Protéger les comptes administrateurs avec l’authentification multi facteur (MFA)

Il est fortement conseillé d’avoir des comptes d’administration nominatifs et différents des comptes de production standard.
Dans le cas des services cloud, il est particulièrement important de protéger les comptes d’administration en imposant une authentification multi-facteur pour l’accès aux ressources d’administration.
En complément, il peut être aussi judicieux de limiter les accès aux administrateurs par zone géographique.

Sensibilisation des utilisateurs aux risques

Dans toute stratégie de sécurisation d’un environnement informatique, l’utilisateur est un des acteurs majeurs de la sécurisation ou de l’ouverture de faille. Les ouvertures de failles ou les corruptions de comptes se font souvent par méconnaissance des techniques de corruption utilisées par les hackers et comment celles-ci se présente dans le quotidien de chacun.
La formation/sensibilisation des utilisateurs à ces techniques et surtout aux réactions qu’ils doivent avoir peuvent se faire sous plusieurs formes :

  • Formation/sensibilisation des utilisateurs de façon globale
  • Formation/sensibilisation des utilisateurs par groupes de petite taille pour une meilleure interaction et compréhension des risques
  • Mise en œuvre de stratégies d’attaques en interne et analyse des comportements
  • Communication régulière par le service IT.

Renforcer les informations d’identification

La plupart des failles de sécurité en entreprise proviennent d’un compte compromis avec l’une des méthodes, telles que le brut force, la réexécution de violation ou l’hameçonnage. Il est donc extrêmement important d’avoir une stratégie de mot de passe et d’expiration de comptes en permettant de contrer au mieux les types d’attaques et les outils des hackers.

Nous vous renvoyons à notre article « Recommandations de stratégie de mot de passe par Microsoft » pour les domaines suivants :

  • Exigences en matière d’expiration de mot de passe pour les utilisateurs
  • Longueur des mots de passe
  • utilisation de plusieurs jeux de caractères

Utilisation du smart Lockout

Un moyen complémentaire à l’application des préconisations de Microsoft est l’utilisation de la fonctionnalité mot de passe interdit dynamiquement d’Azure AD. Celle-ci utilise le comportement actuel des attaquants pour empêcher les utilisateurs de définir des mots de passe faciles à deviner. Cette fonctionnalité est toujours activée lorsque des utilisateurs sont créés dans le cloud, mais est désormais également disponible pour les organisations hybrides (Utilisant AAD Connect) lorsqu’elles déploient Azure AD Password Protection for Windows Server Active Directory.
La protection de mot de passe Azure AD empêche les utilisateurs de choisir des mots de passe communs et peut être étendue pour bloquer tout mot de passe contenant des mots clés personnalisés spécifiés par l’administrateur.

Réduire la surface d’attaque

Étant donné l’omniprésence de la compromission des mots de passe, il est essentiel de réduire la surface d’attaque de votre organisation. Éliminer l’utilisation des protocoles plus anciens et moins sécurisés, limiter les points d’entrée et exercer un contrôle plus important de l’accès administratif aux ressources peuvent aider à réduire la surface d’attaque.

  • Bloquer les authentifications héritées
  • Bloquer les points d’entrée d’authentification non valide
  • Mettre en œuvre Azure AD Privileged Identity Management (PIM)

Automatiser la réponse aux menaces

Azure Active Directory comporte de nombreuses fonctionnalités qui interceptent automatiquement les attaques, afin de supprimer la latence entre la détection et la réponse. Vous pouvez notamment mettre en œuvre des stratégies d’accès conditionnel qui évaluent le niveau de risque pour un groupe ou un utilisateur spécifique.

Selon un niveau de risque Faible, Moyen ou Élevé, une stratégie peut être configurée pour bloquer l’accès ou exiger une modification du mot de passe sécurisé à l’aide de l’authentification multi facteur.

%d blogueurs aiment cette page :