Ce plan de modernisation rapide (RaMP) vous permet d’adopter rapidement la stratégie d’accès privilégié recommandée de Microsoft.
Cette feuille de route s’appuie sur les contrôles techniques établis dans le guide de déploiement de l’accès privilégié. Effectuez ces étapes, puis suivez les étapes mentionnées dans ce plan de modernisation rapide (RaMP) afin de configurer les contrôles pour votre organisation.
Notes
La plupart de ces étapes ont une dynamique de terrain vierge/zone de friche, car les organisations présentent souvent des risques de sécurité par la façon dont ils sont déjà déployés ou configurés.
Cette feuille de route privilégie l’arrêt de l’accumulation des nouveaux risques de sécurité, puis nettoie ultérieurement les éléments restants déjà accumulés.
À mesure que vous progressez dans la feuille de route, vous pouvez utiliser le Degré de sécurisation Microsoft pour suivre et comparer de nombreux éléments du parcours avec d’autres se trouvant dans des organisations similaires au fil du temps. Pour en savoir plus sur le Degré de sécurisation Microsoft, consultez l’article Vue d’ensemble du degré de sécurisation.
Chaque élément de ce plan de modernisation rapide (RaMP) est structuré comme une initiative qui sera suivie et gérée à l’aide d’un format qui s’appuie sur la méthodologie des objectifs et résultats clés (OKR). Chaque élément comprend les informations Quoi (objectif), Pourquoi, Qui, Comment et Comment mesurer (résultats des clés). Certains éléments nécessitent l’apport de changements au processus et aux connaissances ou compétences des personnes, tandis que d’autres sont des changements plus simples apportés aux technologies. La plupart de ces initiatives incluent des membres ne faisant pas partie du service informatique traditionnel et qui doivent être inclus dans la prise de décision et l’implémentation de ces changements afin de veiller à ce qu’ils soient correctement intégrés dans votre organisation.
Il est essentiel de travailler ensemble en tant qu’organisation, de créer des partenariats et de former les personnes qui ne faisaient généralement pas partie de ce processus. Il est essentiel de susciter et d’entretenir l’adhésion au sein de l’organisation. Sans cette dernière, de nombreux projets sont défaillants.
Séparer et gérer les comptes privilégiés
Comptes d’accès d’urgence
Quoi : vérifiez que vous n’êtes pas accidentellement verrouillé hors de votre organisation Microsoft Entra dans une situation d’urgence.
Pourquoi : les comptes d’accès d’urgence sont rarement utilisés et très préjudiciable pour l’organisation en cas de compromission, mais leur disponibilité pour l’organisation revêt une importance capitale pour les quelques scénarios dans lesquels ils sont nécessaires. Vérifiez que vous disposez d’un plan de continuité d’accès qui prend en charge aussi bien les événements attendus que ceux inattendus.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes
Établi Le processus d’accès d’urgence a été conçu en fonction des instructions de Microsoft qui répondent aux besoins de l’organisation
Conservé L’accès d’urgence a été révisé et testé au cours des 90 derniers jours
Activez Microsoft Entra Privileged Identity Management.
Quoi : Utilisez Microsoft Entra Privileged Identity Management dans votre environnement de production Microsoft Entra afin de détecter et de sécuriser les comptes privilégiés
Pourquoi : Privileged Identity Management assure une activation de rôle basée sur la durée et basée sur l’approbation pour atténuer les risques d’autorisations d’accès excessives, inutiles ou utilisées à mauvais escient.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Résultats des mesures clés : 100 % des rôles d’accès privilégié applicables utilisent Microsoft Entra PIM
Identifier et classer les comptes privilégiés (Microsoft Entra ID)
Quoi : Identifiez tous les rôles et groupes ayant un fort impact commercial qui nécessitent un niveau de sécurité privilégié (immédiatement ou dans le temps). Ces administrateurs exigent des comptes distincts lors d’une étape ultérieure Administration de l’accès privilégié.
Pourquoi : cette étape est obligatoire pour identifier et réduire le nombre de personnes qui nécessitent des comptes distincts et une protection de l’accès privilégié.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Comment : Après avoir activé Microsoft Entra Privileged Identity Management, affichez les utilisateurs qui sont dans les rôles Microsoft Entra suivants, au minimum en fonction des politiques de risque de votre entreprise :
Supprimez les comptes qui ne sont plus nécessaires dans ces rôles. Ensuite, classez les comptes restants qui sont affectés aux rôles d’administrateur :
Affectés à des utilisateurs administratifs, mais également utilisés à des fins de productivité non administrative, comme la lecture et la réponse aux e-mails.
Affectés à des utilisateurs administratifs et dédiés à des fins exclusivement administratives
Partagés entre plusieurs utilisateurs
Pour les scénarios d’accès d’urgence de secours
Pour les scripts automatisés
Pour les utilisateurs externes
Si vous ne disposez pas de Microsoft Entra Privileged Identity Management dans votre organisation, vous pouvez utiliser l’API PowerShell. Commencez avec le rôle Administrateur général, car celui-ci dispose des mêmes autorisations sur tous les services cloud auxquels votre organisation s’est abonnée. Ces autorisations sont acquises, quelle que soit leur provenance : Centre d’administration Microsoft 365, Portail Azure ou module Azure AD pour Microsoft PowerShell.
Résultats des clés de mesure : La vérification et l’identification des rôles d’accès privilégiés ont été effectuées au cours des 90 derniers jours
Comptes distincts (comptes AD locaux)
Quoi : Sécuriser les comptes d’administration privilégiés locaux, si ce n’est pas déjà fait. Cette étape comprend les opérations suivants :
création de comptes administrateur distincts pour les utilisateurs qui doivent effectuer des tâches administratives locales :
déploiement de stations de travail disposant d’un accès privilégié pour les administrateurs Active Directory ;
création de mots de passe d’administrateur local uniques pour les stations de travail et les serveurs.
Pourquoi : Renforcement de la sécurité des comptes utilisés pour les tâches d’administration. La messagerie doit être désactivée pour les comptes d’administrateur et aucun compte Microsoft personnel ne doit être autorisé.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Comment : Tous les employés autorisés à détenir des privilèges administratifs doivent avoir des comptes distincts pour leurs fonctions administratives, différents de leurs comptes d’utilisateur. Ne partagez pas ces comptes entre les utilisateurs.
Comptes d’utilisateur standard : privilèges d’utilisateur standard octroyés pour les tâches d’utilisateur standard, comme l’e-mail, la navigation web et l’utilisation des applications métier. Ces comptes ne bénéficient pas de privilèges administratifs.
Comptes administratifs : comptes distincts créés pour les personnes qui disposent des privilèges administratifs appropriés.
Résultats des clés de mesure : 100 % des utilisateurs locaux disposant de privilèges ont des comptes dédiés distincts
Microsoft Defender pour Identity
Quoi : Microsoft Defender pour Identity combine des signaux locaux et des insights cloud pour superviser, protéger et examiner les événements dans un format simplifié, ce qui permet à vos équipes de sécurité de détecter les attaques avancées contre votre infrastructure d’identité, avec la possibilité d’effectuer les opérations suivantes :
Surveiller les utilisateurs, ainsi que le comportement et les activités des entités avec une analytique basée sur l’apprentissage
Protéger les identités et les informations d’identification des utilisateurs qui sont stockées dans Active Directory
Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne d’annihilation
Fournir des informations claires sur les incidents selon une chronologie simple, permettant un triage rapide
Pourquoi : il est possible que des attaquants modernes restent indétectables pendant de longues périodes. De nombreuses menaces sont difficiles à identifier sans une image cohérente de l’ensemble de votre environnement d’identité.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Résultats des clés de mesure : Toutes les alertes ouvertes examinées et atténuées par les équipes appropriées.
Améliorer l’expérience de gestion des informations d’identification
Implémenter et documenter la réinitialisation de mot de passe en libre-service et l’inscription d’informations de sécurité combinée
Quoi : Activez et configurez la réinitialisation de mot de passe en libre-service (SSPR) dans votre organisation et activez l’inscription d’informations de sécurité combinée.
Pourquoi : Les utilisateurs sont en mesure de réinitialiser leurs propres mots de passe une fois qu’ils sont inscrits. L'enregistrement combiné des informations de sécurité offre une meilleure expérience à l'utilisateur en lui permettant de s'enregistrer pour l'authentification multifactorielle Microsoft Entra et la réinitialisation du mot de passe en libre-service. Quand ils sont utilisés conjointement, ces outils contribuent à réduire les coûts de support technique et à améliorer la satisfaction des utilisateurs.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Les processus de support technique pour les opérations informatiques centrales ont été mis à jour et le personnel a été entraîné sur ceux-ci
Les processus de propriétaire de service pour les opérations informatiques centrales ont été mis à jour et le personnel a été entraîné sur ceux-ci
Comment : Activez l’authentification multifacteur de Microsoft Entra et inscrivez tous les autres comptes d’administrateur non fédérés mono-utilisateurs hautement privilégiés. Exigez l’authentification multifacteur lors de la connexion de tous les utilisateurs individuels qui sont en permanence affectés à un ou plusieurs rôles d’administrateur Microsoft Entra.
Demandez aux administrateurs d’utiliser des méthodes de connexion sans mot de passe comme les clés de sécurité FIDO2 ou Windows Hello Entreprise conjointement avec des mots de passe uniques, longs et complexes. Appliquez ce changement avec un document de stratégie d’organisation.
Résultats des clés de mesure : 100 % des utilisateurs disposant de privilèges utilisent l’authentification sans mot de passe ou une forme forte d’authentification multifacteur pour toutes les ouvertures de session. Consultez Comptes d’accès privilégié pour obtenir une description de l’authentification multifacteur
Bloquer les protocoles d’authentification hérités pour les comptes d’utilisateurs privilégiés
Quoi : Bloquer l’utilisation de protocoles d’authentification hérités pour les comptes d’utilisateurs privilégiés.
Pourquoi : les organisations doivent bloquer ces protocoles d’authentification hérités, car l’authentification multifacteur ne peut pas y être appliquée. Laisser des protocoles d’authentification hérités activés peut créer un point d’entrée pour les attaquants. Il est possible que certaines applications héritées reposent sur ces protocoles et les organisations ont la possibilité de créer des exceptions spécifiques pour certains comptes. Ces exceptions doivent être suivies et des contrôles de supervision supplémentaires doivent être implémentés.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Protocoles hérités bloqués : Tous les protocoles hérités sont bloqués pour tous les utilisateurs, avec uniquement des exceptions autorisées
Les exceptions sont examinées tous les 90 jours et expirent définitivement dans un délai d’un an. Les propriétaires d’applications doivent corriger toutes les exceptions dans un délai d’un an après l’approbation de la première exception
Processus de consentement d’application
Quoi : désactiver le consentement de l’utilisateur final pour les applications Microsoft Entra.
Notes
Ce changement nécessite de centraliser le processus de prise de décision avec les équipes d’administration de la sécurité et des identités de votre organisation.
Pourquoi : Les utilisateurs peuvent créer par inadvertance des risques organisationnels en fournissant un consentement pour une application qui peut accéder aux données de l’organisation de manière malveillante.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
Les processus de support technique pour les opérations informatiques centrales ont été mis à jour pour les appels au support technique associés et le personnel a été entraîné sur ceux-ci
Comment : Créez un processus qui supervise et gère les risques liés à l’utilisateur et à la connexion. Décidez si vous automatisez la correction, en utilisant SSPR et l’authentification multifacteur Microsoft Entra, ou bloquez et exigez une intervention de l’administrateur. Suivez les instructions dans l’article Guide pratique pour Configurer et activer des stratégies de risque.
Résultats des clés de mesure : L’organisation n’a aucun risque lié aux utilisateurs et aux connexions non traité.
Notes
Des stratégies d’accès conditionnel sont nécessaires pour bloquer l’accumulation de nouveaux risques liés aux connexions. Consultez la section Accès conditionnel figurant dans Déploiement de l’accès privilégié
Déploiement initial de stations de travail administrateur
Quoi : Les comptes privilégiés comme ceux qui gèrent Microsoft Entra ID disposent de stations de travail dédiées à partir desquelles effectuer les tâches d’administration.
Pourquoi : Les appareils sur lesquels les tâches d’administration privilégiée sont effectuées sont une cible des attaquants. Il est essentiel de sécuriser non seulement le compte mais également ces ressources pour réduire votre surface d’attaque. Cette séparation limite l’exposition aux attaques courantes dirigées contre les tâches liées à la productivité comme les e-mails et la navigation sur le web.
Parrainage : Cette initiative est généralement sponsorisée par le Chef de la sécurité des systèmes d’information (CISO), le Directeur des systèmes d’information ou le Directeur de la sécurité des identités
Exécution : Cette initiative est un travail collaboratif impliquant :
Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)