Par exemple si le personnel de santé n’a pas accès aux données ou aux applications qu’ils emploient pour prescrire des médicaments, examiner les dossiers des patients ou interagir avec leurs collègues pour des interventions médicales à venir, le soin apporté aux patients est forcément très dégradé. Si l’exemple du secteur de la santé est particulièrement marquant, l’impact peut être très important dans la plupart des secteurs d’industrie. Active Directory est un élément vital pour vos applications, fichiers et utilisateurs, sans lui, c’est souvent l’intégralité des services IT qui sont paralysés ou rendus inutilisables.

L’exemple de Maersk

Le géant du transport maritime Maersk a traversé il y a quelques temps un scénario catastrophe. Après l’attaque ransomware NotPetya, le réseau de Maersk était si profondément affecté que même l’équipe IT en place à l’époque se sentait impuissante face aux dommages causés. Tous les employés, privés de poste de travail, de serveur, routeur ou téléphone de bureau, ont été contraints de quitter leurs bureaux faute de pouvoir y effectuer la moindre tache.

Les équipes Maersk ont pourtant réagi rapidement pour reconstruire leurs infrastructures et réactiver toute l’informatique des 76 ports dont elles ont la responsabilité à travers le monde ainsi que de ses 800 navires.
A l’époque, Maersk avait pu rétablir presque l’intégralité de ses serveurs via leurs sauvegardes. En revanche les sauvegardes effectuées pour les contrôleurs de domaines avaient été endommagées par l’attaque et rendues inutilisables. Or les contrôleurs de domaine sont les gardiens et les garants de l’authentification des utilisateurs et de la gestion des autorisations d’accès aux systèmes. Chacun de leurs 150 contrôleurs de domaines étaient synchronisés les uns avec les autres, supposés agir comme sauvegarde les uns pour les autres. La synchronisation utilisée comme moyen de sauvegarde a ses limites. Ce n’est pas du backup. Lorsque tous les points sont altérés en même temps ou lorsque l’un d’eux propage une altération, il n’est pas possible de Considérer à une récupération via la synchronisation. La dégradation simultanée de tous les contrôleurs de domaine est un scénario rare certes, mais c’est exactement ce qu’a causé NotPetya ce jour-là.

Dans l’absolu, il était difficile pour Maersk d’envisager et à fortiori de prévenir une attaque de l’ampleur de NotPetya. Il n’empêche que son impact colossal sur les assets IT de Maersk illustre l’importance de concevoir et d’exécuter un plan de sauvegarde et de reprise après sinistre pour votre active directory.
Malheureusement, bien souvent, si vous ne pouvez pas rétablir vos contrôleurs de domaine après une dégradation, peu importe le niveau de fonctionnalité du reste de l’infrastructure, vous ne pouvez pas fournir l’accès aux services IT dont a besoin votre entreprises.

Comment faire

Un plan de reprise après sinistre dans un scénario aussi dévastateur que celui décrit ci-dessus implique de pouvoir reconstruire votre active directory à partir de zéro. Il n’y a alors plus aucun contrôleur de domaine disponible à l’échelle mondiale, dans aucun data center ou ils sont tous compromis. Tout, depuis le serveur, la machine virtuelle, le système d’exploitation jusqu’à l’active directory lui-même, doit être rétablit. Dans certains cas, jusqu’à dix services différents de votre entreprise peuvent être impliqués pour rendre les accès aux utilisateurs et leurs permettre d’être à nouveau opérationnels.

Certaines entreprises s’appuient sur un système d’envoi d’alertes composé de primo intervenants de divers services (serveur, stockage, AD, OS, réseau, sécurité, etc.) pour répondre et intervenir sur un appel d’urgence. Mais les gens sont parfois absents. Faute de disponibilités, vous pouvez vous retrouver bloqués dans le processus en attendant par exemple que quelqu’un provisionne votre système d’exploitation.

Cependant, inclure votre Active Directory dans votre plan de reprise après sinistre n’est pas forcément simple. Afin d’obtenir une performance maximale en termes de temps de récupération, voici une liste des point cruciaux.
• Faites régulièrement des copies de vos contrôleurs de domaines et stockez-les dans un réseau complètement séparé d’Active Directory avec des API non-Microsoft pour entrer dans ce réseau et ainsi éviter que des attaques comme WannaCry et NotPetya ne puissent compromettre vos sauvegardes.
• Limitez l’accès à ces sauvegardes aux administrateurs Active Directory pour réduire le risque d’erreurs et de manipulation malveillante.
• Créez un kit de ce dont vous auriez besoin et mettez-les en attente sur vos sites de reprise après sinistre. Cela inclut des machines virtuelles/serveurs prêts à l’emploi et hors ligne avec les données critiques, les volumes et le système d’exploitation afin que l’équipe Active Directory puisse rapidement reconstruire et déployer vos Contrôleurs de Domaines. Lorsque les minutes comptent pour votre entreprise, la dernière chose que vous voulez faire est d’appeler l’équipe serveur pour obtenir un hôte.
• Pour les contrôleurs de domaine virtualisés, la plupart des organismes de prestation de services ont comme pratique d’avoir des contrôleurs de domaine physiques hors ligne et prêts au cas où ceux virtualisés tomberaient en panne. C’est une bonne pratique mais pas nécessairement évidente à appliquer.

L’importance d’automatiser

S’assurer du respect de ces points et maintenir la conformité de votre plan de reprise après sinistre avec les bonnes pratiques du secteur peut s’avérer complexe et consommateur de ressources. Pour vous assurer de suivre à la lettre les recommandations et que la solution mise en place continue de remplir sa mission il est possible et même largement recommandé d’opter pour des solutions dédiées. Les solutions modernes vous permettront même de diminuer de manière notable le temps de restauration d’une forêt Active Directory.
Ces solutions n’empêchent pas la nécessité de protéger les fichiers de sauvegardes mais permettront d’automatiser complètement les procédures de sauvegarde. En cas d’incident, elles faciliteront grandement la remise à disposition de la structure Active Directory et ce, sans avoir recourt à des profils hautement spécialisés.

En suivant ces recommandations, vous pouvez construire un plan de reprise qui rendra votre active directory et vos contrôleurs de domaine bien plus résilients et vous permettra, le cas échéant, de rétablir rapidement non seulement vos services informatiques mais également la gestion des accès sans devoir faire appel à des prestataires tiers ou même des services externes au votre au sein de votre entreprise.