Sécurité bien au-delà
de la politique de mot de
passe Active Directory

Un environnement réseau Windows sécurisé requiert que tous les utilisateurs du domaine utilisent des mots de passe forts. Pour ce faire, un administrateur système peut mettre en œuvre des stratégies de mot de passe encourageant tous les utilisateurs à créer des mots de passe fiables et sécurisés. Trois stratégies de mot de passe — l'âge maximal, la longueur et la complexité du mot de passe - figurent parmi les premières stratégies rencontrées par les administrateurs et les utilisateurs dans un domaine Active Directory.

Malgré la possibilité d'appliquer des exigences de mot de passe plus restrictives, les bonnes pratiques en matière de stratégie de mot de passe AD ne suffiront pas à protéger une organisation contre les informations d'identification compromises.

L’utilisation abusive d’identifiants est la clé pour éviter la détection

Le rapport Data Breach Investigations Report (en anglais) de Verizon indique que 81% des violations de données impliquent l’utilisation abusive de mots de passe pour accéder à des données sensibles et précieuses. En utilisant le nom d'utilisateur et le mot de passe légitimes d'un employé, vos technologies anti-virus, anti-intrusion, pare-feu et autres ne signaleront rien d'inhabituel. Ces outils estiment que la personne accédant à votre réseau est exactement qui elle prétend être: un utilisateur authentifié avec un accès autorisé!

Comment les informations d'identification de connexion sont compromises sans effort

La plupart des utilisations abusives d’identifiants sont causées (au moins en partie) par vos utilisateurs finaux, qu'il s'agisse d'erreurs négligentes, d'actions malveillantes ou d'être exploités par des attaques externes.

Votre organisation dispose peut-être de la stratégie de mot de passe la plus robuste et offre une formation efficace en matière de sécurité, mais les mots de passe sont toujours facilement compromis par le maillon de sécurité le plus faible de toute organisation, à savoir vos propres employés.

Les causes communes de la compromission des identifiants

Phishing (l'utilisateur clique sur le lien et entre les informations d'identification)

58

Partage de mot de passe avec des collègues

38

Logiciel espion

37

Ingénierie sociale (transfert inconscient à une partie malveillante, autre que le phishing)

35

Duplication (c'est-à-dire la réutilisation des informations d'identification de l'entreprise sur des sites tiers pour plus de facilité)

29

Base de données piratée, y compris les informations d'identification de l'utilisateur

22

Données issues de la recherche IS Decisions auprès de 500 responsables informatiques.

Mais ne blâmez pas vos utilisateurs parce qu’ils sont humains

Les gens sont, de par leur nature même, humains et sont donc enclins à commettre des erreurs, en particulier lorsque l’on sait que l’informatique amène souvent à réflexion après coup. Un comportement négligent prend de nombreuses formes: écrire des mots de passe sur un bout de papier, les partager avec des collègues, laisser les postes de travail connectés en cas d'absence et se connecter simultanément à partir de deux appareils et emplacements distincts.

D'après notre recherche auprès de responsables informatiques, il semble y avoir une explosion de peluches au Royaume-Uni, puisqu'un quart des administrateurs ont vu des employés cacher un mot de passe derrière une peluche sur leur bureau.

Mais ce n’est pas toujours un membre du personnel incompétent ou mal préparé qui ouvre les données d’une entreprise aux pirates informatiques.

Les utilisateurs malveillants sont vos initiés qui ont abandonné leur loyauté de l'organisation dans laquelle ils travaillent et se sont engagés dans une activité inappropriée (telle que le piratage informatique, le vol de données, etc.) qui leur est bénéfique. Les initiés exploitent leurs propres accès accordés ou d'autres comptes compromis pour exploiter des données et des applications à des fins malveillantes.

L'attaque externe est probablement davantage un membre d'une organisation qu'un solitaire. Ces personnes exploitent le piratage, les réseaux sociaux, les programmes malveillants et de nombreux autres outils pour créer un accès à votre réseau. Une fois à l'intérieur, ils essayent d’obtenir un ou plusieurs ensembles d'informations d'identification élevées afin de leur fournir un accès plus important et une capacité de déplacement sur le réseau pour tenter d'identifier des données précieuses. Les attaques externes exploitent les comptes d'utilisateurs pour prendre le contrôle des ordinateurs d'extrémité, se déplacer latéralement au sein du réseau et, finalement, obtenir un accès ciblé à des données précieuses.

Mais au lieu de blâmer vos utilisateurs et d’insister sur des politiques de mot de passe encore plus strictes, les entreprises doivent mieux protéger leurs accès au réseau, même lorsque les informations d’identité sont compromises.

Vérifier tous les accès au réseau

Lorsque l'adversaire a des mots de passe valides et autorisés, toutes les tentatives d'accès doivent être vérifiées. Le secret pour faire cela sans gêner les utilisateurs est la sécurité contextuelle, telle que UserLock.

Il vous aide à aller bien au-delà des stratégies de mot de passe Active Directory avec des règles d’accès de connexion spécifiques, granulaires et configurables et de la surveillance.

En outre, il protège toutes les personnes au sein d'une entreprise - pas seulement les utilisateurs / administrateurs privilégiés, car tout compte ayant accès à des données sensibles, privilégiées, protégées ou ayant une autre valeur est en danger.

Les administrateurs peuvent définir des règles définissant le comportement de connexion «normal», par exemple les connexions depuis des postes de travail particuliers, des périphériques appartenant aux employés, des lieux, l’heure de la journée, des connexions simultanées ou le nombre de points d’accès uniques.

  • Si un attaquant met la main sur un mot de passe Active Directory, qu’il s’agisse d’un mot simple, comme 123456, ou complexe, comprenant une combinaison de majuscules, de chiffres et de caractères spéciaux, il ne sera pas en mesure de l’utiliser, si la tentative de connexion tombe en dehors de ces règles. Le système refuse automatiquement l'accès avant que des dommages ne soient causés - pas seulement lorsque le service informatique intervient.
  • De même, il peut automatiquement déconnecter une session déjà active lorsqu'un utilisateur ouvre une nouvelle session ou après une période d'inactivité définie. Les comportements imprudents des utilisateurs, tels que le partage de mots de passe, les postes de travail partagés laissés déverrouillés ou la connexion simultanée à plusieurs ordinateurs, sont désormais supprimés, de même que les possibilités sont réduites pour les attaquants.
Sessions simultanées autorisées

Choisissez d'alerter sur un accès suspect

Il existe également des signes avant-coureurs indiquant qu'une personne non invitée a violé votre réseau avec des informations d'identification compromises. Ces comportements devraient donner l’alarme que quelque chose ne va pas.

Par exemple:

  • Voyages impossibles: connexions simultanées à partir d'emplacements trop éloignés pour donner un sens ou des connexions séquentielles avec différentes informations d'identification utilisées sur une seule machine.
  • Changement soudain des heures de travail / du bureau: tentatives de connexion en dehors des heures normales de travail.
  • Réinitialisation du mot de passe: répétition des tentatives de connexion infructueuses ou réinitialisation du mot de passe.
  • Accès à distance non plausible: tentatives de connexion à partir d'un type de session, d'un emplacement ou d'un périphérique improbable.

UserLock peut alerter l'administrateur des événements d'accès suspects, offrant ainsi la possibilité de réagir instantanément en verrouillant, déconnectant ou réinitialisant à distance les paramètres appropriés.

Les utilisateurs finaux eux-mêmes peuvent également être informés par des messages et des alertes personnalisés, y compris des alertes sur leur propre accès sécurisé. Les employés informés sont une autre ligne de défense.

Mot de passe compromis

De plus, avec UserLock, l’accès à toutes les données / ressources est désormais toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité dissuade un initié d’agir de manière malveillante et rend tous les utilisateurs plus attentifs à leurs actes.

Protéger les mots de passe Active Directory

Sachant à quel point les informations d'identification sont utilisées de manière abusive dans les violations de données, les entreprises doivent offrir davantage de sécurité qu'une stratégie de mot de passe Active Directory forte. Aucune technologie ne peut éliminer complètement le risque d'une attaque, mais UserLock vous aidera à réduire le risque de compromission des informations d'identification AD.

Télécharger ce livre blanc en PDF

Version PDF - 220 KB

UserLock

Vous hésitez encore ?

Téléchargez un essai gratuit