Les grandes entreprises s’en sortent encore moins bien dans l’évaluation, avec un score moyen de 64 %, ce qui indique que les défis liés à la sécurisation d’Active Directory s’étendent aux applications existantes et aux environnements complexes, en particulier dans les grandes entreprises.

Vulnérabilités de sécurité AD

Au moment de son lancement, Microsoft Active Directory (AD) était une technologie révolutionnaire - lancée à l’origine avec le système d’exploitation serveur Windows 2000, qui continue de prendre en charge une grande partie du monde du travail hyper connectée de l’ère moderne.

Microsoft AD a prévalu sur tous les autres annuaires pour une raison essentielle : il était ouvert. C’est en raison de cette ouverture et de cette facilité d’intégration qu’AD reste à ce jour un élément d’infrastructure fondamental pour 90 % des entreprises. Cependant, sa plus grande force il y a 21 ans est devenue depuis sa faiblesse la plus préoccupante.

La menace

Un pirate peut utiliser n’importe quel compte AD non privilégié pour lire presque tous les attributs et objets dans AD, y compris les autorisations, leur permettant de trouver des comptes d’ordinateurs dans n’importe quel domaine d’une forêt AD qui sont configurés avec une délégation sans contrainte. Aujourd’hui, l’identité est devenue la dernière ligne de défense face aux cyberattaques.

Purple Knight

Semperis est un pionnier dans la gestion et la protection des identifiants d’identité des environnements hybrides des entreprises. Il a été spécialement conçu pour sécuriser AD.

L’année dernière, Semperis a lancé un outil gratuit d’évaluation de la sécurité AD, Purple Knight, et publie aujourd’hui les résultats des données de 1000 responsables informatiques et de la sécurité qui ont déployé Purple Knight.

Résumé clé des conclusions :

• Dans l’ensemble, les organisations ont obtenu un score moyen de 68 % dans 5 catégories de sécurité Active Directory ; Délégation AD, sécurité des comptes, sécurité de l’infrastructure AD, sécurité de la stratégie de groupe et sécurité Kerberos. C’est à peine la note de passage.

• Les grandes entreprises s’en tirent encore moins bien, avec un score moyen de 64 %, ce qui indique que les défis liés à la sécurisation d’Active Directory s’étendent aux applications héritées et aux environnements complexes, en particulier dans les grandes entreprises.

• Les organisations ont signalé les scores les plus bas pour la sécurité des comptes, qui couvre les paramètres des comptes individuels tels que les comptes privilégiés avec un mot de passe qui n’expire jamais.

• Les compagnies d’assurance ont enregistré les notes globales les plus basses (55 %), suivies des soins de santé (63 %) et des transports (64 %).

• Les entreprises de transport ont signalé des scores totalement insuffisants dans la stratégie de groupe (36 %) et la sécurité du compte (46 %).

• Les entreprises d’infrastructures publiques ont obtenu le score global le plus élevé (71 %), suivies des entités gouvernementales (70 %).

Les répondants ont cité divers catalyseurs pour déployer Purple Knight, allant d’une prolifération d’attaques dans leurs industries, des mandats internes ou suite à une violation. De nombreux répondants ont déclaré avoir été pris au dépourvu par les conclusions de leurs rapports sur Purple Knight.

Lors des entretiens de suivi avec les répondants, l’étude a également révélé que :

• Lorsque les organisations héritent des implémentations d’Active Directory on constate que les erreurs de configuration prolifèrent

• Les organisations ont un manque d’expertise Active Directory

Dans un récent rapport de 451 Research, l’analyste Garrett Bekker a déclaré : “Les services d’annuaire sont au cœur des stratégies informatiques de la plupart des entreprises, et en tant que tels, ils sont devenus des actifs critiques qui peuvent présenter des conséquences désastreuses s’ils sont compromis, comme nous l’avons appris de la désormais tristement célèbre attaque de la chaîne d’approvisionnement SolarWinds et l’attaque Hafnium sur Microsoft Exchange.”

Parlant du rapport, Mickey Bresman, PDG de Semperis, déclare : “Nous avons constaté que de nombreuses entreprises ne comprennent pas bien les risques à Active Directory que les adversaires peuvent utiliser contre elles. Nous voulions donner aux équipes de sécurité qui ne disposent pas d’une expertise AD approfondie un moyen de comprendre leur posture de sécurité AD, puis de combler les lacunes existantes afin que leurs ennemis ne les utilisent pas contre eux.”