les déploiements professionnels de l’AD. La majorité des répondants estiment que l’impact d’une attaque bloquant leurs contrôleurs de domaine serait « significatif » au mieux, « catastrophique » au pire.

Les environnements hybrides rendent la situation plus complexe

Le transfert des charges de traitement et des applications vers le cloud sera un processus continu et long, selon le rapport de l’EMA. Si 47 % des participants à l’étude de l’EMA se disent « très compétents » pour gérer et sécuriser l’AD sur site, seuls 37 % d’entre eux s’accordaient cette note pour les environnements d’identité hybride. Environ un tiers des participants pensent que leurs compétences en gestion et sécurisation d’un environnement hybride sont « suffisantes ».

Le niveau de confiance exprimé par les participants concernant la récupération des ressources Azure AD (telles que les utilisateurs, les groupes et les rôles) après une cyberattaque n’est pas rassurant : environ 55 % des participants expriment un niveau de confiance « moyen ». La gestion adaptée de la sécurité dans un environnement de sécurité hybride constitue généralement un pas dans l’inconnu : l’intégration sur site de l’Active Directory avec l’authentification Azure AD implique une approche différente, et la méconnaissance des différences clés peut exposer les organisations à des risques de sécurité.

Comment les organisations gèrent-elles les inquiétudes entourant la sécurité

Du fait de la sensibilisation accrue des attaques liées à l’AD, les organisations apportent des modifications pour préparer leurs défenses contre les attaques à grande échelle, telles que celle de SolarWinds. Conclusions du rapport de l’EMA :

• 45 % des organisations ont renforcé la collaboration entre les équipes opérationnelles et de sécurité
8 • 44 % ont ciblé les lacunes de sécurité de l’AD, la détection des attaques et la réalisation de sauvegardes sans code malveillant
8 • 37 % ont recruté des spécialistes pour remédier aux lacunes de sécurité de l’AD

Les entreprises reconnaissent désormais qu’un système d’identité sécurisé constitue le point de départ de la protection de toutes les autres ressources de l’organisation. Les échanges de compétences et la collaboration entre les équipes de sécurité et d’identité permettent de renforcer les défenses contre les attaques liées à l’identité. Seuls 3 % des participants disent que leur organisation continue de gérer l’AD comme une ressource opérationnelle.