La recette des fusions et acquisitions réussies : la consolidation d'Active Directory

Durant les opérations de rapprochement, l'informatique doit gérer la consolidation des Active Directory. Il s'agit d'annuaires d'authentifications, d'autorisations et de services applicatifs permettant aux utilisateurs d'accéder à leurs ressources IT.

La concurrence s'intensifiant, les entreprises opèrent de plus en plus de changements structurels pour survivre et prospérer. Cela va souvent se traduire par des acquisitions d'autres organisations. Cette tendance semble devoir se poursuivre en 2022 et au-delà. En effet, selon une étude du cabinet Deloitte[1], 92 % des entreprises interrogées prévoient un volume de transactions identique ou supérieur à celui de 2021. Bien que l’aspect financier soit mis en avant, le travail plus discret des diverses équipes métiers est indispensable à la réussite de l’opération.  Le rôle du département informatique, notamment, bien que peu considéré, est crucial pour garantir la continuité d’activité et le partage des ressources durant la phase de fusion.

Il doit notamment gérer la consolidation des Active Directory. Il s’agit d’annuaires d’authentifications, d’autorisations et de services applicatifs permettant aux utilisateurs d’accéder à leurs ressources en toute sécurité. Il est primordial, lors d’une fusion, d’intégrer le plus rapidement possible les différents Active Directory pour éviter toute rupture d’accès aux ressources, mais aussi pour faciliter leur partage entre les entités concernées par la transition dès le début de celle-ci.  

Les challenges sont nombreux pour effectuer, dans les meilleurs délais, les différentes étapes d’intégration technologiques nécessaires. Garantir la continuité d’accès aux ressources ainsi que le bon fonctionnement de ces dernières, empêcher la création malencontreuse de vulnérabilités qui ouvriraient la porte à des cyberattaques dévastatrices et gérer le cycle de vie des utilisateurs en permanence en font partie.

Ces défis, bien que complexes, peuvent être surmontés grâce à une bonne planification et de bons outils. Il est essentiel de préparer un plan d’action avant une fusion d’Active Directory (pour tout type de migration AD en général d’ailleurs). Les cinq points suivants doivent y être abordés.

1. Identité

Les identités AD des utilisateurs et des applications sont au cœur des authentifications et des autorisations. L'identité est associée aux permissions NTFS, SharePoint, MS SQL Server et à toutes les ressources adossées à l’Active Directory en général. Elles sont majoritaires en environnement on premise. La cartographie des identités et des permissions associées permet de segmenter les lots de migration et d’augmenter le niveau de sécurité du projet.

En effet, en fonction des contraintes contextuelles (notamment la possibilité ou non de mettre en place une relation d’approbation entre la source et la cible de migration), les identités vont devoir être migrées en même temps que les ressources auxquelles elles accèdent.

L’évaluation du niveau de sécurité des identités à la source de migration est également importante. Elle permet de profiter du projet de migration pour assainir l’environnement et augmenter sa résilience.

2.  Groupes

Les groupes sont utilisés pour gérer les autorisations des utilisateurs. Ils sont souvent associés à des ressources. Chacune peut être liée à autant de groupes que de niveaux d’autorisation disponibles.

Lors d’une fusion Active Directory, un certain nombre de questions sont cruciales. Par exemple, il est indispensable de déterminer à l’avance si des groupes homonymes existent dans la source et la cible. Si tel est le cas, donnent-ils accès à des ressources identiques ? Si oui, avec quels niveaux de permissions ? Les réponses à ces questions permettront de définir si les contenus des groupes homonymes peuvent être fusionnés ou non. Si ce n’est pas possible, c’est le modèle d’autorisation des ressources concernées qui va devoir être révisé. À ce stade, une erreur peut entrainer de lourdes conséquences en matière de sécurité. Des utilisateurs pourraient obtenir des accès à des données dont ils ne devraient pas avoir connaissance.

La fusion AD peut aussi être l’occasion de déterminer si tous les groupes doivent être conservés ou si certains sont obsolètes (vides, absents du modèle d’autorisation, redondants, etc.).

3. Applications

L’identification des applications impactées par une fusion AD est loin d’être simple. Évidemment, on pense immédiatement à celles qui utilisent Active Directory pour l’authentification. Bien qu’il soit indispensable d’en faire une liste exhaustive, elles sont loin d’être les seules.

Comme nous l’avons vu dans le chapitre précédent, si une application utilise les groupes AD pour gérer ses autorisations, il est possible que son modèle de permissions doive être modifié pour tenir compte de l’éventuelle présence de groupes homonymes entre la source et la cible. En effet, il n’est sans doute pas souhaitable que les utilisateurs membres de certains groupes homonymes aient accès aux mêmes ressources. Des groupes seront donc renommés en cours de migration pour respecter la segmentation des permissions. Ce renommage devra être pris en compte au niveau applicatif. La complexité d’une telle tâche peut entrainer des décisions stratégiques telles que la conservation de l’AD source comme "forêt de ressources" par exemple.

4. Données

L’accès aux données non structurées est également géré via des groupes. L’audit des permissions d’accès est donc aussi important que pour les applications. Cependant, par nature, les données non structurées sont beaucoup plus nombreuses, diversifiées et distribuées que les applications.

La mise en œuvre anticipée d’une gouvernance déléguée via un processus d’attestations régulières (les responsables métiers vont régulièrement confirmer la validité des permissions en place ou réclamer leur correction) permet de garantir que les accès aux données sont nécessaires et suffisants.

Lors de la fusion AD, les données devront être repermissionnées afin de ne pas laisser en place des entrées de permission (ACE) inutiles.

5. Serveurs et terminaux

Quels sont les outils qui seront utilisés pour la fusion Active Directory ? Ont-ils des prérequis affectant la sécurité, telle que la désactivation temporaire des pare-feu locaux ? Sont-ils compatibles avec l’antivirus ? Les réponses à ces questions permettent aux organisations d’éviter d’éventuelles diminutions dans la posture globale de sécurité des serveurs et terminaux migrés durant le projet.

Les GPOs doivent également être analysées avec soin dans le cadre d’une fusion. Elles peuvent être nombreuses, parfois anciennes, croisées, redondantes pour certaines, etc. Elles ne doivent pas être migrées telles quelles d’un AD à l’autre. Leurs périmètres d’application spécifiques ainsi que leurs autorisations d’application basées sur des groupes (dont nous avons vu qu’ils pouvaient être restructurés lors de la fusion) pourraient entrainer des paramétrages erronés sur certains systèmes abaissant ainsi leurs niveaux de sécurité. Il est beaucoup plus prudent d’envisager un nettoyage ou une restructuration des GPO destinées à l’AD cible.

Actuellement, de nombreux salariés sont en travail à distance, se connectant peu au réseau de l’entreprise, et ce, uniquement au travers d’un VPN (réseau privé virtuel). Il est important de choisir des outils de migration capables de prendre en compte cette situation sans obliger les salariés à se rendre sur site à un moment précis pour éviter un cauchemar logistique. Bien entendu, la sécurité doit rester une priorité durant la phase de migration des terminaux des utilisateurs distants.

De manière générale, une migration / fusion d’Active Directory doit être planifiée soigneusement. Plus un tel projet est réalisé dans l’urgence plus le risque de créer des vulnérabilités persistantes dans l’environnement cible est grand. Des technologies facilitant la migration comme l’utilisation du sIDHistory, par exemple, sont très pratiques, mais également risquées. Elles doivent être manipulées avec précautions. Une planification avancée anticipant les dangers associés à la migration permettra de bénéficier de tous les avantages techniques et métiers d’une transition Active Directory harmonieuse sans en payer le prix fort en termes de sécurité. Échouer à planifier, c’est planifier son échec.

[1] Deloitte, The future of M&A, 2022 M&A Trends Survey