Bien que le score global moyen soit meilleur cette année par rapport au score moyen de 61% rapporté dans l’enquête de 2022, les résultats indiquent que les organisations ont toujours du mal à identifier et à traiter les vulnérabilités de sécurité qui laissent leurs environnements d’identité ouverts aux cyber-attaques. Ces résultats corroborent ceux de Microsoft : Selon le 2022 Digital Defense Report, 88 % des clients de Microsoft touchés par des cyberincidents avaient une "configuration AD non sécurisée".

Il est encourageant de constater que les utilisateurs ont fait état d’améliorations de 40 % en moyenne et même de 64 % après avoir bénéficié des conseils d’un expert pour remédier à la situation.

Vulnérabilités de sécurité de l’AD

Au moment de son lancement, Microsoft Active Directory (AD) était une technologie révolutionnaire - lancée à l’origine avec le système d’exploitation pour serveurs Windows 2000, et qui continue à prendre en charge une grande partie du monde du travail hyperconnecté dans lequel nous vivons.

Microsoft AD s’est imposé face à tous les autres annuaires pour une raison essentielle : il était ouvert. C’est grâce à cette ouverture et à cette facilité d’intégration qu’AD reste à ce jour un élément fondamental de l’infrastructure de 90 % des entreprises. Cependant, sa plus grande force il y a 22 ans est devenue depuis sa plus grande faiblesse.

La menace

Si l’on considère qu’un pirate peut utiliser n’importe quel compte AD non privilégié pour lire presque tous les attributs et objets dans AD, y compris leurs autorisations, ce qui lui permet de trouver des comptes d’ordinateur dans n’importe quel domaine d’une forêt AD configurée avec une délégation sans contrainte, on comprend alors pourquoi l’ouverture par défaut d’AD est devenue une vulnérabilité.

Aujourd’hui, en raison de la disparition du périmètre du réseau, l’identité est devenue la dernière ligne de défense contre les cyberattaques. Les chercheurs de Mandiant ont indiqué que 90 % des incidents sur lesquels ils enquêtent impliquent AD sous une forme ou une autre.

Malgré les nombreux avertissements des analystes, la couverture des attaques AD en cours et les appels urgents à l’action de leurs propres équipes informatiques, de nombreux dirigeants d’organisations ne donnent pas la priorité à la sécurité et à la récupération spécifiques à AD, ce qui les rendent vulnérables à la prolifération des attaques basées sur AD.

Purple Knight

Semperis est un pionnier de la gestion et de la protection des informations d’identité des environnements hybrides des entreprises et a été spécialement conçu pour sécuriser AD.

Au-delà de l’utilisation des résultats de Purple Knight pour la remédiation, les organisations utilisent l’outil pour découvrir des vulnérabilités inconnues, communiquer la position de sécurité aux dirigeants et aux autres équipes, compenser le manque de compétences internes en matière d’AD, se préparer à la prolifération d’attaques basées sur AD.

Résumé des principaux résultats de l’enquête 2023 :

– Les organisations ont obtenu une note moyenne de 72 pour leurs évaluations initiales de la sécurité informatique, ce qui est mieux que la note moyenne de 61 de l’année dernière, mais reste une note faible de C.

– Les organisations ont obtenu un score moyen de 61 dans la catégorie de la sécurité des comptes, le score le plus bas parmi les sept catégories AD évaluées par l’outil Purple Knight ; 55% des organisations ont signalé 5+ vulnérabilités dans la catégorie Azure AD.

– 13% des organisations ont également signalé 5+ indicateurs de sécurité dans la nouvelle catégorie Azure AD, qui se concentre sur les vulnérabilités telles que les comptes d’invités inactifs et les politiques d’accès conditionnel mal configurées.

– Les grandes organisations (plus de 10 000) sont les plus mal loties avec un score moyen de 63 sur 100.

– Le secteur de l’assurance est celui qui a obtenu la note moyenne la plus basse avec 66 sur 100.

– Les utilisateurs ont fait état d’une amélioration moyenne de 40 % - et même de 64 % - des scores d’évaluation ultérieurs après avoir appliqué les conseils de remédiation inclus dans leurs évaluations.

Les principaux défis liés à la correction des vulnérabilités AD sont les suivants

1. Manque de visibilité sur les vulnérabilités AD

2. Le manque de temps et de ressources pour remédier à la prolifération des vulnérabilités

3. Manque d’attention aux problèmes de sécurité AD de la part des dirigeants d’entreprise et d’autres équipes

4. Complications dues à des infrastructures AD héritées ou anciennes

5. Absence d’identification des failles de sécurité lors des audits réalisés par des tiers

Vulnérabilités communes découvertes par Purple Knight

– Comptes sans privilèges avec des droits DC Sync sur le domaine

– Utilisateurs privilégiés avec des mots de passe faibles

– Accès anonyme à Active Directory activé

– Comptes non protégés avec des droits d’administration

– Comptes d’utilisateurs avec d’anciens mots de passe

– Comptes d’administrateurs avec d’anciens mots de passe

– Utilisateurs privilégiés Azure AD qui sont également privilégiés dans AD

Les personnes interrogées ont cité différents catalyseurs pour télécharger l’évaluation de la sécurité, allant de la prolifération des attaques dans leur secteur d’activité, aux mandats organisationnels, ou à la remédiation post-fraude. De nombreuses personnes interrogées ont déclaré avoir été prises au dépourvu par les conclusions de leur rapport Purple Knight.

Mickey Bresman, PDG de Semperis, déclare à propos du rapport : "Nous avons constaté que de nombreuses entreprises n’ont pas une bonne compréhension des risques liés à Active Directory que les adversaires peuvent utiliser contre elles. Nous voulions donner aux équipes de sécurité qui n’ont pas une expertise approfondie de l’AD un moyen de comprendre leur posture de sécurité AD - et ensuite de combler les lacunes existantes afin que les adversaires ne les utilisent pas contre eux".