Trois enseignements pour les dirigeants d'entreprise, depuis la ligne de front d'une cyberattaque

Mon équipe s'est trouvée sur la ligne de front à de nombreuses reprises, à aider des entreprises à contrer des cyberattaques ciblant leurs systèmes d'identité et notamment Microsoft Active Directory.

Des systèmes qui constituent un vecteur d'attaque de plus en plus fréquent. 

Mais il y a peu, alors que nous accompagnions une très grande entreprise du secteur de la santé confrontée à une attaque de ransomware particulièrement atroce, je me suis rappelé trois mesures clés que tout dirigeant d'entreprise doit mettre en place avec ses responsables technologiques pour éviter des cyberattaques catastrophiques utilisant AD.

Ne pas négliger les principes fondamentaux de sécurité d'AD.

J'ai d'abord et surtout été consterné de constater, lors du premier briefing organisé au centre de crise avec l'entreprise visée, que pour accéder aux systèmes critiques, les cybercriminels avaient employé des tactiques relativement peu sophistiquées : les intrus avaient déjà exécuté des outils de vol d'identifiants et réussi à détourner l'un des comptes d'administrateur de domaine de l'entreprise. Avec ce compte, ils avaient créé un nouveau compte dédié masqué, qui avait ensuite été ajouté au groupe d'administration du domaine compromis, en se conformant essentiellement à une procédure classique d'attaque d'un domaine AD et de persistance. 

Nous avons fini par retracer la raison pour laquelle cette violation initiale avait si bien réussi. Tout simplement, certains principes de sécurité fondamentaux avaient été négligés :  

• Un ordinateur était configuré avec délégation sans contraintes. Une cible de choix pour les attaquants.

• Le compte administrateur de l'un des domaines était incorrectement utilisé comme compte de service pour différentes bases de données SQL, ce qui est devenu évident aux vues des nombreux noms de principal de service enregistrés sur ce compte.

• Différents privilèges étaient configurés au niveau du domaine, avec les risques correspondants.

• Les mots de passe n'étaient pas changés régulièrement sur les comptes administrateurs (qui étaient de toute façon bien trop nombreux).

Il faut du temps et des ressources pour s'assurer que les principes de sécurité de base d'AD sont en place, par exemple pour vérifier les privilèges définis des années plus tôt. Mais cet effort n'est rien par rapport aux conséquences que peut avoir une cyberattaque de grande ampleur sur les opérations de l'entreprise.

Comprendre la différence entre reprise et récupération des opérations.

J'ai constaté que les cybercriminels utilisaient de plus en plus souvent AD comme premier vecteur d'attaque, parce qu'ils savent que ce service a une place centrale dans l'entreprise. Dans de nombreuses entreprises, AD est encore utilisé comme référentiel d’identité principal et sert ensuite de source pour la synchronisation d'autres référentiels d'identité. Même dans un environnement hybride, les référentiels d'identité cloud sont généralement synchronisés à partir du système AD local. En cas de panne d'AD, l'activité est au point mort.  

Si un incident de cybersécurité majeur se produit, les entreprises ont souvent tendance, dans le feu de l'action, à tout faire pour que la reprise des opérations soit la plus rapide possible. Et c'est bien compréhensible. S'il faut avant tout retrouver un mode opérationnel dans les plus brefs délais, l'étape suivante consiste à réaliser une récupération totale. Autrement dit, il s'agit de s'assurer que l'entreprise ne risque pas d'être la cible d'attaques répétées, qui exploiteraient les mêmes faiblesses que la première attaque réussie.

Une récupération totale signifie également une restauration totale d'AD, sans risque de réintroduire de malware dans le système. Toutefois, pendant une attaque, la recherche d'une sauvegarde saine ou la reconstitution complète d'AD fait perdre des heures et des jours précieux, et pendant ce temps votre activité est à l'arrêt. Dans le cas de notre client, personne n'était capable d'identifier avec certitude une sauvegarde à jour et exempte de malware. Nous avons aidé l'entreprise à configurer des sauvegardes du contrôleur de domaine que nous savions saines, et nous avons corrigé quelques failles de sécurité problématiques dans l'un des domaines AD pour en améliorer la résilience. 

Nous l'avons ensuite aidée à programmer une copie des forêts AD utilisées en production dans un environnement bac à sable parfaitement isolé, avec des machines virtuelles récemment déployées dont nous étions certains qu'elles ne contenaient pas le malware. Grâce à cette méthode, l'entreprise a pu non seulement réaliser des sauvegardes des forêts AD, mais également les récupérer entièrement pour les utiliser en cas de nouvelle attaque. 

Pour être efficace, la stratégie de sécurité d'AD doit inclure un plan de récupération complète d’AD, sans malware. Et l'exécution de ce plan doit se faire en quelques minutes, quelques heures au maximum, mais jamais en plusieurs jours ou plusieurs semaines.  

Évaluer en permanence les failles dans la sécurité d'AD

De nombreuses entreprises ont mis en place des outils de sécurité qui évaluent la sécurité des points de terminaison mais qui ne protègent pas AD de l'intérieur. Pour se protéger efficacement contre des cyberattaques visant AD, les entreprises doivent pouvoir identifier les changements apportés à des groupes et des comptes assortis de privilèges, comme le groupe d'administrateurs du domaine. Si vous en êtes averti, vous pourrez réagir aux soupçons de vol d'identifiants, par exemple si la création d'un nouveau compte administrateur de domaine depuis un compte compromis vous est signalée. L'idéal serait de disposer d'un système qui ne se limite pas à vous envoyer des notifications mais qui bloque activement l'attaquant pour l'empêcher de se déployer dans votre réseau. 

L'évaluation et le traitement permanents des failles de sécurité d'AD permettront à votre entreprise d'empêcher les cyberattaques en amont ou de limiter les dégâts si une attaque se produit malgré tout. Veillez à évaluer les failles encore présentes dans votre posture de sécurité.

Votre entreprise a-t-elle un plan d'action en cas de cyberattaque ? 

Face à la multiplications des cyberattaques vous pouvez vous sentir impuissant à protéger votre entreprise contre des attaques capables de tout détruire. Mais si j'en crois l'expérience de mon équipe, habituée à aider d'autres sociétés à contrer les cyberattaques, j'inviterais toutes les entreprises à prendre des mesures préventives pour empêcher les activités malveillantes, limiter les dégâts et réaliser une récupération totale. Investir dans les principes de base de sécurité d'AD, garantir la capacité de votre entreprise à opérer une récupération complète de son activité (et pas seulement une reprise de l'exploitation) après une attaque, et évaluer en permanence votre environnement pour identifier les failles : voilà trois moyens de renforcer de façon significative votre posture de sécurité face aux cyberattaques.