Travailler à distance : protéger vos connexions Active Directory

La situation sanitaire actuelle a poussé les entreprises à pratiquer le télétravail. C’est une opportunité en or pour les pirates informatiques. A chaque fois qu’un employé se connecte au réseau d’entreprise, cela crée un point d’accès supplémentaire potentiellement exploitable.

Active Directory (AD) est la plateforme d’identité et d’accès la plus utilisée par les organisations du monde entier. Afin d’améliorer la sécurité de votre réseau, vous devez protéger l’utilisation à distance des identifiants AD.

Phishing pour les plus vulnérables

Le coronavirus a apporté avec lui un grand nombre d’e-mails de phishing. Tout comme la maladie elle-même, les hackers visent les plus vulnérables, vos nouveaux employés travaillant de la maison. Les attaquants attirent leurs victimes grâce à des URL ou des téléchargements de documents promettant des informations de sécurité ou des cartes d'infection. Ils profitent de l’incertitude, de la peur et de l’isolement des employés. L'envie de cliquer n'a jamais été aussi forte!

Le principal objectif des attaquants est de mettre la main sur les identifiants d’un employé pour pouvoir ensuite se déplacer latéralement au sein du réseau à la recherche de systèmes, applications et données précieuses qu’ils pourront exploiter. Le pire c’est que, comme avec le coronavirus, vous ne saurez peut-être même pas que vous avez été infecté. Selon le Ponemon Institute, le temps moyen pour découvrir une violation de données est de 191 jours.

Une surface de menace plus large

En règle générale, mais surtout pendant une période comme nous vivons actuellement, une faible protection des connexions Active Directory peut représenter un risque cyber important pour les organisations. Une grande majorité des organisations n’ont d’autre choix que de se tourner vers le travail à distance, la surface de menace grandit donc rapidement.

De plus, nous avons tous été forcé à migrer vers le télétravail sans aucune préparation préalable, ce qui rend le risque encore plus important. Beaucoup d’entreprises se sont précipitées pour autoriser l'accès au bureau à distance (RDP) de Microsoft.

Ce protocole permet aux utilisateurs distants d'accéder aux ressources de bureau dont ils ont besoin, sans devoir être physiquement au bureau. C’est utile car cela évite les problèmes venant du travail à distance, comme le manque de puissance de calcul informatique ou le manque d’accès aux fichiers/applications nécessaires pour travailler.

Les entreprises ont priorisé la poursuite des opérations, accordant peu d’attention à la cybersécurité.

Comment protéger les identifiants de connexion AD à distance?

L'accès au bureau à distance n'est pas complètement sécurisé. Dans la plupart des cas, il n'est protégé que par un mot de passe. Voici trois recommandations clés pour sécuriser ces connexions AD distantes :

  • Renforcer les mots de passe
  • Utiliser un réseau privé virtuel (VPN) sécurisé pour tous les accès au bureau à distance
  • Activer l'authentification à deux facteurs (2FA) sur ces connexions de bureau à distance

Voici une liste complète de recommandations d'experts qui vous permettront de minimiser pleinement le risque:

1. Politique d'équipement des employés à distance: Quand vous le pouvez, vous devez privilégier l’utilisation des appareils disponibles, sécurisés et contrôlés par votre entreprise. Lorsque ceci n'est pas possible, vous devez alors donner des instructions claires d'utilisation et de sécurité aux utilisateurs.

2. Sécurisation de l’accès externe: Vous devez utiliser un "VPN" (Virtual Private Network) pour sécuriser vos connexions au réseau. Si vous le pouvez, il est bien de limiter cet accès VPN aux machines autorisées par l’entreprise. Les tentatives de connexion provenant d'une autre machine doivent être refusées.

3. Renforcement des mots de passe: Les mots de passe doivent être assez longs, complexes et uniques. Pour pallier aux vulnérabilités des mots de passe, l'authentification à deux facteurs sur les connexions à distance est un excellent contrôle, en particulier pour les connexions au réseau lui-même.

4. Politique stricte pour les mises à jour de sécurité: Dès qu'elles sont disponibles, vous devez les déployer sur tous les équipements de votre système d'information. Les hackers exploitent souvent ces vulnérabilités.

5. Sauvegardes des données et activités: Suite à une attaque, elles constitueront parfois le seul moyen de récupérer ses données. Il faut les effectuer et les tester régulièrement pour s'assurer qu'elles fonctionnent bien.

6. Utilisation de solutions antivirales professionnelles: Elles servent à protéger les entreprises contre une grande partie des attaques virales connues, mais parfois également contre le phishing ou contre certaines attaques de ransomwares.

7. Journalisation de l'activité et des accès: Il faut mettre en place une journalisation de tous les accès et les activités de vos équipements d'infrastructure et de vos postes de travail. Cet audit vous permettra de comprendre comment une cyber-attaque a pu se passer, l'étendue de celle-ci et comment y remédier.

8. Supervision de l'activité des accès externes: Il est important de surveiller les connexions RDP et les accès aux fichiers et dossiers pour  détecter un accès suspect et se protéger contre les cyberattaques. Qu’il s’agisse d’une connexion suspecte d'un utilisateur inconnu, ou d'un utilisateur connu en dehors de ses heures habituelles, cela peut être un signe qu’une attaque est en train de se passer. Si vous le pouvez, vous devriez mettre en place des alertes en temps réel et une réaction immédiate afin d'agir avant que tout dommage ne soit causé.

9. Sensibilisation et soutien réactif pour les employés: Les télétravailleurs doivent recevoir des instructions précises sur ce qu'ils peuvent et ne peuvent pas faire. Il faut les sensibiliser aux risques liés au télétravail. Les employés peuvent être une barrière pour éviter ou détecter une cyberattaque.

10. Préparation aux cyberattaques: Toutes les entreprises, peu importe la taille, peuvent être victimes d’une cyber-attaque. Vous pouvez anticiper les mesures à prendre pour vous en protéger en évaluant les scénarios d'attaque possibles.

11. Implication des managers: Il est essentiel que les managers soient impliqués et engagés dans les mesures de sécurité. Leur attitude doit être exemplaire pour assurer l'adhésion des utilisateurs.

Article invité rédigé et proposé par la société IS Decisions

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

François Amigorena

François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité. IS Decisions est un éditeur de logiciels spécialisé dans les solutions de gestion d’infrastructure et de sécurité pour Microsoft Windows et Active Directory. La société propose des solutions de contrôle d'accès utilisateur, d'audit de fichiers, de reporting de serveur et de bureau et d'installations à distance. Parmi ses clients, on trouve le FBI, l’US Air Force, les Nations Unis et Barclays — chacun d'entre eux compte sur IS Decisions pour prévenir les atteintes à la sécurité; assurer le respect des principales réglementations; tels que RGPD et PCI DSS; répondre rapidement aux urgences informatiques; et économiser du temps et de l'argent pour le service informatique.

francois-amigorena a publié 2 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.