Pourquoi est-il urgent de moderniser Active Directory et comment procéder ?

Technologie vieillissante, elle est devenue la cible récurrente des cyberattaquants, cette dépendance peut avoir de graves conséquences.

Près de 90 % des organisations dans le monde utilisent Active Directory (AD)*. Il s'agit du système d’identification édité par Microsoft, qui leur permet de gérer de manière centralisée les accès à l’ensemble de leurs outils informatiques. Seulement, alors que cette technologie, vieillissante, est devenue la cible récurrente des cyberattaquants, cette dépendance peut avoir de graves conséquences.

Protéger les clés du royaume, une nécessité impérieuse

Au-delà de la paralysie des systèmes, le risque majeur, avec un incident impliquant AD, est la perte ou la compromission de données sensibles. Microsoft le reconnaît lui-même : du fait de son rôle central dans la gestion des identités, Active Directory est invariablement la cible des attaquants**. Lorsque ces derniers parviennent à se saisir des clés de ce royaume, ils accèdent à la quasi-totalité du système informatique de l’entreprise. Or, AD est une porte d’entrée qui est loin d’être inviolable. 

Lancée à une époque où n’existaient ni le Cloud ni le télétravail, cette technologie est insuffisamment armée face aux enjeux cyber actuels. Aujourd’hui, devant des arborescences interconnectées, les organisations doivent composer avec la multiplication des risques. C’est pourquoi elles doivent faire de la modernisation de leur AD, une absolue priorité.  

Une migration méthodique, étape par étape 

Cette consolidation exige, toutefois, une planification méticuleuse. Le processus implique la migration d'utilisateurs, de groupes, d'ordinateurs et d'applications d’un domaine ou « forêt » AD vers un autre environnement, plus sécurisé. Aussi, avant de commencer, il est impératif de procéder à un inventaire détaillé des ressources concernées, mais aussi de déterminer un calendrier précis, détaillant chacune des étapes de la migration.

De même, il est essentiel de corriger, au préalable, toutes les vulnérabilités existantes, afin que le nouvel environnement n’hérite pas d’une dette historique. À l’aide de cadres, tels que MITRE ATT&CK, les entreprises peuvent identifier les problèmes de sécurité et y remédier avant d’entamer leur migration.

Configurer un environnement de destination sûr et évolutif

La conception du nouveau domaine doit ensuite faire l’objet d’une grande vigilance. Celui-ci doit, en effet, répondre aux besoins actuels et futurs de l’organisation, qu’il s’agisse de performance, de sécurité, ou de coût.

De plus, il est conseillé de créer une copie exacte de cet AD de destination avant d’apporter des changements clés, afin de le tester et d’en repérer les vulnérabilités. Des contrôleurs de domaine aux stratégies de groupe, en passant par les applications et les processus d’authentification, tout doit fonctionner parfaitement avant de passer à la migration effective.

L’exécution : une phase délicate qui nécessite une approche systémique

Durant l’exécution, les droits d’accès des utilisateurs pourront être préservés pour assurer une interruption minimale, en ajoutant les identifiants originaux (SID) de la forêt source, à l’historique de l’environnement de destination (sID history). 

Les problèmes de compatibilité devront également être anticipés sur l’ensemble du périmètre du domaine : profils utilisateurs, comptes d’ordinateurs, protocoles d’authentification, algorithmes de cryptage, synchronisation des mots de passe, et ressources, telles que les imprimantes, les partages de fichiers ou les applications. Pour chacun de ces éléments, un inventaire préalable sera nécessaire, ainsi que des tests, après migration, afin d’éviter tout risque de pertes de données.

Pour une architecture multi-niveaux hautement personnalisée, la prise en compte des configurations spécifiques sera, de plus, impérative, afin que les applications puissent fonctionner dans des environnements de moindre privilège, voire de confiance zéro. 

Contrôler en permanence votre AD modernisé

Enfin, une fois la migration achevée, la surveillance devra être permanente. La consolidation de l’AD ne doit pas être considérée comme un point final mais plutôt comme le début d’efforts continus à mener en matière de sécurité. Des audits réguliers seront ainsi essentiels pour protéger le nouvel environnement de manière proactive.

La sécurité, dans tous les cas, doit rester le principe directeur de l'ensemble de cette évolution. Un processus complexe mais nécessaire pour se prémunir efficacement des attaques. 

*Frost&Sullivan, mars 2020 - Active Directory Holds the Keys to your Kingdom, but is it Secure? (frost.com)

** Planning for compromise | Microsoft Learn