Un outil gratuit pour aider les assurés à vérifier les configurations de leur Active Directory à la recherche de vulnérabilités qui peuvent être exploitées par des attaquants

Si les entreprises prennent conscience du risque cyber et lui allouent des budgets de plus en plus conséquents, il reste toutefois difficile pour la plupart d’entre elles de déterminer et de choisir les bonnes solutions à mettre en place. La menace vise aujourd’hui les systèmes informatiques vulnérables et place ainsi les TPE et PME en première ligne face à un risque encore peu maîtrisé : elles représentent 34% des victimes de rançongiciel en 2021 (+53% par rapport à 2020) et 60% d’entre elles ne se relève pas après une cyberattaque.
En complémentarité de son scan externe et de son outil anti-phishing, Stoïk met désormais un scan d’Active Directory à disposition de ses assurés, toujours dans l’optique de réduire leur risque. Aujourd’hui, la menace principale est le rançongiciel et pour avoir une chance de se faire payer une rançon, l’attaquant cherche à paralyser l’entreprise dans son intégralité : il va chercher à devenir administrateur de l’Active Directory pour pouvoir chiffrer tous les postes et serveurs.

Un Active Directory est un annuaire du système d’exploitation Microsoft qui permet notamment de centraliser l’identification et l’authentification de chaque utilisateur pour chaque machine utilisée par l’entreprise. Lorsqu’il a affaire à une entreprise qui dispose d’un Active Directory, l’attaquant cherche à devenir administrateur du domaine pour devenir maître de tous les postes et serveurs de l’entreprise et ainsi accéder à la donnée sensible. L’Active Directory, utilisé par une majorité d’entreprises sur Microsoft en France, est ainsi un maillon de l’attaque très fréquent.
Avec ce nouvel outil, Stoïk devient le premier assureur cyber qui dispose d’une réelle visibilité du risque de ses assurés et qui les accompagne dans la réduction de leurs vulnérabilités techniques et humaines, externe et interne.

Comment fonctionne le scan d’Active Directory ?

Le scan mis en place par Stoïk va permettre d’auditer les configurations de l’Active Directory et ainsi permettre à l’assuré d’améliorer sa posture de sécurité simplement. Il repose en partie sur deux outils open source très utilisés dans les audit et complémentaires : pingcastle et bloodhound.
L’assuré pourra ainsi par exemple facilement identifier :
• si des droits utilisateurs sont trop permissifs ;
• si des systèmes sont obsolètes ;
• si la politique de mots de passe est trop faible.

Pour mettre en place le scan d’Active Directory, l’assuré peut télécharger un script powershell depuis son espace Stoïk. Ce script doit être exécuté depuis un compte non privilégié sur un poste connecté à internet. Durant l’exécution, les outils pingcastle et bloodhound seront téléchargés et exécutés. Une fois le script exécuté, les résultats seront envoyés automatiquement à Stoïk et l’assuré pourra les consulter sur le tableau de bord dédié dans son espace Stoïk.
Le script peut être relancé autant que nécessaire par l’assuré. En fonctionnement normal, Stoïk recommande de l’exécuter tous les mois. En phase de durcissement, il est recommandé de le lancer autant de fois que nécessaire pour vérifier que les mauvaises configurations sont bien corrigées.