Plan de modernisation rapide de la sécurité

Ce plan de modernisation rapide (RAMP) vous aidera à adopter rapidement la stratégie d’accès privilégié recommandée par Microsoft .

Cette feuille de route s’appuie sur les contrôles techniques établis dans le guide de déploiement de l’accès privilégié. Effectuez ces étapes, puis utilisez les étapes de ce RAMP pour configurer les contrôles de votre organisation.

Note

La plupart de ces étapes ont une dynamique de terrain vierge/zone de friche, car les organisations présentent souvent des risques de sécurité par la façon dont ils sont déjà déployés ou configurés. Cette feuille de route hiérarchise l’arrêt de l’accumulation de nouveaux risques de sécurité, puis nettoie ensuite les éléments restants qui ont déjà été accumulés.

À mesure que vous progressez dans la feuille de route, vous pouvez utiliser Microsoft Secure Score pour suivre et comparer de nombreux éléments dans le parcours avec d’autres organisations similaires au fil du temps. En savoir plus sur le degré de sécurisation Microsoft dans l’article Vue d’ensemble du score de sécurisation.

Chaque élément de ce RAMP est structuré en tant qu’initiative qui sera suivie et gérée à l’aide d’un format qui s’appuie sur les objectifs et la méthodologie des résultats clés (OKR). Chaque élément comprend ce qui (objectif), pourquoi, qui, comment et comment mesurer (résultats clés). Certains éléments nécessitent des modifications apportées aux processus et aux connaissances ou compétences des personnes, tandis que d’autres sont des changements technologiques plus simples. La plupart de ces initiatives incluront des membres en dehors du service informatique traditionnel qui devraient être inclus dans la prise de décision et la mise en œuvre de ces changements pour s’assurer qu’ils sont correctement intégrés dans votre organisation.

Il est essentiel de travailler ensemble en tant qu’organisation, de créer des partenariats et d’éduquer les personnes qui ne faisaient traditionnellement pas partie de ce processus. Il est essentiel de créer et de maintenir l'adhésion au sein de l'organisation ; sans cela, de nombreux projets échouent.

Séparer et gérer des comptes privilégiés

Comptes d’accès d’urgence

• Quoi : Assurez-vous que vous n'êtes pas accidentellement bloqué hors de votre organisation Microsoft Entra dans une situation d'urgence.
• Pourquoi: les comptes d’accès d’urgence rarement utilisés et hautement nuisibles à l’organisation s’ils sont compromis, mais leur disponibilité à l’organisation est également essentielle pour les rares scénarios quand ils sont nécessaires. Assurez-vous que vous disposez d’un plan pour la continuité de l’accès qui s’adapte aux événements attendus et inattendus.
• Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • L'équipe des politiques et des normes documente des exigences et des normes claires.
    • Gestion des identités et des clés ou Opérations informatiques centrales pour implémenter tout changement
    • gestion de la conformité en matière de sécurité surveille pour garantir la conformité
• Comment : Suivez les instructions de Gérer les comptes d’accès d’urgence dans Microsoft Entra ID.
• Mesurer les résultats clés :
  • Le processus d’accès d’urgence établi a été conçu selon les conseils de Microsoft qui répondent aux besoins de l’organisation
  • Conservé L’accès d’urgence a été révisé et testé au cours des 90 derniers jours

Activer Microsoft Entra Privileged Identity Management

• Ce que: utiliser Microsoft Entra Privileged Identity Management (PIM) dans votre environnement de production Microsoft Entra pour découvrir et sécuriser des comptes privilégiés
• Pourquoi: Privileged Identity Management fournit une activation de rôle basée sur le temps et basée sur l’approbation pour atténuer les risques d’autorisations d’accès excessives, inutiles ou incorrectes.
• Who: Cette initiative est généralement dirigée par Gestion de l'identité et des clés et/ou Architecture de la sécurité.
  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
    • gestion des identités et des clés ou opérations informatiques centrales pour mettre en œuvre les modifications
    • gestion de la conformité de la sécurité surveille pour garantir la conformité
• Comment: déployer et configurer Microsoft Entra Privileged Identity Management à l’aide des instructions de l’article Déployer Microsoft Entra Privileged Identity Management (PIM).
• Mesurer les résultats clés: 100% des rôles d’accès privilégié applicables utilisent Microsoft Entra PIM

Identifier et classer les comptes privilégiés (ID Microsoft Entra)

• Ce que: identifiez tous les rôles et groupes ayant un impact commercial élevé qui exigera un niveau de sécurité privilégié (immédiatement ou au fil du temps). Ces administrateurs nécessitent des comptes distincts dans une étape ultérieure l’administration de l’accès privilégié.

• Pourquoi: cette étape est nécessaire pour identifier et réduire le nombre de personnes qui nécessitent des comptes distincts et une protection d’accès privilégié.

• Who: Cette initiative est généralement dirigée par Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Politiques et normes L'équipe documente des exigences et des normes claires (en fonction de ces conseils)
    • Gestion des Identités et des Clés ou Opérations Informatiques Centrales pour implémenter les modifications
    • La gestion de la conformité en matière de sécurité surveille pour garantir la conformité

• Comment: après avoir activé Microsoft Entra Privileged Identity Management, affichez les utilisateurs qui se trouvent dans les rôles Microsoft Entra suivants au minimum en fonction des stratégies de risque de vos organisations :

  • Administrateur général
  • Administrateur de rôle privilégié
  • Administrateur Exchange
  • Administrateur SharePoint

  Pour obtenir la liste complète des rôles d’administrateur, consultez autorisations de rôle Administrateur dans Microsoft Entra ID.

  Supprimez tous les comptes qui ne sont plus nécessaires dans ces rôles. Ensuite, catégorisez les comptes restants affectés aux rôles d’administrateur :

  • Affecté aux utilisateurs administratifs, mais également utilisé à des fins de productivité non administrative, comme la lecture et la réponse aux e-mails.
  • Affecté aux utilisateurs administratifs et utilisé uniquement à des fins administratives
  • Partagé entre plusieurs utilisateurs
  • Pour les scénarios d’accès d’urgence de secours
  • Pour les scripts automatisés
  • Pour les utilisateurs externes

Si vous n’avez pas Microsoft Entra Privileged Identity Management dans votre organisation, vous pouvez utiliser l’API PowerShell. Commencez par le rôle Administrateur général, car il dispose des mêmes autorisations sur tous les services cloud pour lesquels votre organisation s’est abonnée. Ces autorisations sont accordées quel que soit l’endroit où elles ont été affectées : dans le Centre d’administration Microsoft 365, le portail Azure ou par le module Azure AD pour Microsoft PowerShell.

• Mesurer les résultats clés : Révision et identification des rôles d’accès privilégié ont été effectuées au cours des 90 derniers jours

Comptes distincts (comptes AD locaux)

• Ce que: Sécuriser les comptes d’administration privilégiés sur site, si ce n'est pas encore fait. Cette étape comprend :

  • Création de comptes d’administrateur distincts pour les utilisateurs qui doivent effectuer des tâches administratives locales
  • Déploiement de stations de travail d’accès privilégié pour les administrateurs Active Directory
  • Création de mots de passe d’administrateur local uniques pour les stations de travail et les serveurs

• Pourquoi : Renforcement de la sécurité des comptes utilisés pour les tâches d’administration. Les comptes d’administrateur doivent avoir désactivé le courrier et aucun compte Microsoft personnel ne doit être autorisé.

• Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Politique et normes équipe documente des exigences et des normes claires (en fonction de ces conseils)
    • Gestion des identités et des clés ou Opérations informatiques centrales pour implémenter tout changement
    • Gestion de la conformité de la sécurité surveille pour garantir la conformité

• Comment: tout le personnel autorisé à posséder des privilèges d’administration doit avoir des comptes distincts pour les fonctions administratives distinctes des comptes d’utilisateur. Ne partagez pas ces comptes entre les utilisateurs.

  • comptes d’utilisateur standard - Octroi de privilèges utilisateur standard pour les tâches utilisateur standard, telles que l’e-mail, la navigation web et l’utilisation d’applications métier. Ces comptes ne bénéficient pas de privilèges d’administration.
  • comptes d’administration : comptes distincts créés pour le personnel auquel les privilèges d’administration appropriés sont attribués.

• Mesurer les résultats clés : 100% des utilisateurs privilégiés sur site ont des comptes dédiés

Microsoft Defender pour Identité

• Ce que: Microsoft Defender pour Identity combine les signaux locaux avec des insights cloud pour surveiller, protéger et examiner les événements dans un format simplifié permettant à vos équipes de sécurité de détecter les attaques avancées contre votre infrastructure d’identité avec la possibilité de :

  • Surveiller les utilisateurs, le comportement d’entité et les activités avec l’analytique basée sur l’apprentissage
  • Protéger les identités utilisateur et les informations d’identification stockées dans Active Directory
  • Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées dans toute la chaîne de destruction
  • Fournir des informations claires sur les incidents sur une chronologie simple pour le tri rapide

• Pourquoi: les attaquants modernes peuvent rester non détectés pendant de longues périodes. De nombreuses menaces sont difficiles à trouver sans image cohérente de l’ensemble de votre environnement d’identité.

• Who: Cette initiative est généralement dirigée par Gestion de l'identité et des clés et/ou Architecture de sécurité.

  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • politique et normes l'équipe documente des exigences et des normes claires (en fonction de cette directive)
    • Gestion des identités et des clés ou Opérations informatiques centrales pour implémenter tout changement
    • Gestion de la conformité de sécurité surveille pour garantir la conformité

• Comment: déployer et activer Microsoft Defender pour Identity et passer en revue les alertes ouvertes.

• Mesurer les résultats clés: toutes les alertes ouvertes examinées et atténuées par les équipes appropriées.

Améliorer l’expérience de gestion des informations d’identification

Implémenter et documenter la réinitialisation du mot de passe en libre-service et l’inscription combinée des informations de sécurité

• Quoi : Activez et configurez la réinitialisation de mot de passe en libre-service (SSPR) dans votre organisation et activez l’inscription d’informations de sécurité combinée.
• Pourquoi: les utilisateurs peuvent réinitialiser leurs propres mots de passe une fois qu’ils sont inscrits. L’expérience d’inscription combinée des informations de sécurité offre une meilleure expérience utilisateur permettant l’inscription pour l’authentification multifacteur Microsoft Entra et la réinitialisation de mot de passe en libre-service. Ces outils lorsqu’ils sont utilisés ensemble contribuent à réduire les coûts du support technique et les utilisateurs plus satisfaits.
• Who: Cette initiative est généralement dirigée par Gestion de l'identité et des clés et/ou Architecture de sécurité.
  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Politique et normes l'équipe documente des exigences et des normes claires (en fonction de ces conseils)
    • Gestion des identités et des clés ou Opérations informatiques centrales pour mettre en œuvre les modifications
    • Gestion de la conformité de la sécurité surveille pour garantir la conformité
    • opérations informatiques centrales les processus du support technique ont été mis à jour et le personnel a été formé sur ces processus.
• Comment: Pour activer et déployer le SSPR, consultez l’article Planifier un déploiement de la réinitialisation de mot de passe en libre-service Microsoft Entra.
• Mesurer les résultats clés: la réinitialisation de mot de passe en libre-service est entièrement configurée et disponible pour l’organisation

Protéger les comptes d’administrateur - Activer et exiger l’authentification multifacteur /sans mot de passe pour les utilisateurs privilégiés Microsoft Entra ID

• Quoi: Exiger que tous les comptes privilégiés dans Microsoft Entra ID utilisent une authentification multifacteur forte

• Pourquoi: pour protéger l’accès aux données et services dans Microsoft 365.

• Who: Cette initiative est généralement dirigée par Gestion de l'Identité et des Clés et/ou Architecture de Sécurité.

  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Politique et normes L'équipe documente des exigences et des normes claires (conformément à ces directives)
    • Gestion des identités et de la gestion des clés ou Opérations informatiques centrales pour mettre en œuvre les modifications
    • L’équipe Gestion de la conformité de la sécurité garantit la conformité
    • opérations informatiques centrales les processus du support technique ont été mis à jour et le personnel a été formé sur ces processus.
    • Les processus de propriétaire de service pour les opérations informatiques centrales ont été mis à jour et le personnel a été entraîné sur ceux-ci

• Comment : Activez l’authentification multifacteur (MFA) Microsoft Entra et inscrivez tous les autres comptes d’administrateur non fédérés mono-utilisateurs hautement privilégiés. Exigez l’authentification multifacteur lors de la connexion de tous les utilisateurs individuels qui sont en permanence affectés à un ou plusieurs rôles d’administrateur Microsoft Entra.

  Exiger que les administrateurs utilisent des méthodes de connexion sans mot de passe telles que les clés de sécurité FIDO2 ou Windows Hello Entreprise conjointement avec des mots de passe uniques, longs et complexes. Appliquez cette modification avec un document de stratégie organisationnelle.

Suivez les instructions des articles suivants, Planifier un déploiement d’authentification multifacteur Microsoft Entra et Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID.

• Résultats des clés de mesure : 100 % des utilisateurs disposant de privilèges utilisent l’authentification sans mot de passe ou une forme forte d’authentification multifacteur pour toutes les ouvertures de session. Consultez comptes d’accès privilégiés pour obtenir la description de l’authentification multifacteur

Bloquer les protocoles d’authentification hérités pour les comptes d’utilisateur privilégiés

• Quoi : Bloquer l’utilisation de protocoles d’authentification hérités pour les comptes d’utilisateurs privilégiés.

• Pourquoi: les organisations doivent bloquer ces protocoles d’authentification hérités, car l’authentification multifacteur ne peut pas être appliquée à ces protocoles d’authentification. Le fait de laisser les protocoles d’authentification hérités activés peut créer un point d’entrée pour les attaquants. Certaines applications héritées peuvent s’appuyer sur ces protocoles et organisations ont la possibilité de créer des exceptions spécifiques pour certains comptes. Ces exceptions doivent être suivies et des contrôles de surveillance supplémentaires doivent être implémentés.

• Who: Cette initiative est généralement dirigée par Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • stratégie et normes: établir des exigences claires
    • gestion des identités et des clés ou opérations informatiques centrales opérations informatiques centrales pour implémenter la politique
    • L’équipe Gestion de la conformité de la sécurité garantit la conformité

• Comment: pour bloquer les protocoles d’authentification hérités dans votre organisation, suivez les instructions de l’article Comment : bloquer l’authentification héritée auprès de Microsoft Entra ID avec l’accès conditionnel.

• Mesurer les résultats clés:

  • protocoles hérités bloqués : tous les protocoles hérités sont bloqués pour tous les utilisateurs, avec uniquement des exceptions autorisées
  • Les exceptions sont examinées tous les 90 jours et expirent définitivement dans un délai d’un an. Les propriétaires d’applications doivent corriger toutes les exceptions dans un an après l’approbation de la première exception

Processus de consentement d’application

• Quoi: Désactivation du consentement de l'utilisateur final aux applications Microsoft Entra.

Note

Cette modification nécessite la centralisation du processus décisionnel avec les équipes d’administration de sécurité et d’identité de votre organisation.

• Pourquoi: les utilisateurs peuvent créer par inadvertance des risques organisationnels en fournissant le consentement d’une application qui peut accéder à des données organisationnelles de manière malveillante.
• Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Politique et normes L'équipe documente des exigences et des normes claires (en fonction de ce guide)
    • gestion des identités et des clés de sécurité ou opérations informatiques centrales pour mettre en œuvre toutes les modifications
    • Gestion de la conformité de la sécurité surveille pour garantir la conformité
    • opérations informatiques centrales les processus du support technique ont été mis à jour et le personnel a été formé sur ces processus.
    • Les processus du propriétaire des opérations informatiques centrales ont été mis à jour et le personnel a été formé sur ces processus.
• Comment: établir un processus de consentement centralisé pour maintenir la visibilité centralisée et le contrôle des applications qui ont accès aux données en suivant les instructions de l’article, Gestion du consentement aux applications et évaluation des demandes de consentement.
• Mesurer les résultats clés: les utilisateurs finaux ne peuvent pas donner leur consentement à l’accès aux applications Microsoft Entra

Nettoyer les risques liés au compte et à la connexion

• Quoi: Activez Microsoft Entra ID Protection et réglez les risques qu’il détecte.
• Pourquoi: un utilisateur à risque et un comportement de connexion peuvent être une source d’attaques contre votre organisation.
• Who: Cette initiative est généralement dirigée par Gestion de l'identité et des clés et/ou Architecture de sécurité.
  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • Normes et exigences claires mentionnées dans le document d’équipe Stratégie et normes (basées sur ces instructions)
    • Gestion des Identités et des Clés ou Opérations Informatiques Centrales pour mettre en œuvre les modifications
    • L’équipe Gestion de la conformité de la sécurité garantit la conformité
    • Les opérations informatiques centrales et les processus du support technique ont été mis à jour pour les appels de support connexes et le personnel a été formé à leur utilisation.
• Comment: créez un processus qui surveille et gère les risques liés à l’utilisateur et à la connexion. Déterminez si vous automatiserez la correction, à l’aide de l’authentification multifacteur Microsoft Entra et de la SSPR, ou bloquez et exigez une intervention de l’administrateur. Suivez les instructions de l’article Comment configurer et activer les politiques de risque.
• Mesurer les résultats clés: l’organisation n’a aucun risque lié aux utilisateurs non traité ni aucun risque de connexion.

Note

Les stratégies d’accès conditionnel sont requises pour bloquer l’accumulation de nouveaux risques de connexion. Consultez la section Accès conditionnel figurant dans Déploiement de l’accès privilégié

Déploiement initial des stations de travail d’administration

• Quoi: Les comptes privilégiés, tels que ceux qui gèrent l'ID Microsoft Entra, disposent de stations de travail dédiées à partir desquelles effectuer des tâches administratives.
• Pourquoi: les appareils où les tâches d’administration privilégiées sont effectuées sont ciblés par des attaquants. La sécurisation non seulement du compte, mais de ces ressources est essentielle pour réduire votre surface d’attaque. Cette séparation limite leur exposition aux attaques courantes dirigées vers des tâches liées à la productivité telles que l’e-mail et la navigation web.
• Who: Cette initiative est généralement dirigée par Gestion de l'identité et des clés et/ou Architecture de sécurité.
  • Parrainage : Cette initiative est généralement parrainée par CISO, CIO ou Directeur de l’identité
  • Exécution : Cette initiative est un effort collaboratif impliquant
    • stratégies et normes l'équipe documente des exigences et des normes claires (sur la base de ces directives)
    • Gestion de l'identité et des clés ou Opérations informatiques centrales pour mettre en œuvre les modifications
    • L’équipe Gestion de la conformité de la sécurité garantit la conformité
    • opérations informatiques centrales les processus du support technique ont été mis à jour et le personnel a été formé sur ces processus.
    • Opérations informatiques centrales Les processus des responsables de service ont été mis à jour et le personnel a été formé à ces processus.
• Comment: le déploiement initial doit être au niveau Entreprise, comme décrit dans l’article Privileged Access Deployment
• Mesurer les résultats clés: chaque compte privilégié dispose d’une station de travail dédiée pour effectuer des tâches sensibles.

Note

Cette étape établit rapidement une base de référence de sécurité et doit être augmentée aux niveaux spécialisés et privilégiés dès que possible.

Étapes suivantes

• Vue d’ensemble de la sécurisation de l’accès privilégié
• stratégie d’accès privilégié
• Mesure du succès
• niveaux de sécurité
• comptes d’accès privilégiés
• Intermédiaires
• Interfaces
• appareils d’accès privilégié
• Modèle d’accès aux entreprises