Sécurité informatique et Active Directory : les bonnes pratiques pour booster votre sécurité informatique
Dans la pratique, on peut reconnaître que Microsoft Active Directory (AD) et Azure AD permettent d’apporter aux organisations des nouvelles dynamiques et normes qui offrent de mieux organiser leur stockage des données d’identité ainsi que des informations liées à l’entreprise.
Pourtant dans l’aspect de la cybersécurité, les Active Directory sont les cibles principales. Selon une étude réalisée par Cyber Risk Alliance, 95 % des attaques dirigées contre les organisations sa puis sur les vulnérabilités Active Directory. Par conséquent, il est important d’adopter les meilleures pratiques possibles pour réduire l’exposition aux attaques de type rançongiciel, attaque qui constituent l’essentiel des menaces aujourd’hui.
Cet article va aussi vous intéresser : Active Directory surveillé de près par les gendarmes Français de la sécurité informatique
Voici ensemble quelques astuces que vous pouvez mettre en pratique pour vous protéger au mieux :
Conseil 1 : analyser de manière régulière les comptes
Si l’objectif est de maintenir votre environnement Active Directory sécurisé et ordonné, la réalisation régulière d’analyse de compte est de loin la méthode la plus efficace. Il est clairement important de passer en revue l’ensemble des comptes utilisateurs. Ce qui signifie examiner qui possède quel compte avant chaque audit, corriger les failles de sécurité liées aux accès et aux identités sans oublier le filtrage des comptes d’utilisateur pour se débarrasser de ceux qui ne sont pas conformes à la politique de sécurité.
Conseil 2 : associer les comptes d’utilisateurs et les dossiers et des employés
Chaque compte lié à l’Active directory doit être officiellement et rigoureusement lié à un utilisateur en particulier. Que ce soit l’outil informatique utilisé, une application ou un service, il doit impérativement être relié à une personne en particulier ou à un statut bien défini. Tout ceci est relié directement à un système de ressources humaines. À ce propos, Hicham Bouali, Architecte IAM Solutions, Par ailleurs responsable avant-ventes EMEA One Identity déclare : « Il faut se concentrer en priorité sur les comptes créés pour des personnes ou employés (utilisateurs finaux, sous-traitants, administrateurs, etc.) et impérativement les relier à son dossier dans son système RH. Pourquoi ? Pour que l’accès des employés au réseau puisse être lié à leur statut et à leur rôle au sein de l’organisation. Ainsi, lorsque le rôle d’un employé change au sein d’une organisation, il est aisé de trouver son compte et modifier son statut et ses droits en conséquence. ».
Conseil 3 : vérifier et contrôler les comptes
Le problème avec la possibilité de créer des comptes de manière libre, ce qu’il donne l’avantage au cyber malveillants qui peuvent aussi créer de faux profils pour s’en servir à diverses fins qui ne sont pas bien évidemment bienveillants. Et bien informatique sont connus exploiter ce genre de possibilités pour créer de faux comptes et profiter de certains privilèges qu’ils ne doivent pas afin de dissimuler certaines de leurs activités malveillantes dans des environnements où l’accès est libre et la création de compte facile. Si bien évidemment vous voulez que ce genre d’inclusion soit évitée, il faut surveiller et contrôler chaque fois qu’un nouveau compte est créé. S’assurer que l’individu qui crée ce compte est bel et bien identifié et en a le droit comme il faut. En imposant ce genre de contrôle, l’éventualité que les cybercriminels créent de faux comptes est alors réduite.
Conseil 4 : opter pour la maintenance automatisée des comptes
En rendant automatique la création de compte, cela impose clairement de ces normes à respecter pour la création de nouveau compte. Cela donne l’assurance que les règles en vigueur soient respectées dans la manière d’utiliser ces comptes. Bien évidemment l’erreur humaine dans son programme est réduite.
Conseil 5 : avoir une bonne gestion du changement de rôle.
Lorsqu’un compte n’est plus utilisé ou ne sert plus à rien, il faut certainement s’en débarrasser car il constitue nettement une vulnérabilité pour l’ensemble des systèmes. Énormément d’organisation continue de fonctionner avec des comptes d’utilisateurs fantômes ou inutiles. Le danger est donc de ce côté. « Les comptes utilisateurs fantômes ou orphelins constituent un autre risque de sécurité important pour les organisations qui utilisent les outils de gestion AD fournis par le système. Elles omettent souvent de désactiver ou modifier les droits des comptes utilisateurs lors d’un départ de l’entreprise. Il ne suffit pas de rechercher les comptes sans connexion récente pour gérer ces comptes. Surtout s’ils peuvent encore accéder au réseau, son compte n’apparaîtra pas comme inactif. », souligne Hicham Bouali.
Il est possible de régler cette situation en déterminant dès la création, le cycle de vie d’un compte d’utilisateur. De la sorte, on peut déterminer à quel moment se débarrasser de ce compte.
« Si l’application RH de l’entreprise comprend un flux de travail, on peut automatiser l’envoi d’un e-mail aux administrateurs lorsqu’un utilisateur est remercié, change de rôle ou est rattaché à un autre supérieur hiérarchique. Si ces mêmes applications permettent de programmer l’envoi automatique de rapports, il serait utile de programmer un rapport quotidien sur les fins de contrat et les changements de poste. », explique notre expert.
Accédez maintenant à un nombre illimité de mot de passe :
