Protection des connexions Active Directory pour le travail à distance

L’explosion du travail à domicile est devenue une aubaine pour les cyber-attaquants. Chaque fois qu'un employé se connecte au réseau d'entreprise depuis son domicile, il crée un point d'accès qui peut souvent être exploité. Windows Active Directory (AD) étant toujours la principale plate-forme d'identité et d'accès pour les entreprises du monde entier, la meilleure chose à faire pour améliorer la sécurité est de protéger l'utilisation à distance de ces identifiants Active Directory.

Plus vulnérable au phishing

Selon la Cyber Threat Alliance, il y a un flot de nouveaux e-mails de phishing consacrés au coronavirus. Et comme le COVID-19 lui-même, les pirates s'intéressent désormais aux plus vulnérables, vos nouveaux télétravailleurs. Le phishing n'attaque pas directement Active Directory, mais il profite de la volonté de l'employé de cliquer sur un lien. Comme vos employés sont isolés et se sentent incertains, le désir de cliquer et de se connecter n'a jamais été aussi fort!

En cherchant à voler les identifiants des employés, les attaquants souhaitent ensuite augmenter les privilèges et se déplacer latéralement au sein de votre réseau, à la recherche de systèmes, d'applications et de données de valeur qu'ils peuvent exploiter. De plus, comme le coronavirus, vous ne savez peut-être même pas que vous êtes infecté. Selon le Ponemon Institute, le temps moyen nécessaire pour découvrir une brèche est de 191 jours.

La surface de menace s’est rapidement étendue

Dans une telle période, la protection souvent inadéquate des connexions Active Directory expose les entreprises à un risque cyber significatif. Et maintenant, alors que la majorité des entreprises se tournent vers le travail à distance, cette surface de menace s'est rapidement étendue.

Le risque est d’autant plus grand que nous avons tous dû migrer rapidement vers le travail à distance sans avoir le temps de nous préparer. Cela a forcé certaines entreprises à se précipiter pour autoriser l'accès au bureau à distance (RDP) de Microsoft.

L'accès au bureau à distance permet aux employés d'accéder aux ressources de bureau dont ils ont besoin, sans avoir à être sur site. Cela permet d'éviter les problèmes courants pouvant survenir pour les travailleurs distants, tels que le manque de puissance de calcul informatique ou le fait de ne pas avoir accès aux fichiers et aux applications dont ils ont besoin.

La priorité a été la poursuite des opérations, la cybersécurité n'ayant peut-être pas l'attention qu'elle mérite.

Alors, comment une entreprise peut-elle protéger au mieux les identifiants de connexion AD à distance?

L'accès au bureau à distance n'est pas entièrement sécurisé car dans la plupart des cas, il n'est protégé que par un simple mot de passe. Trois recommandations clés pour protéger ces connexions AD distantes sont de renforcer les mots de passe, d'utiliser un réseau privé virtuel (VPN) sécurisé pour tous les accès au bureau à distance et d'activer l'authentification à deux facteurs sur ces connexions de bureau à distance.

Ces recommandations permettent aux entreprises d'améliorer considérablement la sécurité des employés travaillant à domicile.

L'authentification à deux facteurs sur les connexions Active Directory est une amélioration de la sécurité qui demande aux employés de présenter deux éléments de preuve lorsqu'ils se connectent à un compte. UserLock facilite cela en travaillant en étroite collaboration avec Active Directory pour offrir la 2FA et une gestion complète des accès sur toutes les connexions Windows et les connexions RDP. Elle peut être ajoutée à toutes les demandes d'accès à distance et implique que l'employé utilise une application d’authentification ou un jeton programmable comme deuxième facteur.

Une liste complète des recommandations d'experts visant à minimiser pleinement le risque est résumée comme suit:

1. 1. Mettez en œuvre une politique d'équipement des télétravailleurs:

   Dans la mesure du possible, privilégiez le télétravail en utilisant les moyens disponibles, sécurisés et contrôlés par l'entreprise elle-même. Lorsque cela n'est pas possible, donnez des directives claires d'utilisation et de sécurité aux employés.

2. 2. Sécurisez votre accès externe:

   Sécurisez les connexions à votre infrastructure en utilisant un "VPN" (Virtual Private Network). Lorsque cela est possible, limitez l'accès VPN aux seuls ordinateurs portables autorisés. Toute tentative d'accès à partir d'une autre machine doit être refusée.

3. 3. Renforcez votre politique de gestion des mots de passe:

   Les mots de passe doivent être suffisamment longs, complexes et uniques pour chaque appareil utilisé ou service. Activez l'authentification à deux facteurs sur les connexions distantes, en particulier pour les connexions au réseau lui-même.

4. 4. Ayez une politique stricte pour les mises à jour de sécurité:

   Déployez les dès qu'elles sont disponibles et sur tous les équipements accessibles de votre système d'information car les cybercriminels exploitent rapidement ces vulnérabilités.

5. 5. Resserrez la sauvegarde de vos données et activités:

   Les sauvegardes seront parfois le seul moyen pour l'entreprise de récupérer ses données suite à une cyberattaque. Les sauvegardes doivent être effectuées et testées régulièrement pour s'assurer qu'elles fonctionnent.

6. 6. Utilisez des solutions antivirales professionnelles:

   Les solutions antivirales professionnelles peuvent protéger les entreprises contre la plupart des attaques virales connues, mais aussi parfois contre les messages de phishing ou même contre certains ransomwares.

7. 7. Configurez la journalisation de l'activité de tous vos équipements d'infrastructure:

   Ayez une journalisation systématique de tous les accès et activités de vos équipements d'infrastructure (serveurs, pare-feu, proxy…) et des postes de travail eux-mêmes. Cet audit sera souvent le seul moyen de comprendre comment une cyber-attaque a pu se produire, l'étendue de l'attaque et comment y remédier.

8. 8. Supervisez étroitement l'activité de tous les accès externes et systèmes sensibles:

   La surveillance des connexions RDP et de tous les accès aux fichiers et dossiers est un excellent moyen de détecter tout accès anormal qui pourrait être le signe d'une cyberattaque. Par exemple, une connexion suspecte d'un utilisateur inconnu, ou d'un utilisateur connu en dehors de ses heures habituelles, ou un volume ou une activité inhabituelle à des fichiers et dossiers sensibles. Des alertes en temps réel et une réponse immédiate vous permettent d'agir avant que tout dommage ne soit causé.

9. 9. Sensibilisez et apportez un soutien réactif à vos collaborateurs de télétravail:

   Donnez aux télétravailleurs des instructions claires sur ce qu'ils peuvent et ne peuvent pas faire et sensibilisez-les aux risques de sécurité liés au télétravail. Les utilisateurs sont souvent la première barrière pour éviter ou même détecter les cyberattaques.

10. 10. Préparez-vous à une cyberattaque:

    Les actualités montrent qu'aucune organisation, quelle que soit sa taille, n'est à l'abri d'une cyberattaque. L'évaluation des scénarios d'attaque possibles permet d'anticiper les mesures à prendre pour s'en protéger.

11. 11. Leaders: impliquez-vous et dirigez!

    L'implication et l'engagement des managers dans les mesures de sécurité est essentiel, tout comme leur comportement, qui doit être exemplaire pour assurer l'adhésion des collaborateurs.