Comment protéger Active Directory des attaques par ransomware

Les attaques par ransomware sont en hausse, avec une croissance annuelle de 80 % en fréquence. Cette hausse inquiétante est principalement le fait des plateformes de ransomware en tant que service (RaaS), dont la popularité explose. Par ailleurs, comme l’explique notre partenaire, les cybercriminels exploitent de plus en plus souvent les vulnérabilités des composants clés du réseau comme Active Directory (AD).

Si Active Directory est une cible de choix pour les attaques par ransomware, c’est parce que cette technologie joue un rôle central dans la gestion du réseau. On décrit souvent AD comme une passerelle permettant d’accéder au reste de votre réseau. Par nature, AD contrôle la sécurité des accès utilisateur.

C’est pour cette raison qu’AD intéresse particulièrement les cybercriminels : quand ces derniers parviennent à prendre votre AD en otage, ils paralysent l’accès des utilisateurs à un grand nombre de ressources réseau. Cette technique entraîne évidemment d’énormes perturbations opérationnelles.

Bien entendu, les ransomwares ne sont pas capables de chiffrer l’environnement Active Directory directement. Les attaquants se servent plutôt d’Active Directory pour accéder aux hôtes connectés et aux systèmes joints à des domaines en vue de les chiffrer. LockBit 2.0 et BlackMatter sont deux familles de ransomwares populaires qui passent par AD.

La mise au point de stratégies globales de sécurité pour Active Directory aide les entreprises à mieux renforcer leurs défenses.

Voyons ensemble les mesures à mettre en place et les pratiques à adopter pour améliorer la protection d’Active Directory contre les ransomwares, renforcer la sécurité des accès utilisateur et empêcher l’infiltration des ransomwares dans votre environnement.

Sensibilisez vos équipes à la cybersécurité

Pour mieux protéger Active Directory contre les ransomwares, commencez par investir dans des sessions régulières de sensibilisation à la cybersécurité. La cybersécurité comporte inévitablement une dimension humaine, et il en va de même pour la protection d’Active Directory contre les ransomwares.

La sensibilisation à la cybersécurité est un composant essentiel d’une stratégie de sécurité exhaustive (qui gère de façon harmonieuse les personnes, les processus et les technologies). Donnez à vos collaborateurs les moyens d’agir en tant que première ligne de défense contre les cybermenaces, et ils joueront un rôle vital pour renforcer la posture de sécurité globale de votre entreprise.

Tenez votre Active Directory à jour

La mise à jour régulière de votre environnement Active Directory est essentielle pour le protéger des attaques par ransomware. Microsoft publie fréquemment des correctifs de sécurité spécifiques à AD. Installez ces mises à jour sans attendre pour réduire le risque d’exploitation de vulnérabilités par des attaquants.

Une approche proactive des mises à jour rend votre écosystème plus difficile à atteindre pour les cybercriminels, ce qui renforce naturellement la protection d’Active Directory contre les ransomwares.

Tirez parti de la Threat Intelligence pour la détection précoce des menaces AD

L’intégration de la Threat Intelligence (renseignements sur les menaces) aux pratiques de sécurité d’Active Directory vous aide à détecter plus rapidement les ransomwares potentiels. Cette approche se concentre sur l’analyse et la surveillance des cybermenaces en temps réel. À mesure que les menaces évoluent, l’accès à des renseignements à jour vous permet d’adapter vos mécanismes de défense de façon efficace et rapide.

Grâce à la Threat Intelligence, les équipes informatiques accèdent à des renseignements détaillés sur les modèles d’activités inhabituelles susceptibles de survenir dans Active Directory. De plus, si vous êtes en mesure d’identifier les indicateurs de compromission clés, vous pouvez éviter un incident.

Avec cette visibilité accrue, les administrateurs gèrent plus efficacement la sécurité des accès utilisateur, identifient et neutralisent plus rapidement les activités suspectes et les empêchent de muter en compromission totale.

Au lieu d’être réactive, votre posture de sécurité devient préventive. Elle réduit d’autant la probabilité de réussite d’une attaque par ransomware.

Créez un plan de réponse aux incidents pour AD

Comme Active Directory (AD) fait partie intégrante de vos opérations, il est important de définir un plan de réponse robuste pour préserver la disponibilité des systèmes. En cas de faille réelle, l’incapacité à accéder aux applications connectées peut entraîner des arrêts prolongés, qui affectent à la fois vos collaborateurs, vos clients et votre chiffre d’affaires.

Dans cette optique, votre plan de réponse doit définir de façon claire les procédures à mettre en place en cas de cyberincident. Son but : détecter rapidement les menaces, déployer les mesures correctives et restaurer les systèmes en réduisant les dégâts au maximum.

En renforçant la cohérence et l’efficacité des mesures prises, vous pouvez préserver la sécurité et la fonctionnalité de votre réseau Active Directory.

Effectuez des sauvegardes régulières pour atténuer le risque

La sauvegarde régulière des données d’Active Directory (AD) est une stratégie efficace de protection. AD est un service réseau critique pour la continuité des opérations. Un crash de serveur peut perturber à la fois les services cloud et les services locaux et empêcher les utilisateurs d’accéder à des applications et des données essentielles.

Sauvegarder les données, c’est un bon début, mais ne vous arrêtez pas là. Il convient également de tester régulièrement l’intégrité de vos sauvegardes. N’oubliez pas de les conserver à des emplacements sûrs, hors site et hors d’atteinte des ransomwares.

Bien sûr, la mise en place de ces sauvegardes requiert des procédures spécifiques, puisqu’AD s’appuie sur une base de données spécialisée. Le processus de sauvegarde doit s’effectuer en ligne, et lorsque les services de domaine Active Directory sont actifs, il doit respecter les protocoles de sauvegarde spécifiques énoncés dans Ntdsbcli.h.

L’utilitaire de sauvegarde intégré à Windows ne prend pas en charge les sauvegardes incrémentielles, mais la mise en place d’une stratégie de sauvegarde globale participe à la protection d’Active Directory contre les ransomwares.

Sécurisez et surveillez les accès utilisateur au réseau

Bien protéger Active Directory contre les ransomwares passe par une gestion robuste des accès utilisateur.

Avant toute chose, activez l’authentification multifacteur (MFA) sur tous les comptes.

Cette fonction renforce la sécurité, en particulier pour les connexions RDP, particulièrement vulnérables aux attaques par ransomware. Si et quand des assaillants parviennent à mettre la main sur des identifiants utilisateur, la MFA agit comme une barrière et rend les accès non autorisés beaucoup plus difficiles.

Il faut également tenir à jour vos critères de groupes. Ce n’est pas une tâche passionnante, nous le savons bien. Mais il s’agit d’une méthode éprouvée pour gérer les autorisations utilisateur de façon proactive. En vous assurant que vous harmonisez les droits d’accès avec les rôles et responsabilités de chacun, vous réduisez le risque d’exploitation d’autorisations obsolètes.

Ensuite, appliquez des contrôles d’accès par moindre privilège. Le principe est de réduire au strict minimum l’accès des utilisateurs et des administrateurs en fonction des besoins réels. Ce faisant, vous limitez l’impact potentiel d’une violation de compte, ce qui compte énormément lorsque vous cherchez à réduire les dégâts d’une attaque par ransomware sur Active Directory.

Il est également conseillé de surveiller et de consigner les activités réseau. Cette démarche facilite l’identification des activités ou des changements inhabituels, en mettant en évidence les signaux précurseurs de menaces potentielles.

Enfin, sécurisez les comptes de vos administrateurs. Différentes méthodes permettent d’y parvenir :

  • Bloquez l’accès des administrateurs aux serveurs et postes de travail des membres.
  • Désactivez la possibilité d’établir une connexion administrateur à l’aide d’une tâche ou d’un service par lot.
  • Limitez l’usage des services de bureau à distance pour les administrateurs sur les serveurs et postes de travail des membres.
  • Lorsque vous activez la MFA en complément de ces stratégies, vous créez une défense plus résiliente contre les attaques par ransomware.
  • Sécurisez et surveillez l’accès des utilisateurs aux fichiers et aux dossiers
  • Il est également important d’adopter des mesures spécifiques concernant l’accès aux fichiers et aux dossiers.

Le contrôle d’accès basé sur les rôles (RBAC) permet de personnaliser l’accès aux partages de fichiers en fonction du rôle des utilisateurs, ce qui limite leur accès aux seules données dont ils ont besoin pour accomplir leur travail. Cette approche s’aligne parfaitement avec le framework de sécurité d’Active Directory.

La surveillance de l’intégrité des fichiers (FIM) est également importante pour la détection précoce des menaces. En signalant les modifications non autorisées, la FIM contribue à détecter rapidement les failles de sécurité.

Le chiffrement des fichiers et dossiers sensibles apporte une protection supplémentaire. Ainsi, même si les attaquants parviennent à s’affranchir des mécanismes de défense, cette mesure de sécurité reste efficace. Le chiffrement agit comme une force de dissuasion contre les accès non autorisés et le vol de données.

Les administrateurs ont tout intérêt à procéder à un audit régulier des autorisations d’accès aux fichiers afin de garantir un bon alignement avec les politiques de l’entreprise et les exigences de chaque rôle. Les audits facilitent l’identification et la correction des lacunes susceptibles d’être exploitées par des acteurs malveillants.

Autre méthode proactive : configurer des alertes en temps réel en cas d’accès inhabituel aux fichiers. Ces alertes permettent d’intervenir rapidement lorsque des activités suspectes sont décelées. Votre environnement Active Directory est ainsi mieux protégé contre les ransomwares.

Sécurisez Active Directory pour briser la chaîne d’attaque des ransomwares

Une protection efficace d’Active Directory s’appuie sur une surveillance permanente et une gestion proactive, centrée sur la détection précoce des menaces et permettant de déployer une intervention rapide. L’objectif consiste à créer un environnement résilient. En empêchant les créateurs de ransomwares d’accéder de façon détournée à Active Directory, vous protégez l’ensemble du patrimoine numérique de votre entreprise et vous préservez son intégrité.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. Cédric Reply

    Bonjour Damien et merci pour toutes ces informations.
    Qu’en est-il de Microsoft Entra ID (ex Azure Directory) sur ce point ?
    Les hackers visent ils également massivement cet AD dans le cloud ?
    Je me doute que c’est un peu plus complexe mais j’aimerais connaitre les risques car il y a peu d’infos qui concernent cette solution cloud de gestion d’identité. Merci.

  2. Bilel Reply

    @Céderic A mon avis, tout environnement est ciblé surtout si les bonnes mesures de sécurité se sont pas bien appliquées.
    Mais généralement avec « Microsoft Entra ID », on applique les différentes fonctionnalités (SSO,MFA, contrôle d’accès et gestion des partages, Accès conditionnel, IAM/PAM, chiffrement, journalisation et monitoring,….) avec une bonne gestion des mots de passe, un bon cloisonnement au niveau de l’architecture,…
    A ce moment vous réduisez le risque et vous ne serez pas compromis, la vraisemblance d’un scénario d’attaque est minime

  3. plessier Reply

    Bonjour,

    Je rajouterai
    Mettre en place une architecture trois tiers sur votre ad.
    Utiliser un outil pingcastle ou purpleknight pour savoir où en est vôtre ad terme de sécurité.
    Vérifier si vous n’est pas perméable à une attaque transverse de votre ad avec des outils du marché, c’est ce que vont faire les pirates.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.