Accès privilégié : Comptes

La sécurité des comptes est un composant essentiel de la sécurisation de l’accès privilégié. La sécurité de bout en bout Zero Trust pour les sessions nécessite forcément d’établir que le compte utilisé dans la session est effectivement sous le contrôle du propriétaire humain et non d’un attaquant se faisant passer pour eux.

La sécurité forte des comptes commence par l’approvisionnement sécurisé et la gestion complète du cycle de vie jusqu’à la déprovisionnement, et chaque session doit établir des garanties fortes que le compte n’est actuellement pas compromis en fonction de toutes les données disponibles, y compris les modèles de comportement historiques, le renseignement sur les menaces disponibles et l’utilisation dans la session active.

Sécurité du compte

Ce guide définit trois niveaux de sécurité pour la sécurité des comptes que vous pouvez utiliser pour les ressources avec différents niveaux de confidentialité :

Ces niveaux établissent des profils de sécurité clairs et implémentables appropriés pour chaque niveau de confidentialité auquel vous pouvez attribuer des rôles et effectuer un scale-out rapide. Tous ces niveaux de sécurité de compte sont conçus pour maintenir ou améliorer la productivité des personnes en limitant ou en éliminant l’interruption des flux de travail des utilisateurs et des administrateurs.

Planification de la sécurité des comptes

Ce guide décrit les contrôles techniques nécessaires pour répondre à chaque niveau. Les conseils d’implémentation se situent dans la feuille de route d’accès privilégié.

Contrôles de sécurité de compte

L’obtention de la sécurité pour les interfaces nécessite une combinaison de contrôles techniques qui protègent les comptes et fournissent des signaux à utiliser dans une décision de stratégie Confiance Zéro (voir Sécurisation des interfaces pour la référence de configuration de stratégie).

Les contrôles utilisés dans ces profils sont les suivants :

• Authentification multifacteur - fournissant diverses sources de preuve que le (conçu pour être aussi facile que possible pour les utilisateurs, mais difficile pour un adversaire à imiter).
• Risque de compte - Surveillance des menaces et des anomalies - utilisation d’UEBA et de renseignement sur les menaces pour identifier les scénarios à risque
• Surveillance personnalisée : pour les comptes plus sensibles, la définition explicite de comportements/modèles autorisés/acceptés permet la détection précoce de l’activité anormale. Ce contrôle n’est pas adapté aux comptes à usage général dans l’entreprise, car ces comptes ont besoin de flexibilité pour leurs rôles.

La combinaison de contrôles vous permet également d’améliorer la sécurité et la facilité d’utilisation , par exemple un utilisateur qui reste dans son modèle normal (à l’aide du même appareil dans le même emplacement jour après jour) n’a pas besoin d’être invité à entrer en dehors de l’authentification multifacteur chaque fois qu’il s’authentifie.

Comptes de sécurité d’entreprise

Les contrôles de sécurité pour les comptes d’entreprise sont conçus pour créer une base de référence sécurisée pour tous les utilisateurs et fournir une base sécurisée pour la sécurité spécialisée et privilégiée :

• Appliquer une authentification multifacteur forte (MFA) : vérifiez que l’utilisateur est authentifié avec une authentification multifacteur forte fournie par un système d’identité managée par l’entreprise (détaillé dans le diagramme ci-dessous). Pour plus d’informations sur l’authentification multifacteur, consultez la meilleure pratique de sécurité Azure 6.

  Note

  Même si votre organisation peut choisir d’utiliser une forme plus faible existante d’authentification multifacteur pendant une période de transition, les attaquants évitent de plus en plus les protections MFA, de sorte que tous les nouveaux investissements dans l’authentification multifacteur doivent être sur les formes les plus fortes.

• Appliquer le risque de compte/session : assurez-vous que le compte n’est pas en mesure de s’authentifier, sauf s’il se trouve à un niveau de risque faible (ou moyen ?). Pour plus d’informations sur la sécurité des comptes d’entreprise conditionnels, consultez les niveaux de sécurité de l’interface.

• Surveiller et répondre aux alertes : les opérations de sécurité doivent intégrer des alertes de sécurité de compte et obtenir une formation suffisante sur la façon dont ces protocoles et systèmes fonctionnent pour s’assurer qu’ils sont en mesure de comprendre rapidement ce qu’une alerte signifie et réagit en conséquence.

  • Activer microsoft Entra ID Protection
  • Examiner les risques liés à la protection des ID Microsoft Entra
  • Résoudre/examiner les échecs de connexion à l’accès conditionnel

Le diagramme suivant fournit une comparaison avec différentes formes d’authentification multifacteur et sans mot de passe. Chaque option dans la zone Best est à la fois haute sécurité et haute facilité d’utilisation. Chacune a des exigences matérielles différentes afin que vous souhaitiez combiner et faire correspondre celles qui s’appliquent à différents rôles ou individus. Toutes les solutions sans mot de passe Microsoft sont reconnues par l’accès conditionnel comme une authentification multifacteur, car elles nécessitent la combinaison de quelque chose que vous avez avec la biométrie, quelque chose que vous connaissez ou les deux.

Note

Pour plus d'informations sur les raisons pour lesquelles l'authentification par SMS et autres méthodes d'authentification par téléphone sont limitées, consultez l'article de blog It's Time to Hang Up on Phone Transports for Authentication.

Comptes spécialisés

Les comptes spécialisés fournissent un niveau de protection supérieur adapté aux utilisateurs sensibles. En raison de leur impact commercial plus élevé, les comptes spécialisés justifient une surveillance et une hiérarchisation supplémentaires pendant les alertes de sécurité, les enquêtes sur les incidents et la chasse aux menaces.

La sécurité spécialisée s’appuie sur l’authentification multifacteur forte dans la sécurité d’entreprise en identifiant les comptes les plus sensibles et en garantissant que les alertes et les processus de réponse sont hiérarchisés :

1. Identifier les comptes sensibles : consultez les instructions de niveau de sécurité spécialisées pour identifier ces comptes.
2. Étiqueter des comptes spécialisés - Vérifiez que chaque compte sensible est marqué
   1. Configurer les Watchlists Microsoft Sentinel pour identifier ces comptes sensibles
   2. Configurer la protection des comptes prioritaires dans Microsoft Defender pour Office 365 et désigner des comptes spécialisés et privilégiés en tant que comptes prioritaires -
3. Mettre à jour les processus d’opérations de sécurité pour donner à ces alertes la priorité la plus élevée
4. Configurer la gouvernance - Mettre à jour ou créer un processus de gouvernance pour vous assurer que
   1. Tous les nouveaux rôles sont évalués pour les classifications spécialisées ou privilégiées à mesure qu'ils sont créés ou modifiés.
   2. Tous les nouveaux comptes sont étiquetés à mesure qu’ils sont créés
   3. Vérifications continues ou périodiques hors canal pour s’assurer que les rôles et les comptes ne passent pas inaperçus par les processus de gouvernance normaux.

Comptes privilégiés

Les comptes privilégiés ont le niveau de protection le plus élevé, car ils représentent un impact potentiel significatif ou matériel sur les opérations de l’organisation en cas de compromission.

Les comptes privilégiés incluent toujours les administrateurs informatiques ayant accès à la plupart ou à tous les systèmes d’entreprise, y compris la plupart ou tous les systèmes critiques pour l’entreprise. D’autres comptes ayant un impact important sur l’entreprise peuvent également justifier ce niveau de protection supplémentaire. Pour plus d’informations sur les rôles et comptes à protéger à quel niveau, consultez l’article Privileged Security.

En plus de la sécurité spécialisée, la sécurité des comptes privilégiés augmente à la fois :

• Prévention : ajoutez des contrôles pour limiter l’utilisation de ces comptes aux appareils, stations de travail et intermédiaires désignés.
• Réponse : surveillez attentivement ces comptes pour une activité anormale et examinez et corrigez rapidement le risque.

Configuration de la sécurité de compte privilégié

Suivez les instructions du plan de modernisation rapide de sécurité pour augmenter la sécurité de vos comptes privilégiés et réduire vos coûts à gérer.

Étapes suivantes

• Vue d’ensemble de la sécurisation de l’accès privilégié
• Stratégie d’accès privilégié
• Mesure du succès
• Niveaux de sécurité
• Intermédiaires
• Interfaces
• Appareils d’accès privilégié
• Modèle d’accès d’entreprise