Qu’est-ce que l’Active Directory ?

Active Directory, ou l’annuaire actif, est un service d’annuaire lancé par Windows dans le milieu des années 90 et qui, depuis lors, organise le fonctionnement et protège la base de données de plusieurs postes de travail regroupés au sein d’un même réseau. En matière d’informatique d’entreprise, Active Directory est un pilier. C’est une infrastructure historique qui s’occupe de la gestion de l’identification ainsi que l’authentification d’un réseau contenant de multiples postes. Elle a donc un rôle clé dans l’accès aux ressources de l’entreprise et le fonctionnement des systèmes informatiques. C’est pour l’ensemble de ces raisons qu’elle est aujourd’hui devenue une cible privilégiée des hackers et cyberattaques.

 

Alors, comment fonctionne exactement l’Active Directory et comment bien le sécuriser ?

 

Comment fonctionne l’Active Directory ?

 

La structure d’Active Directory est composée de trois catégories, que l’on appelle des objets:

 

  • les ressources (telles que les imprimantes par exemple)
  • les services (tels que les courriers électroniques)
  • les utilisateurs au sein d’un réseau donné

 

Ces objets – et leurs attributs – sont des entités singulières. Ainsi, prenons l’exemple de l’objet utilisateur. Il correspond au nom d’une personne et les informations qui lui sont directement associées : son mot de passe, le service duquel elle dépend, son adresse e-mail. L’objet contient également des informations plus « techniques » telles que l’identificateur global unique (GUID pour « Globally Unique Identifier »), l’identificateur de sécurité (SID, pour « Security Identifier »), les horaires de connexion et l’appartenance à des groupes spécifiques au sein du réseau d’entreprise.

 

Active Directory intègre ces objets au sein de divers niveaux, également au nombre de trois : les domaines, les arborescences et les forêts. Le domaine permet de relier différents utilisateurs, ordinateurs et objets. Plusieurs domaines peuvent être combinés dans une arborescence, et ces mêmes arborescences constituent les forêts.

Il est possible, à l’intérieur d’un domaine, de mettre en place une structuration et une hiérarchisation : on appelle cela les unités organisationnelles (UO).
Un rapport dans lequel elle donne différents conseils et consignes pour mieux sécuriser l’Active Directory.

 

L’Active Directory est le poumon de l’infrastructure informatique d’entreprise. De ce fait, il s’agit donc d’une porte d’entrée idéale pour les hackers et autres tentatives de cyber attaques. La sécurisation d’Active Directory se doit donc d’être un des objectifs principaux des responsables de systèmes d’informations et MSP au moment d’établir leurs stratégie d’action.

 

Quelques conseils à suivre :

 

  • S’assurer de la conformité de l’Active Directory avec les règles de sécurité : toutes mesures permettant de détecter, isoler et éviter une attaque sur l’Active Directory doivent être appliquées et suivies à la lettre. L’Active Directory requiert une attention particulière afin de s’assurer de la conformité avec les règles de sécurité mises en place à un instant T. D’où l’importance de mettre en place tous les mécanismes d’automatisation informatique afin d’être à jour sur l’ensemble de votre service informatique.

 

  • Instaurer des barrières de sécurité fortes : évitez de donner trop de droits d’accès à de nouvelles personnes. Les droits d’accès doivent se faire de manière graduée et, si cela le nécessite, de manière temporaire. Par exemple, si vous engagez des prestataires extérieurs qui interviennent sur vos systèmes informatiques à un moment donné, il est important qu’ils ne conservent pas de permissions et d’accès sur vos services à la fin de leur prestation. Ce phénomène est ce qu’on appelle la « shadow administration » qui représente un risque potentiellement important pour la sécurité des systèmes informatiques. Il est donc primordial dans un premier temps, d’identifier les ressources sensibles puis d’en donner l’accès uniquement à un nombre restreint de personnes.

 

  • Former les équipes : comme pour tout nouveau logiciel ou nouveau comportement, vous devez expliquer et former aux règles de sécurité pour éviter toute erreur de la part de vos équipes. L’infrastructure Active Directory étant centrale et primordiale, elle doit tout autant l’être pour l’ensemble des personnes concernées. Prenez soin d’expliquer pourquoi certains droits sont restreints et pourquoi telle ou telle personne a été sélectionnée ou exclue des dits droits.

 

Le plus important est de sécuriser les fondations de l’Active Directory. Vous devez être en mesure de savoir ce qu’il se passe à chaque instant et déployer une capacité de monitoring forte. D’ailleurs, les outils de monitoring proposés par les MSP pourront beaucoup vous aider en ce sens. Pensez également à faire une analyse régulière des risques pour déterminer le mode de transfert des journaux et privilégier le stockage des journaux dans une base de données indexée.

 

Si la thématique de la sécurité vous intéresse, vous pourriez trouver utile notre article sur la gestion des correctifs contre les cyberattaques.

Rationalisez votre service informatique

Logiciel RMM, PSA et Accès à distance qui changeront la façon dont vous dirigez votre activité MSP