Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article présente une solution de bout en bout pour implémenter une architecture d’accès privilégié. Elle vise les planificateurs et les implémenteurs de sécurité et d’identité.
Dans le modèle d’adoption de la sécurité Microsoft :
- Les solutions d’implémentation fournissent des conseils de déploiement préscriptifs.
- Les solutions s’alignent sur les scénarios métier qui définissent des résultats de sécurité de priorité élevée.
Avant de commencer l’implémentation, découvrez comment une architecture d’accès privilégié sécurisé joue un rôle essentiel dans le scénario métier - Protéger les ressources métier critiques - en réduisant ce risque et en renforçant le contrôle sur les systèmes sensibles.
Objectifs de la solution
L’accès privilégié représente l’un des risques les plus importants dans toute organisation, car il fournit un contrôle direct sur les systèmes d’identité, les plans de contrôle cloud et les ressources métier critiques.
Ce guide définit une approche Confiance nulle de l’accès privilégié en la traitant comme un chemin d’accès de bout en bout, couvrant l’identité, l’appareil, l’interface, la ressource cible et la surveillance. Au lieu de sécuriser des composants individuels isolés, ce modèle garantit que l’ensemble du parcours d’accès est régi et validé en permanence.
L’objectif est de réduire les risques en :
- Limitation des personnes pouvant effectuer des actions privilégiées.
- Contrôle de l’emplacement et de la façon dont ces actions peuvent se produire.
- Surveillance continue et réponse à l’activité privilégiée.
Implémentez cette architecture à l’aide de Microsoft Entra ID, de Microsoft Intune et de Microsoft Defender for Endpoint.
Déployez la solution en phases. Commencez par établir une base sécurisée (plan de contrôle d’identité et appareils approuvés), appliquez des contrôles de stratégie, puis configurez les opérations de surveillance et de réponse.
Risque d’accès privilégié
Les identités privilégiées (humaines et non humaines) contrôlent les ressources à valeur élevée et les mécanismes d’application de la sécurité. En cas de compromission, l’impact commercial résultant est grave. Avec un accès privilégié, les attaquants peuvent :
- Exfiltrate, chiffrer ou détruire des données.
- Arrêtez ou interrompez les opérations commerciales.
- Désactivez les contrôles de détection et d’application.
- Inverser les systèmes d’identité et créer un accès persistant.
Attaques courantes
Les attaques suivent deux modèles courants :
- Vol de données ciblé : les cyber-attaques localisent et exfiltent la propriété intellectuelle sensible, les données financières ou les plans stratégiques. Les données volées sont vendues, divulguées ou utilisées pour bénéficier d’un avantage concurrentiel.
- Ransomware géré par l’homme : les cyber-attaques tirent parti de l’accès privilégié pour chiffrer les systèmes, arrêter les opérations et extorquer l’organisation - forçant les décisions de l’exécutif sous une pression de temps extrême.
Pourquoi l’accès privilégié est risqué
Le risque d’accès privilégié est unique et systémique pour plusieurs raisons.
| Risque | Détails |
|---|---|
| Fonctionne dans le plan de contrôle | Les comptes privilégiés opèrent dans le plan de contrôle, et pas seulement dans le plan des charges de travail. Les identités privilégiées peuvent modifier les identités, modifier les configurations de sécurité, désactiver ou contourner les contrôles d’application et falsifier les données critiques pour l’entreprise. Une fois que les attaquants obtiennent un accès privilégié, ils peuvent compromettre les mécanismes conçus pour les détecter et les arrêter. Cela rend les stratégies de confinement traditionnelles beaucoup moins efficaces et permet à la compromission de persister sans être détectée. |
| Impact commercial élevé par conception | L’accès privilégié existe pour gérer les systèmes critiques, de sorte que l’abus de cet accès a des conséquences immédiates et graves. Avec l’accès privilégié, les attaquants peuvent : - Exfiltrate ou détruire des données sensibles - Arrêter ou manipuler des opérations commerciales - Chiffrer des environnements entiers pour l’exttortion (ransomware géré par l’homme) - Détourner des systèmes d’une manière susceptible de causer des préjudices dans le monde réel. Ces résultats ne sont pas théoriques. Elles sont observées à plusieurs reprises dans les secteurs, ce qui rend l’accès privilégié l’une des méthodes les plus fiables pour que les attaquants atteignent un impact maximal. |
| Fort et perturbant | Contrairement au vol de données furtifs, de nombreuses attaques d’accès privilégié, en particulier les ransomwares gérés par l’homme, sont intentionnellement perturbatrices. Ils arrêtent les opérations, interrompent les services face aux clients et forcent la prise de décision au niveau exécutif sous une pression de temps extrême. Étant donné que toutes les organisations sont financièrement et opérationnelles motivées pour restaurer rapidement le service, ces attaques sont universellement applicables et hautement efficaces, quel que soit l’industrie ou la taille. |
| Risque croissant, sans réduction | Les attaquants sont flexibles et indépendants de la technologie. Ils ne ciblent pas un seul produit ou contrôle, mais exploitent le chemin d’accès privilégié le plus faible en ce moment. La surface d’attaque d’accès privilégié est large et interconnectée, couvrant : - Comptes et systèmes d’identité - Stations de travail et appareils - Systèmes intermédiaires tels que les outils d’accès à distance et les solutions PAM/PIM. - Interfaces de gestion, portails, API et chemins d’élévation. La compromission de l’un de ces éléments peut fournir un chemin d’accès au contrôle d’entreprise complet et de nouveaux chemins d’accès sont introduits en permanence à mesure que les environnements évoluent. |
| Échec des approches à solution unique | Le déploiement d’une seule classe de contrôle, comme PAM/PIM, les restrictions réseau ou les outils de détection, ne réduit pas suffisamment les risques. Ces contrôles résolvent les parties du problème, et non le système. Si l’accès privilégié n’est pas protégé de bout en bout, les attaquants effectuent simplement un routage autour des défenses isolées et exploitent un lien non protégé dans le chemin d’accès. C’est pourquoi l’accès privilégié doit être traité comme un système complet — de l’identité et de la confiance accordée à l’appareil, en passant par l’élévation des privilèges et l’exécution, jusqu’à la surveillance et à la réponse — plutôt que comme un ensemble d’outils indépendants. |
Principes et résultats architecturaux
L’approche recommandée par Microsoft consiste à mettre en place un système en boucle fermée de gestion des accès privilégiés qui :
- Offre une réduction immédiate des risques
- Prend en charge les progrès incrémentiels et durables
- Évite la complexité inutile
- Permet des résultats clairs et des critères de réussite
Résultats architecturaux
L’implémentation de la stratégie basée sur ces principes crée un certain nombre de résultats clairs et de critères de réussite.
| Résultat | Architecture | Critères de réussite |
|---|---|---|
| L’accès privilégié est appliqué en tant que système de bout en bout | Le risque privilégié est contrôlé sur l’ensemble du chemin d’accès : identité, attribution de rôle, appareil, environnement d’exécution, workflow d’élévation, systèmes intermédiaires, interfaces de gestion, surveillance et réponse. Les opérations privilégiées n’ont lieu que via des mécanismes d’élévation explicites et autorisés, assortis d’une validation Confiance nulle (assurance de l’identité, confiance de l’appareil, contexte de la session). | Chaque session valide que le compte d’utilisateur et l’appareil sont approuvés à un niveau suffisant avant d’autoriser l’accès. Exemples de mesures : % de connexions privilégiées qui respectent des exigences telles que l’authentification multifacteur et le niveau de confiance requis des appareils, % des actions privilégiées effectuées via le flux de travail d’élévation d’approbation et le privilège permanent. |
| Protéger et surveiller les systèmes d’identité | Protégez les systèmes d’identité qui hébergent ou confèrent des privilèges (répertoires, gestion des identités, comptes d’administrateur, etc.). La gouvernance, l’application des stratégies, la journalisation et l’analytique sont centralisées pour réduire la dérive et améliorer la visibilité. |
Chacun de ces systèmes est protégé à un niveau approprié pour l’impact potentiel des comptes hébergés dans celui-ci. Exemples de mesures : % des identités privilégiées couvertes par la révision d’accès régulière Taux d’achèvement des révisions d’accès privilégié périodiques (qui a examiné, qui a révoqué). |
| Limiter les déplacements latéraux | Isoler le travail privilégié des environnements à haute exposition. Protégez les informations d’identification de l’administrateur local, les secrets de compte de service et les mécanismes d’élévation afin que la compromission d’un seul appareil, d’un compte ou d’informations d’identification ne permet pas un contrôle administratif plus large. | Compromettre un seul appareil n’entraîne pas immédiatement le contrôle de nombreux appareils ou de tous les autres appareils de l’environnement. Exemple de mesure : % d’actions privilégiées à partir de stations de travail d’administration uniquement. |
| Répondre rapidement aux menaces | L’activité privilégiée est un signal de priorité pour la détection et la réponse. Concevez la surveillance et la réponse aux incidents pour perturber les attaques multistages et limiter le temps d’attente des adversaires ciblant l’accès privilégié. | Votre réponse à incident peut stopper de manière fiable les attaques multiétapes avant qu’elles n’aboutissent à un accès privilégié et contenir rapidement toute utilisation abusive de privilèges lorsqu’elle se produit. Exemple de mesure : le temps moyen de correction des incidents privilégiés (MTTR) est réduit à quelques minutes au lieu d’heures ou de jours. Les chemins d’accès privilégié inattendus ou nouveaux sont rapidement identifiés et fermés. |
Suivez ces mesures mensuellement pour la progression et passez en revue tous les trimestres dans le cadre de la gouvernance des accès privilégiés.
Comprendre les chemins d’accès privilégiés
Les chemins d’accès privilégié sont des chemins d’accès qui forment une chaîne complète de l’identité à l’exécution, comme illustré dans le diagramme suivant.
Si un lien dans la chaîne est faible, tout le chemin est vulnérable.
| Path | Composants | Risque |
|---|---|---|
|
Chemins d’accès utilisateur Les chemins d’accès utilisateur prennent en charge les opérations de productivité et d’entreprise standard, telles que l’e-mail, la collaboration, la navigation web et les applications métier. |
Un chemin d’accès utilisateur implique généralement : - Identité : un compte d’utilisateur standard - Appareil : station de travail à usage général - Intermédiaire : intermédiaires facultatifs tels qu’un VPN ou un accès à distance. - Interface : Interaction avec les applications et services d’entreprise. |
Bien que la compromission d’un chemin d’accès utilisateur puisse causer des dommages, l’impact potentiel est limité par rapport à l’accès privilégié. |
|
Chemins d’accès privilégiés Les chemins d’accès privilégié gèrent les identités, l’infrastructure, les contrôles de sécurité et les systèmes critiques pour l’entreprise. |
Les chemins d’accès privilégiés se composent généralement des éléments suivants : - Identité : un compte effectuant un travail privilégié. - Appareil : station de travail de point de terminaison ou appareil utilisé par la session privilégiée. - Intermédiaire : tout système ou service broker ou hébergement de la session privilégiée, tel que l’accès à distance ou les outils de gestion. - Interface : surface de gestion où le contrôle privilégié est exercé. Par exemple, les portails, les API, les outils en ligne de commande ou l’automatisation. |
Bien que les composants techniques semblent similaires à un chemin d’accès utilisateur, les dommages potentiels causés par la compromission sont considérablement plus élevés. Les chemins d’accès privilégié doivent donc être : - Moins nombreux - Défini explicitement - Isolé des chemins d’accès utilisateur - Protégé par les protections les plus robustes disponibles. |
Exemple de chemin d’accès
Dans un chemin d’accès privilégié classique :
- Une identité d’administrateur dédiée se connecte.
- La connexion provient d’une station de travail d’accès privilégié renforcée (PAW).
- La connexion active un rôle via Privileged Identity Management (PIM).
- La connexion utilise une interface administrative spécifique, telle qu’un portail, une API ou une interface CLI.
- L’identité connectée exécute une opération privilégiée.
Composants de la solution
La solution d’accès privilégié repose sur trois éléments étroitement couplés qui garantissent des actions privilégiées par les identités appropriées, à partir d’appareils approuvés, dans des conditions appliquées.
Identités privilégiées
- Comptes d’administrateur dédiés autorisés à effectuer des actions privilégiées.
- Les identités protégées par une authentification forte et, si possible, l’authentification sans mot de passe.
- Attribution de rôle privilégié limitée.
- Élévation privilégiée juste-à-temps avec approbation.
Stations de travail à accès privilégié (PW)
- Appareils renforcés et restrictifs.
- Surface d’attaque réduite sur les appareils.
- Protection contre les menaces d’informations d’identification et les programmes malveillants.
- Isolé de l’activité utilisateur à haut risque.
Application et surveillance des stratégies
- L’accès conditionnel valide l’identité, l’appareil et le contexte de session.
- Les chemins d’élévation privilégiés sont définis explicitement.
- Toutes les activités privilégiées sont journalisées, surveillées et révisables.
Systèmes d’identité et chemins d’élévation
Les systèmes d’identité et les chemins d’élévation sont des composants fondamentaux de chaque chemin d’accès privilégié. Ils définissent où les identités privilégiées sont créées, comment les rôles d’administration sont attribués et comment les utilisateurs passent d’un état non privilégié à l’exécution d’actions privilégiées.
Ce guide d’implémentation traite les systèmes d’identité et les chemins d’élévation dans le cadre de la surface d’attaque privilégiée et du plan de contrôle d’identité.
| Area | Détails | Atténuation des risques |
|---|---|---|
| Systèmes d’identité | Où les identités privilégiées, les rôles et les autorisations d’administration sont définies et gérées. Cette définition inclut les répertoires, les attributions de rôles, les groupes d’administration et la configuration au niveau du locataire. |
Les identités privilégiées opèrent dans le plan de contrôle. Si les systèmes d’identité sont compromis, les attaquants peuvent créer, modifier ou conserver un accès privilégié , en contournant les contrôles d’appareil, les conditions d’accès et la surveillance. La sécurisation du plan de contrôle d’identité est la priorité d’implémentation la plus élevée. |
| Chemins d’élévation autorisés | Comment un utilisateur passe d’un état non privilégié pour effectuer des actions privilégiées. Par exemple, l’activation de rôle limitée dans le temps, les flux de travail d’approbation et les sessions d’administration étendues. |
Garantit que l’élévation nécessite une authentification forte et que l’élévation privilégiée est intentionnelle, temporaire, surveillée et se produit uniquement à partir d’appareils et d’interfaces approuvés. En imposant l’élévation via des flux de travail, des appareils et des interfaces approuvés, vous évitez les privilèges permanents et réduisez les abus, les mouvements latéraux et la persistance furtive. |
Phases de solution
Implémentez l’architecture d’accès privilégié à l’aide d’un modèle d’adoption par phases aligné sur Microsoft meilleures pratiques.
- Lancer l’adoption à l’aide du modèle d’adoption structuré. Les conseils d’adoption aident les dirigeants d’entreprise à identifier les résultats critiques pour une identité sécurisée et à comprendre la discipline d’accès et d’identité, y compris les équipes et les efforts nécessaires pour stimuler les initiatives d’identité telles que l’accès privilégié.
- Planifiez la solution. La planification vous permet d’identifier les objectifs de conception, d’attribuer des niveaux de sécurité pour déterminer la stratégie d’accès privilégié et de planifier l’implémentation.
- Suivez les phases d’implémentation résumées dans le tableau suivant. Chaque phase a un objectif spécifique et est implémentée à l’aide d’étapes de configuration concrètes dans les articles correspondants.
Phases d’implémentation
| Phase | Atténuer les risques | Appliquer les principes du Confiance nulle |
|---|---|---|
| Phase 1. Sécuriser le plan de contrôle d’identité Créer: - Identités d’administrateur dédiées. Groupes de sécurité pour l’attribution de rôle. - Comptes de verre d’urgence si vous ne les avez pas. |
Réduit le risque de vol d’informations d’identification, d’utilisation abusive des privilèges et d’élévation non autorisée. |
Vérifier explicitement Utilisez une authentification forte. Utiliser les privilèges minimum Limiter les rôles d’administrateur / activer les privilèges JAT (juste à temps). Supposez une violation. Utilisez des comptes de secours pour la récupération. |
| Phase 2. Déployer et renforcer les appareils d’accès privilégié Provisionner des stations de travail d’accès privilégié dédiées (PW). Appliquez le renforcement du système d’exploitation et les bases de référence de sécurité. Appliquez les correctifs, la protection des points de terminaison et le chiffrement de disque. Réduisez les installations des applications et des services. |
Réduit le risque de compromission des informations d’identification et d’attaques basées sur les appareils. |
Vérifier explicitement Vérifiez que les appareils sont inscrits, approuvés et conformes avant d’accorder l’accès. Supposer une violation Réduisez les vecteurs de compromission potentiels en renforçant les appareils et en isolant les identifiants d’administration. Utiliser l'accès le moins privilégié. Limitez ce que les administrateurs peuvent faire sur ces appareils dédiés. |
| Phase 3. Appliquer des stratégies d’accès privilégié Configurez l’accès conditionnel pour les rôles privilégiés. Exiger des appareils conformes et une authentification forte. Appliquez les conditions d’accès prenant en compte le contexte. Restreindre l’accès aux interfaces approuvées. |
Empêche l’accès non autorisé et la relecture des informations d’identification. |
Supposez une violation. Empêchez l’utilisation incorrecte des informations d’identification si les comptes sont volés en limitant l’emplacement et la façon dont l’accès est accordé. Utilisez le privilège minimum. Appliquez des autorisations basées sur des rôles et prenant en compte le contexte. |
| Phase 4. Surveiller et valider continuellement Examinez rapidement les incidents et corrigez rapidement. Réévaluez continuellement la confiance et la couverture. |
Détectez, examinez et répondez aux menaces privilégiées. Surveillez les activations et sessions de rôle privilégiés. Détecter les anomalies et les modèles suspects. Réduisez l’impact de la compromission non détectée et du temps de séjour prolongé de l’attaquant. |
Supposez une violation. Surveillez en permanence l’activité de l’attaquant et le comportement anormal. Vérifiez explicitement. Évaluez la confiance en continu et examinez les modèles d’accès suspects. |
Étapes suivantes
À présent, commencez à planifier une stratégie d’implémentation.