Sécuriser Microsoft Entra ID : stratégies pour protéger votre cloud

De plus en plus d’entreprises optent pour la migration de leurs services vers le cloud afin de bénéficier de ses nombreux avantages. Parmi ces bénéfices, on compte la disponibilité continue des services, la simplification de la gestion de l’infrastructure, et l’élimination de la nécessité de gérer des composants physiques en interne. Cela permet de réduire les coûts et d’atténuer les contraintes logistiques.

Lorsqu’on aborde le sujet du cloud computing, de nombreuses solutions sont disponibles sur le marché.
Aujourd’hui, nous allons nous concentrer sur Azure, la plateforme cloud de Microsoft.
Plus spécifiquement, nous examinerons la sécurité d’Azure Active Directory (Azure AD), désormais connu sous le nom de Microsoft Entra ID.

Le but de cet article est de fournir des clés essentielles pour éviter la dégradation de la sécurité de votre environnement suite à la désactivation de la fonctionnalité « paramètres de sécurité par défaut ». Ce paramètre, activé par défaut, est particulièrement crucial pour les organisations ne souhaitant pas gérer activement la sécurité de leurs systèmes cloud, ou pour celles ne sachant pas par où commencer. Cependant, cette configuration par défaut est insuffisante en matière de sécurité, car elle ne propose pas toutes les options essentielles que nous allons explorer ci-dessous.

Ces options permettent d’atteindre un niveau de sécurité satisfaisant, capable de dissuader les attaquants visant votre infrastructure. Les principales menaces dans un environnement Azure AD incluent les attaques par phishing, une mauvaise gestion des autorisations pouvant entraîner des accès non autorisés, ainsi que les risques liés aux applications non gérées mais connectées à Azure AD.

La première ligne de défense contre le phishing et les fuites de mots de passe est l’activation de l’authentification multi-facteur (MFA) pour toutes les connexions à Microsoft Entra ID. Il est recommandé d’utiliser des applications dédiées, comme Microsoft Authenticator, afin de renforcer la protection des comptes et de réduire considérablement les risques d’accès non autorisés.

Cependant, cette mesure seule ne suffit pas à se protéger contre des attaques plus sophistiquées, telles que les attaques « Adversary-in-the-Middle » (AITM) visant à contourner le MFA. Ce type d’attaque intercepte les communications, permettant à l’attaquant de capturer les sessions légitimes de l’utilisateur piégé, y compris les jetons de session et les identifiants (nom d’utilisateur et mot de passe), contournant ainsi l’authentification MFA.

Pour protéger les utilisateurs contre les attaques de type AITM, il est possible de renforcer davantage la sécurité des connexions en mettant en place des solutions spécifiques à ce sujet (FIDO2, Windows Hello for Business ou Authentification par Certificat) ou la mise en place des politiques d’accès conditionnel pour les appareils considérés conformes à l’entreprise (Intune). Cependant, ces fonctionnalités ne sont disponibles qu’avec les licences Premium P1, ce qui signifie que la version gratuite ne fournit pas de protection contre ces attaques plus sophistiquées.

Pour se protéger efficacement contre les attaques AITM, il est recommandé d’appliquer toutes ces bonnes pratiques lors de la mise en place des accès conditionnels :

• MFA obligatoire pour les utilisateurs privilégiés : Pour les administrateurs, ou les utilisateurs ayant des fonctions critiques (RH, direction, comptabilité), imposez systématiquement l’authentification multi facteur pour chaque connexion.
• MFA adaptative : Implémentez une approche basée sur le contexte. Par exemple, l’accès depuis les bureaux peut se faire sans MFA pour les utilisateurs standards.
• Restreindre l’accès basé sur l’emplacement : Limitez l’accès aux ressources sensibles aux régions spécifiques (par exemple, depuis l’adresse IP de sortie des bureaux de l’entreprise). Bloquez les accès depuis des régions du monde où vos utilisateurs ne sont pas censés se connecter.
• Appliquer des Politiques Basées sur les Appareils : Exigez que seuls les appareils conformes et gérés via Intune (ou une autre solution de gestion des appareils) puissent accéder à des applications critiques. Cela empêche les appareils compromis ou non gérés d’accéder à votre environnement. La conformité des appareils est essentielle, car c’est elle qui permet de bloquer efficacement les attaques AITM.

Connaître les détenteurs de droits administratifs ou sensibles est essentiel pour limiter les risques d’accès non autorisé et réduire les impacts en cas de compromission. En outre, maintenir l’annuaire à jour permet de limiter les accès indésirables en supprimant les comptes des personnes qui ne sont plus dans l’entreprise.

Voici quelques bonnes pratiques à appliquer :

• Limiter les comptes d’administration : Il est fortement recommandé de restreindre le nombre d’administrateurs globaux. Appliquez le principe du moindre privilège à chaque compte créé. Utilisez des comptes administratifs nominatifs afin de faciliter l’identification des actions et de comprendre l’origine des incidents en cas de compromission.
• Appliquer la fonctionnalité Privileged Identity Management (PIM) : Cette fonctionnalité permet de gérer, contrôler et surveiller l’accès aux ressources sensibles de votre organisation, en s’assurant que les rôles d’administration ne sont activés qu’après une procédure de vérification stricte. Avec PIM, vous pouvez imposer l’authentification multi-facteur (MFA), définir des durées d’activation temporaires pour les rôles, et exiger des justifications avant l’élévation des privilèges. De plus, PIM permet de surveiller l’utilisation des rôles privilégiés en temps réel et d’envoyer des alertes pour toute activité suspecte, renforçant ainsi la sécurité des accès critiques.
• Liste noire de mots de passe : Mettez en place des politiques de mots de passe incluant une liste de termes interdits, tels que le nom de l’entreprise ou des combinaisons de touches courantes. Il est aussi conseillé d’imposer des exigences de longueur et de complexité des mots de passe pour réduire les risques de compromission par des attaques de force brute.
• Groupes dynamiques : Utilisez des groupes dynamiques dans Azure AD pour gérer automatiquement les accès en fonction des attributs des utilisateurs, tels que leur rôle ou emplacement. Cela minimise les erreurs humaines et assure que les accès sont toujours à jour et conformes aux politiques de sécurité.
• Self-Service Password Reset (SSPR) : Activez la fonctionnalité de réinitialisation de mot de passe en libre-service avec le MFA pour permettre aux utilisateurs de réinitialiser leurs mots de passe de manière autonome. Cela permet non seulement d’accroitre la sécurité, mais également de réduire la charge de travail de l’équipe IT.

Il existe un point spécifique pour l’intégration d’utilisateurs invités dans Azure Active Directory (Azure AD). Il est essentiel de bien gérer leurs droits pour minimiser les risques de sécurité tout en facilitant leur collaboration.

Voici les principales étapes et recommandations pour sécuriser et optimiser la gestion des utilisateurs invités dans un tenant Azure AD :

• Invitations temporaires : Pour des projets ou collaborations temporaires, il est recommandé d’attribuer des droits d’accès à durée limitée aux utilisateurs invités. Cela peut être géré via des fonctionnalités comme Azure AD B2B, où les comptes d’invités sont créés avec des permissions restreintes. Une durée d’accès prédéfinie peut être assignée, après quoi l’utilisateur perd automatiquement ses droits. Cette approche minimise les risques d’accès prolongé à des ressources critiques une fois la collaboration terminée.
• Invitations permanentes : Pour des utilisateurs externes qui ont besoin d’un accès permanent (comme des partenaires stratégiques ou des consultants de longue durée), il est nécessaire d’assurer que leurs accès sont régulièrement audités. Bien que leurs accès puissent être plus durable, il est essentiel d’appliquer des politiques de sécurité strictes, telles que l’authentification multi-facteur (MFA) et des audits réguliers de leurs activités au sein du groupe.
• Accès limité aux fichiers : Pour des raisons de sécurité, les utilisateurs invités devraient avoir un accès limité aux fichiers partagés dans le groupe. Utilisez des permissions en lecture seule pour les documents sensibles et permettez l’édition uniquement sur les fichiers où leur contribution est nécessaire. SharePoint notamment permet la mise en place de droits granulaire au niveau des fichiers ou des dossiers, garantissant que seuls les utilisateurs internes peuvent accéder aux informations les plus sensibles.

La gestion des fichiers et des données partagées au sein d’un groupe est cruciale pour assurer une collaboration efficace tout en maintenant un haut niveau de sécurité et de contrôle.

Voici les aspects clés à prendre en compte ainsi que les meilleures pratiques pour gérer les fichiers et les configurations de groupe :

• Gestion des permissions : Assurez-vous que les utilisateurs disposent des permissions appropriées pour visualiser, modifier ou supprimer des fichiers. Utilisez des permissions basées sur les rôles ou les groupes pour contrôler qui peut éditer ou supprimer les fichiers partagés. Définissez des politiques de permissions minimales nécessaires pour effectuer des tâches spécifiques et évitez de donner des permissions excessives.
• Partage sécurisé : Lorsque des fichiers sont partagés au sein d’un groupe, vérifiez que seules les personnes ayant les droits nécessaires y accèdent. Pour des documents sensibles, limitez les autorisations de modification ou activez des options de partage en lecture seule.
• Suivi des versions : Activez l’historique des versions sur les documents partagés pour conserver une trace de chaque modification.
• Contrôler la création des canaux : Pour éviter une prolifération inutile de canaux, limitez cette capacité à certains membres ou rôles (administrateurs ou responsables de groupe). Implémentez des politiques de révision périodique pour archiver ou supprimer des canaux inactifs.
• Modification des paramètres : Limitez la modification des paramètres (par exemple, changement de nom du groupe ou des paramètres de confidentialité) aux administrateurs ou aux membres ayant des droits spécifiques.
• Contrôle d’accès : Seuls les administrateurs ou les membres autorisés devraient pouvoir ajouter ou supprimer des membres du groupe. Un contrôle strict est nécessaire pour empêcher que des utilisateurs non autorisés ne rejoignent ou quittent le groupe sans validation préalable.