{"id":2096,"date":"2018-03-30T09:50:56","date_gmt":"2018-03-30T07:50:56","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=2096"},"modified":"2018-03-30T09:50:56","modified_gmt":"2018-03-30T07:50:56","slug":"activedirectory-10-security-questions","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2018\/03\/30\/activedirectory-10-security-questions\/","title":{"rendered":"S\u00e9curit\u00e9 Active Directory, les 10 questions \u00e0 se poser imm\u00e9diatement : Toutes les organisations pensent avoir un tr\u00e8s bon niveau de s\u00e9curit\u00e9 de leur Active Directory\u2026avant\u2026de discuter avec moi !"},"content":{"rendered":"

\"\"<\/a>\u00a0Chaque semaine, je discute avec des dizaines d’organisations, des tr\u00e8s grandes, des moyennes, des gigantesques\u2026 c’est assez vari\u00e9. Le point commun de l’ensemble de ces organisations, c’est leur certitude<\/span> d’avoir un environnement Active Directory extr\u00eamement s\u00e9curis\u00e9, c’est assez amusant.<\/p>\n

J’insiste, mes contacts ne veulent pas \u00ab\u00a0m’abuser\u00a0\u00bb ou me \u00ab\u00a0faire croire\u00a0\u00bb\u2026 ils sont vraiment persuad\u00e9s<\/span> de maintenir un environnement Active Directory s\u00e9curis\u00e9\u2026 Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de s\u00e9curit\u00e9 de leur Active Directory, la plupart des r\u00e9ponses sont positionn\u00e9es entre 7 et 9 – ils sont malheureusement tr\u00e8s loin de la r\u00e9alit\u00e9\u2026plus pr\u00e9cis\u00e9ment de leur<\/span> r\u00e9alit\u00e9\u2026<\/p>\n

Evidemment, le nouveau paradigme IT fait que la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique disparait petit \u00e0 petit au profit de la s\u00e9curit\u00e9 de la donn\u00e9es et de la s\u00e9curit\u00e9 de l’identit\u00e9 \u2013 M\u00eame \u00e0 l’heure du Cloud public, l’Active Directory se trouve au centre de cette strat\u00e9gie Data+Identity \u2013 mais \u2013 ce qui est paradoxal, c’est que la plupart des designs et infrastructures Active Directory ont \u00e9t\u00e9 impl\u00e9ment\u00e9s il y a une dizaine d’ann\u00e9es, \u00e0 une \u00e9poque o\u00f9 la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique \u00e9t\u00e9 reine et le Cloud public s’appelait encore ASP\u2026 Il y a donc beaucoup de chose \u00e0 revoir, quitte \u00e0 bousculer les certitudes\u2026<\/p>\n

Il est au final assez simple de mesurer le niveau de s\u00e9curit\u00e9 d’un environnement Active Directory, j’utilise g\u00e9n\u00e9ralement 10 questions<\/strong> assez simples me permettant d’\u00e9valuer le niveau de maturit\u00e9 du client sur la partie Active Directory\u00a0:<\/p>\n

<\/p>\n

\n\n\n\n\n\n<\/colgroup>\n\n\n\n\n\n\n\n\n\n\n\n\n
#<\/td>\nQuestions<\/td>\n\n

OUI<\/p>\n<\/td>\n

\n

NON<\/p>\n<\/td>\n<\/tr>\n

1<\/td>\nSans v\u00e9rifier, pouvez me dire combien de comptes sont administrateurs de vos domaines Active Directory\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
2<\/td>\nAvez-vous la liste de tous les changements r\u00e9alis\u00e9s et par qui, dans votre annuaire Active Directory depuis 90 jours\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
3<\/td>\nAvez-vous une trace vid\u00e9o ou texte de l’ensemble des actions r\u00e9alis\u00e9es par vos comptes \u00e0 pouvoir sur vos syst\u00e8mes d’exploitation int\u00e9gr\u00e9s dans Active Directory\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
4<\/td>\nEtes-vous capable de restaurer votre For\u00eat Active Directory en moins de 24 h \u2013 Si le client ne sait pas r\u00e9pondre, la question devient\u00a0: avez-vous test\u00e9 de restaurer compl\u00e8tement (compl\u00e8tement = 100% from scratch, on consid\u00e8re ici que aucun DC n’est en ligne pour faire le test, on part de z\u00e9ro) votre for\u00eat Active Directory sur un environnement d’int\u00e9gration\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
5<\/td>\nSi un utilisateur utilise un outil permettant d’acc\u00e9der \u00e0 la m\u00e9moire vive de son PC, \u00eates-vous capable de le d\u00e9tecter\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
6<\/td>\nEst-ce qu’un compte administrateur du domaine a la possibilit\u00e9 d’ouvrir une session sur un serveur membre afin de l’administrer\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
7<\/td>\nEst-ce que le compte de service utilis\u00e9 pour faire tourner vos antivirus sur vos postes de travail est membre du groupe \u00ab\u00a0domain admins\u00a0\u00bb\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
8<\/td>\nEst-ce que vos comptes administrateurs de domaine utilisent un deuxi\u00e8me facteur d’authentification pour ouvrir une session\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
9<\/td>\nDans votre RACI li\u00e9 \u00e0 l’activit\u00e9 de gestion Active Directory, avez-vous identifi\u00e9 la notion de DATA et de SERVICES\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n
10<\/td>\nUtilisez-vous un syst\u00e8me de re-certification de vos objets GPOs et Security Group sur un intervalle inf\u00e9rieur \u00e0 1 an\u00a0?<\/td>\n<\/td>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

Les bonnes r\u00e9ponses sont les suivantes\u00a0:<\/p>\n

\n\n\n\n\n\n<\/colgroup>\n\n\n\n\n\n\n\n\n\n\n\n\n
#<\/td>\nQuestions<\/td>\n\n

OUI<\/p>\n<\/td>\n

\n

NON<\/p>\n<\/td>\n<\/tr>\n

1<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
2<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
3<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
4<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
5<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
6<\/td>\n<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n<\/tr>\n

7<\/td>\n<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n<\/tr>\n

8<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
9<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n
10<\/td>\n<\/td>\n\n

X<\/p>\n<\/td>\n

<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

Si le client a moins de 50% de bonnes r\u00e9ponses, et bien c’est tr\u00e8s simple, il est en danger<\/strong><\/span>, je dirais m\u00eame en grand danger\u2026 mais il ne le sait pas…\u00a0\u00a0bon, du coup, on fait quoi ? on anticipe le danger ou on attend de se faire d\u00e9pouiller ?<\/p>\n

\"\"<\/a>Si votre manager vous explique que la s\u00e9curit\u00e9 co\u00fbte trop cher et que de toute fa\u00e7on Active Directory, cela ne se voit pas et que l’on ne peut pas avoir de budget, \u00e9crivez un document expliquant ce que vous constatez sur votre AD et la liste de ce que vous proposez de faire pour corriger – et indiquez que vous d\u00e9gagez votre responsabilit\u00e9 sur les pannes futures de votre service d’annuaire… vous verrez cela devrait le d\u00e9tendre \ud83d\ude09<\/p>\n","protected":false},"excerpt":{"rendered":"

\u00a0Chaque semaine, je discute avec des dizaines d’organisations, des tr\u00e8s grandes, des moyennes, des gigantesques\u2026 c’est assez vari\u00e9. Le point commun de l’ensemble de ces organisations, c’est leur certitude d’avoir un environnement Active Directory extr\u00eamement s\u00e9curis\u00e9, c’est assez amusant.<\/p>\n

J’insiste, mes contacts ne veulent pas \u00ab\u00a0m’abuser\u00a0\u00bb ou me \u00ab\u00a0faire croire\u00a0\u00bb\u2026 ils sont vraiment persuad\u00e9s de maintenir un environnement Active Directory s\u00e9curis\u00e9\u2026 Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de s\u00e9curit\u00e9 de leur Active Directory, la plupart des r\u00e9ponses sont positionn\u00e9es entre 7 et 9 – ils sont malheureusement tr\u00e8s loin de la r\u00e9alit\u00e9\u2026plus pr\u00e9cis\u00e9ment de leur r\u00e9alit\u00e9\u2026<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[14,76,110,216],"class_list":["post-2096","post","type-post","status-publish","format-standard","hentry","category-strategie","tag-active-directory","tag-cyber-security","tag-hardening-active-directory","tag-securite"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/2096","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=2096"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/2096\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=2096"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=2096"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=2096"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}