Microsoft va activer des paramètres de sécurité sur tous les tenants Azure AD
Microsoft a fait une annonce importante au sujet d'Azure Active Directory (Azure AD) et qui s'adresse à toutes les entreprises qui possèdent un tenant ! La firme de Redmond va activer, par défaut, certaines fonctionnalités de sécurité sur tous les tenants d'ici la fin juin 2022.
Depuis octobre 2019, chaque nouveau tenant est livré dans une configuration un peu plus stricte afin d'avoir un niveau de sécurité par défaut satisfaisant. Cela est forcément bénéfique aux entreprises qui n'ont pas une équipe IT ou qui n'ont pas suffisamment de compétences sur la gestion d'Azure AD. Deux ans plus tard, ce sont près de 30 millions d'entreprises qui utilisent un tenant Azure AD avec ces paramètres par défaut activé.
Microsoft veut aller plus loin afin de protéger tous les tenants contre ces attaques basiques à destination des comptes utilisateurs, en s'intéressant aux tenants existants. De ce fait, Alex Weinert de chez Microsoft précise :"C'est pourquoi nous sommes ravis d'annoncer le déploiement de la sécurité par défaut pour les tenants existants, en ciblant ceux qui n'ont pas modifié leurs paramètres de sécurité depuis le déploiement.".
Quand Microsoft va commencer le déploiement de cette configuration, les administrateurs (rôle Administrateur Global) seront informés et pourront, soit activer les paramètres de sécurité par défaut, soit en suspendre l'application pendant 14 jours, après quoi ils seront activés automatiquement.
Lorsque Microsoft parle d'activer par défaut les options de sécurité (security defaults), cela fait référence à l'activation de l'authentification multifacteurs (MFA) sur tous les comptes et à l'utilisation exclusive des méthodes d'authentification modernes. Un client qui ne supporte pas le MFA, ne pourra plus s'authentifier avec les méthodes d'authentification classique.
Si vous n'êtes pas convaincu quant à l'utilisation du MFA, sachez que d'après les données télémétriques de Microsoft, le fait d'imposer le MFA à ses utilisateurs permet d'empêcher 99,9% des attaques de compromission de comptes. Les entreprises ont toujours la possibilité de désactiver ces fonctionnalités.
Bonjour, même si Microsoft active le MFA par défaut sur l’ensemble d’un tenant, pensez vous qu’il sera possible de revenir à une authentification classique par mot de passe? Merci d’avance.
Et si on a une pki ? Un certificat ? Mfa en plus ou pas ?
Bonjour, savez par quel moyen le MFA sera imposé (règle de condition d’accès ?) et quelles sont les mesures pour le contourner temporairement ?
Merci
Bonjour, j’ai finalement obtenu une réponse de Microsoft:
L’activation de MFA va être distribuée graduellement sur tous les tenants d’ici la fin juin 2022 et non pas 30 septembre 2022.
Pour votre question à a la base :
Que se passe-t-il si un client veut accepter les risques et souhaite laisser les paramètres de sécurité par défaut désactivés ?
Si vous comprenez et acceptez les risques de ne pas utiliser un niveau de sécurité de base pour votre organisation, vous pouvez désactiver les paramètres de sécurité par défaut via les propriétés Azure Active Directory ou via le centre d’administration Microsoft 365. Lorsque vous désactivez les paramètres de sécurité par défaut.
Donc vous pouvez toujours désactiver la MFA même après cette date-là pour n’importe quel utilisateur
La question qui se pose c’est : Quid de la responsabilité en cas de hacking notamment pour les services basés sur de la consommation ??
Car si Microsoft propose une solution de MFA (et non l’impose), l’idée c’est de sécuriser un minimum les environnements clients.
Pour avoir déjà vu des situations un peu compliquées sur AWS et Azure pour des clients qui se sont fait hackés leurs comptes admin qui n’étaient pas assez sécurisés notamment via un système d’authentification forte. Quand ils se retrouvent avec une facture qui fait x1000 en 2 semaines (et ce n’est pas une blague), blâmer le fournisseur de service n’est pas très opportun d’autant plus si le client a été négligeant sur ses comptes utilisateur et sensibles.