Par Matthieu Trivier
Paris – 6, Janvier 2022
« À moins d’avoir vécu au fond d’une caverne pendant toute l’année écoulée, il est difficile d’ignorer les événements significatifs de cybersécurité qui se sont déroulés semaine après semaine. Nous avons passé beaucoup de temps à parler des nouveaux angles d’attaque, mais en réalité, les acteurs de ces menaces ne recherchent pas la nouveauté, ils veulent juste trouver une voie d’accès et voient Active Directory comme une autoroute. »
Si ces violations sont très différentes en termes de tactique et d’origine des pirates, elles ont toutes eu des conséquences dévastatrices
Sean Deuby, directeur des services chez Semperis
3 des mesures préventives les plus importantes à prendre
pour protéger une entreprise contre les cyberattaques.
1. Protéger les e-mails contre les menaces avancées
La messagerie est le point d’entrée le plus fréquent lors des attaques. Les campagnes d’hameçonnage avancées sont extrêmement convaincantes pour les utilisateurs et ouvrent de véritables boulevards pour s’approprier des identifiants de connexion valides et/ou implanter du code malveillant sur les terminaux. Il est par conséquent essentiel que les organisations adoptent une approche multidimensionnelle pour se protéger contre ces menaces. La sensibilisation à la sécurité et les simulations d’hameçonnage sont importantes pour comprendre et mesurer les risques. Mais quel que soit le nombre de formations que vous mettrez en place, les attaquants finiront par arriver à leurs fins. Pour contrer cela, une solution de protection avancée des e-mails, allant au-delà des simples outils antispam et antivirus, doit être intégrée dans votre stratégie de protection. Un service utilisant des algorithmes d’apprentissage machine et autres mesures de détection avancées pour détecter et bloquer les messages d’hameçonnage, ainsi que les pièces jointes suspectes, doivent être mis en place dans le contexte actuel de menaces.
2. Prévenir les déplacements latéraux
Dès qu’un ordinateur client ou un serveur membre est compromis, les attaquants tentent de se déplacer latéralement sur le réseau et d’élever leurs privilèges. Le blocage du mouvement latéral complique singulièrement la tâche des attaquants. Vous pouvez mettre en place des mesures techniques simples, même si elles paraissent parfois compliquées d’un point de vue opérationnel, pour bloquer les déplacements latéraux. Tout d’abord, le mot de passe administrateur local de chaque terminal doit être différent. Microsoft propose une solution gratuite appelée LAPS (Local Administrator Password Solution) pour ce faire. Deuxièmement, vous ne pouvez pas incorporer des comptes de domaine dans le groupe des administrateurs locaux pour simplifier le support informatique. Les informaticiens doivent utiliser LAPS pour récupérer les identifiants d’administration de terminaux spécifiques.
3. Sécuriser l’accès aux identifiants de connexion privilégiés
Empêcher les cybercriminels d’obtenir un accès privilégié, surtout en tant qu’administrateur de domaine, est une défense essentielle. En effet, si un pirate parvient à élever ses privilèges, il risque de contrôler une plus grande partie du réseau, voire son intégralité. L’implémentation de mesures efficaces qui isolent et protègent les identifiants avec privilèges est donc très importante. Deux des contre-mesures les plus communes que Ravenswood Technology Group implémente sont les concepts de mesures de sécurité hiérarchisées et de stations de travail à accès privilégié (PAW). Les mesures de sécurité hiérarchisées empêchent les identifiants à privilèges élevés d’être accessibles par des ressources à plus haut risque, comme des ordinateurs clients où les identifiants peuvent être volés. Les PAW isolent les tâches que l’administrateur réalise depuis sa station de travail ordinaire sur une station hautement sécurisée, protégeant ainsi les identifiants et la session de l’administrateur contre des vecteurs de menaces tels que la messagerie, l’accès Internet et certains types de code malveillant.
Votre Active Directory est-il prêt dans le contexte actuel des menaces ?
Les attaques dont nous avons parlé ne représentent que trois des innombrables violations qui font la une quotidiennement. Il est vital de renforcer l’environnement informatique de votre organisation et pour quasiment toutes les entreprises, l’Active Directory doit devenir un composant essentiel de la stratégie de renforcement.
À propos de Semperis
Pour les équipes de sécurité chargées de défendre les environnements hybrides et multi-clouds, Semperis assure l’intégrité et la disponibilité des services d’annuaire d’entreprise critiques à chaque étape de la cyber-chaîne fatale et réduit le temps de récupération de 90% Conçue pour sécuriser l’Active Directory, la technologie brevetée de Semperis protège plus de 40 millions d’identités contre les cyberattaques, les violations de données et les erreurs opérationnelles. Les plus grandes organisations mondiales font confiance à Semperis pour détecter les vulnérabilités des annuaires, intercepter les cyberattaques en cours et se remettre rapidement des ransomwares et autres urgences liées à l’intégrité des données. Semperis, qui est basée dans le New Jersey, opère à l’échelle internationale, son équipe de recherche et développement étant répartie entre San Francisco et Tel Aviv.
Semperis héberge la conférence primée HIP (Hybrid Identity Protection) (www.hipconf.com). L’entreprise a reçu le plus grand nombre de récompenses du secteur et a récemment été classée quatrième entreprise à la croissance la plus rapide dans la région des trois États et 35e au total dans le classement 2020 Technology Fast 500™ de Deloitte. Semperis est accrédité par Microsoft et reconnu par Gartner.
Twitter https://twitter.com/SemperisTech
LinkedIn https://www.linkedin.com/company/semperis
Facebook https://www.facebook.com/SemperisTech
YouTube https://www.youtube.com/channel/UCycrWXhxOTaUQ0sidlyN9SA