Administration
L’administration est la pratique englobant la surveillance, la maintenance et l’exploitation des systèmes informatiques afin d’offrir les niveaux de service requis. L’administration constitue le vecteur de certains des risques ayant l’impact le plus élevé sur la sécurité, car l’exécution de ces tâches requiert un accès privilégié à un très vaste éventail de systèmes et d’applications. Les attaquants savent qu’obtenir l’accès à un compte disposant de privilèges administratifs peut leur donner accès à la plupart, voire à la totalité des données qu’ils ciblent. La sécurité de l’administration constitue donc l’un des volets les plus importants de la sécurité.
Par exemple, Microsoft investit énormément dans la protection et la formation des administrateurs de ses systèmes cloud et informatiques :
La stratégie de base que Microsoft recommande pour les privilèges administratifs consiste à utiliser les contrôles disponibles afin de réduire les risques
Réduire l’exposition au risque (étendue et durée) : le principe du moindre privilège trouve une traduction idéale dans des contrôles modernes qui fournissent des privilèges à la demande. Cela contribue à atténuer les risques en limitant l’exposition des privilèges administratifs par les moyens suivants :
Étendue : l’approche accès juste suffisant (JEA) fournit uniquement les privilèges requis pour l’opération d’administration requise (par opposition à des privilèges directs et immédiats sur un grand nombre ou la totalité des systèmes à la fois, qui ne sont pratiquement jamais nécessaires).
Temps : l’approche juste-à-temps (JIT) fournit les privilèges requis en fonction des besoins.
Atténuer les risques restants : utilisez une combinaison de contrôles de prévention et de détection pour réduire les risques, tels que l’isolation des comptes administrateur des risques les plus courants liés au hameçonnage et à la navigation web en général, la simplification et l’optimisation des flux de travail, l’augmentation de l’assurance des décisions d’authentification et l’identification d’anomalies par rapport à un comportement de base normal, qui peuvent être bloquées ou étudiées.
Microsoft a identifié et documenté des meilleures pratiques pour la protection des comptes administratifs et les feuilles de route hiérarchisées publiées pour la protection de l’accès privilégié, qui peuvent être utilisées comme références pour hiérarchiser les atténuations pour des comptes disposant d’un accès privilégié.
Minimiser le nombre d’administrateurs susceptibles d’avoir un impact critique
Accorder le plus petit nombre de comptes aux privilèges pouvant avoir un impact critique sur l’activité.
Chaque compte d’administrateur représente une surface d’attaque potentielle qu’une personne malveillante peut cibler. La réduction au minimum du nombre de comptes ayant ce privilège permet de limiter le risque global auquel l’organisation est exposée. L’expérience nous a enseigné qu’à défaut de limiter et gérer activement l’appartenance à ces groupes privilégiés, celle-ci croît spontanément au fil du temps, à mesure que les personnes changent de rôle.
Nous recommandons une approche contribuant à réduire le risque lié à cette surface d’attaque tout en garantissant la continuité d’activité au cas où il arriverait quelque chose à un administrateur :
Affectez au moins deux comptes au groupe privilégié pour la continuité d’activité
Lorsqu’au moins deux comptes sont requis, fournissez une justification pour chaque membre, y compris les deux membres d’origine
Examinez régulièrement l’appartenance au groupe et la justification de celle-ci pour chaque membre du groupe
Comptes gérés pour administrateurs
Assurez-vous que tous les administrateurs susceptibles d’avoir un impact critique sont gérés par l’annuaire d’entreprise pour suivre l’application de la stratégie de l’organisation.
Des comptes consommateur, tels que des comptes Microsoft comme @Hotmail.com, @live.com, @outlook.com, n’offrent pas suffisamment de visibilité et de contrôle de la sécurité pour garantir le respect des stratégies de l’organisation et des exigences réglementaires. Étant donné que les déploiements Azure commencent souvent petit et de manière informelle avant de croître pour devenir des locataires gérés par l’entreprise, certains comptes consommateur subsistent en tant que comptes administratifs longtemps après que leurs titulaires ont opéré à l’origine, par exemple, en tant que chefs de projets Azure. Cela a pour effet de créer des angles morts et des risques potentiels.
Comptes distincts pour les administrateurs
Assurez-vous que tous les administrateurs susceptibles d’avoir un impact critique disposent d’un compte distinct pour les tâches administratives (par opposition au compte qu’ils utilisent pour le courrier, la navigation web et d’autres tâches de productivité).
Les attaques par hameçonnage et via un navigateur web constituent les vecteurs d’attaque les plus courants pour compromettre des comptes, y compris administratifs.
Créez un compte administratif distinct pour tous les utilisateurs qui ont un rôle nécessitant des privilèges critiques. Pour ces comptes administratifs, bloquez des outils de productivité tels que le courrier Office 365 (supprimez la licence). Si possible, bloquez la navigation web arbitraire (avec des contrôles de proxy et/ou d’application) tout en accordant des exceptions pour l’accès au Portail Azure, ainsi qu’aux autres sites requis pour des tâches administratives.
Pas d’accès permanent / Privilèges juste-à-temps
Évitez d’accorder un accès permanent à des comptes susceptibles d’avoir un impact critique
Des privilèges permanents augmentent les risques en allongeant le temps pendant lequel un attaquant peut utiliser le compte pour occasionner des dommages. Des privilèges temporaires forcent un attaquant ciblant un compte à opérer dans la fourchette le temps limitée pendant laquelle l’administrateur utilise le compte, ou à procéder à une élévation des privilèges (ce qui augmente son risque d’être détecté et supprimé de l’environnement).
Accordez des privilèges requis uniquement en fonction des besoins à l’aide de l’une des méthodes suivantes :
Juste-à-temps : activez Azure AD Privileged Identity Management (PIM) ou une solution tierce pour exiger le suivi d’un flux de travail d’approbation lié à l’obtention de privilèges pour des comptes à impact critique
Urgence : pour des comptes rarement utilisés, suivez un processus d’accès d’urgence pour y accéder. Cela est préconisé pour des privilèges qui ont rarement besoin d’une utilisation opérationnelle régulière, comme des membres de comptes administrateur général.
Comptes d’accès d’urgence ou de secours
Vérifiez que vous disposez d’un mécanisme permettant d’obtenir un accès administratif en cas d’urgence.
Il peut arriver, bien que rarement, que des circonstances rares se produisent où tous les moyens d’accès administratif normaux sont indisponibles.
Nous vous recommandons de suivre les instructions fournies dans Gestion des comptes d’administration de l’accès d’urgence dans Azure AD et de vous assurer que des opérations de sécurité surveillent ces comptes avec soin.
Sécurité de station de travail d’administrateur
Assurez-vous que les administrateurs susceptibles d’avoir un impact critique utilisent une station de travail bénéficiant de protections et d’une surveillance de sécurité élevées.
Les vecteurs d’attaque utilisant la navigation et le courrier à des fins de hameçonnage sont peu coûteux et courants. L’isolation des administrateurs susceptibles d’avoir un impact critique à l’écart de ces menaces réduit considérablement le risque de survenance d’un incident majeur dans lequel l’un de ces comptes est compromis et utilisé pour compromettre sensiblement votre activité ou votre mission.
Choisissez le niveau de sécurité de station de travail d’administrateur en fonction des options disponibles à l’adresse https://aka.ms/securedworkstation.
Appareil de productivité hautement sécurisé (station de travail spécialisée ou à sécurité renforcée)
Vous pouvez démarrer ce parcours de sécurité pour des administrateurs susceptibles d’avoir un impact critique en leur fournissant une station de travail offrant une sécurité plus élevée, toute en autorisant les tâches de navigation et de productivité générales. Cette étape intermédiaire permet de faciliter la transition vers des stations de travail entièrement isolées, tant pour des administrateurs susceptibles d’avoir un impact critique que pour le personnel informatique assurant le support de ces utilisateurs et de leurs stations de travail.Station de travail à accès privilégié (station de travail spécialisée ou sécurisée)
Ces configurations correspondent à l’état de sécurité idéal pour les administrateurs susceptibles d’avoir un impact critique, car elles restreignent fortement l’accès de vecteurs d’attaque par hameçonnage ou via un navigateur d’applications de productivité. Ces stations de travail n’autorisent pas la navigation Internet générale, mais uniquement l’accès au portail Azure et à d’autres sites administratifs.
Dépendances d’administrateurs susceptibles d’avoir un impact critique – Compte/Station de travail
Choisissez avec soin les dépendances de sécurité locales pour les comptes susceptibles d’avoir un impact critique et leurs stations de travail.
Pour contenir le risque qu’incident local majeur déborde jusqu’à devenir une compromission majeure de ressources cloud, vous devez éliminer ou minimiser les moyens de contrôle dont les ressources locales disposent sur des comptes susceptibles d’avoir un impact critique dans le cloud. Par exemple, des attaquants qui compromettent l’Active Directory local peuvent accéder, au risque de les compromettre, à des ressources cloud dépendant de ces comptes, telles que des ressources dans Azure, Amazon Web Services (AWS), ServiceNow, etc. Les attaquants peuvent également utiliser des stations de travail jointes à ces domaines locaux pour accéder à des comptes et des services gérés à partir de ceux-ci.
Choisissez le niveau d’isolation des moyens de contrôle locaux également appelés dépendances de sécurité pour les comptes susceptibles d’avoir un impact critique
Comptes d’utilisateur : choisissez l’emplacement où héberger les comptes susceptibles d’avoir un impact critique.
Comptes Microsoft Entra natifs -* créez des comptes Microsoft Entra natifs qui ne sont pas synchronisés avec un Active Directory local.
Synchroniser à partir d’un Active Directory local (non recommandé) - utilisez des comptes existants hébergés dans l’annuaire Active Directory local.
Stations de travail : choisissez la façon dont vous allez gérer et sécuriser les stations de travail utilisées par les comptes administrateur critiques :
Gestion et sécurité cloud natives (recommandé) : joignez des stations de travail à l’ID Microsoft Entra et gérez/corrigez-les avec Intune ou d’autres services cloud. Protégez et surveillez-les avec Windows Defender ATP ou un autre service cloud non géré par sur des comptes locaux.
Gérer avec des systèmes existants : joignez un domaine Active Directory existant et utilisez la gestion/sécurité existantes.
Authentification sans mot de passe ou multifacteur pour les administrateurs
Demandez à tous les administrateurs susceptibles d’avoir un impact critique d’utiliser une authentification sans mot de passe ou multifacteur (MFA).
Les méthodes d’attaque ont évolué jusqu’au point où les mots de passe seuls ne peuvent pas protéger un compte de manière fiable. Cela est bien documenté dans une Session Microsoft Ignite.
Les comptes administratifs et tous les comptes critiques doivent utiliser l’une des méthodes d’authentification suivantes. Ces fonctionnalités sont répertoriées dans l’ordre de préférence, par coût/difficulté d’attaque des plus élevés (options les plus fortes/préférées) aux plus bas :
Sans mot de passe (par exemple, Windows Hello)
https://aka.ms/HelloForBusinessSans mot de passe (application d’authentification)
</azure/active-directory/authentication/howto-authentication-phone-sign-in>Authentification multifacteur
</azure/active-directory/authentication/howto-mfa-userstates>
Notez que le contournement de l’authentification multifacteur (MFA) basée sur un SMS est devenu très peu coûteux pour les attaquants. Nous vous recommandons donc d’éviter de vous appuyer sur ce mode d’authentification. Cette option reste plus puissante que les simples mots de passe, mais est plus faible que d’autres options d’authentification multifacteur.
Appliquer un accès conditionnel pour les administrateurs – Confiance Zéro
L’authentification de l’ensemble des administrateurs et autres comptes susceptibles d’avoir un impact critique doit inclure la mesure et l’application d’attributs de sécurité clés pour prendre en charge une stratégie de Confiance Zéro.
Des attaquants qui compromettent des comptes administrateur Azure peuvent occasionner des dégâts importants. Un accès conditionnel peut réduire sensiblement ce risque en appliquant l’hygiène de sécurité avant d’autoriser l’accès à la gestion Azure.
Configurez une Stratégie d’accès conditionnel pour la gestion Azure correspondant au goût du risque et aux besoins opérationnels de votre organisation.
Exiger une authentification multifacteur et/ou une connexion à partir d’un réseau de travail désigné
Exiger l’intégrité des appareils avec Microsoft Defender ATP (assurance forte).
Évitez les autorisations granulaires et personnalisées
Évitez les autorisations qui référencent des ressources ou des utilisateurs spécifiques.
Des autorisations spécifiques créent une complexité et une confusion superflues, car elles ne visent pas de nouvelles ressources similaires. Elles s’accumulent pour aboutir à une configuration héritée complexe qui est difficile à gérer ou à modifier sans crainte de « casser quelque chose », ce qui a une incidence négative sur la sécurité et l’agilité de la solution.
Au lieu d’attribuer des autorisations spécifiques de certaines ressources, utilisez l’une des deux solutions suivantes :
groupes d’administration pour les autorisations à l’échelle de l’entreprise ;
groupes de ressources pour les autorisations au sein d’abonnements.
Au lieu d’accorder des autorisations à des utilisateurs spécifiques, attribuez l’accès à des groupes dans Microsoft Entra ID. S’il n’existe pas de groupe approprié, consultez l’équipe en charge des identités pour en créer un. Cela vous permet d’ajouter et de supprimer des membres d’un groupe à l’extérieur d’Azure et de vérifier que les autorisations sont actives, tout en autorisant l’utilisation du groupe à d’autres fins, telles que les listes de diffusion.
Utiliser des rôles intégrés
Utilisez des rôles intégrés pour attribuer des autorisations dans la mesure du possible.
La personnalisation entraîne une complexité qui augmente la confusion et rend l’automatisation plus complexe, difficile et fragile. Ces facteurs ont une incidence négative sur la sécurité.
Nous vous recommandons d’évaluer les rôles intégrés conçus pour couvrir la plupart des scénarios normaux. Les rôles personnalisés constituent une fonctionnalité puissante et parfois utile, mais ils doivent être réservés aux cas où des rôles intégrés ne fonctionnent pas.
Mettre en place une gestion du cycle de vie pour les comptes susceptibles d’avoir un impact critique
Assurez-vous de disposer d’un processus de désactivation ou de suppression de comptes administratifs quand des membres du personnel administratif quittent l’organisation (ou des postes administratifs).
Pour plus d'informations, voir Gérer l’accès des utilisateurs et des utilisateurs invités à l’aide des révisions d’accès.
Simulation d’attaque pour les comptes susceptibles d’avoir un impact critique
Simulez régulièrement des attaques dirigées contre des utilisateurs administratifs en utilisant des techniques d’attaque actuelles afin de les éduquer et de les aider.
Les personnes jouent un rôle essentiel dans votre défense, en particulier celles ayant accès à des comptes susceptibles d’avoir un impact critique. En veillant à ce que les utilisateurs (idéalement tous les utilisateurs) disposent des connaissances et des compétences nécessaires pour éviter et contrer les attaques, vous réduisez le risque global auquel votre organisation est exposée.
Vous pouvez utiliser les fonctionnalités de Simulation d’attaque d’Office 365 ou toute autre offre tierce.
Étapes suivantes
Pour obtenir d’autres conseils de sécurité de Microsoft, consultez la documentation Microsoft sur la sécurité.