L’Active Directory est le centre névralgique de tout système d’information. Il est donc crucial de mettre en œuvre un plan de contrôle spécifique pour vérifier en permanence sa solidité et sa gouvernance. Advens propose différentes méthodes d’audit, en fonction de la maturité, du contexte et des enjeux de chaque client : en quoi consistent-elles ? Comment les mener à bien ? Réponse ci-dessous !
Stratégies d’audit de sécurité : laquelle choisir ?
Le test d’intrusion externe
Dans ce cas de figure, le pentesteur procède depuis l’extérieur de l’entreprise : il part de zéro, et lance des attaques ciblées pour tester et vérifier l’exposition publique du client sur Internet. Il rédige par la suite un rapport, dans lequel il liste l’ensemble des vulnérabilités techniques constatées.
Le test d’intrusion interne
L’auditeur est directement connecté au réseau de l’entreprise, mais il ne possède aucun accès. Il doit donc trouver une faille : pour cela, il adopte la posture d’un attaquant ayant réussi à s’infiltrer dans le réseau interne et tente de remonter jusqu’à l’Active Directory. Il peut avoir pour objectif, par exemple, de mettre en œuvre une escalade de privilèges et devenir administrateur.
L’audit en boîte grise
On parle d’audit en boîte grise lorsque l’auditeur possède déjà des informations sur sa cible et qu’on lui fournit un compte utilisateur standard depuis un poste de travail. Il peut ainsi réaliser des tests plus approfondis, grâce à une meilleure compréhension du contexte.
L’audit en boîte blanche
Ici, le pentesteur opère depuis l’intérieur de l’entreprise. Il procède alors à divers tests techniques et organisationnels via un compte privilégié, afin de vérifier la configuration de l’Active Directory et de savoir si le SI a des faiblesses et des vulnérabilités qu’un attaquant pourrait exploiter.
Quelle est la différence entre le test d’intrusion interne et l’audit en boîte blanche ?
- Avec le test d’intrusion interne, on tente de compromettre l’AD depuis un accès réseau en exploitant des vulnérabilités identifiées. Le but est de repérer certains chemins de compromission et de prouver leur exploitabilité, sans objectif d’exhaustivité.
- À l’inverse, l’audit en boîte blanche a pour but de faire un inventaire exhaustif de la configuration actuelle, et d’identifier tous les paramètres qui pourraient entraîner des vulnérabilités – sans vérifier leur exploitabilité.
L’audit en boîte blanche de son Active Directory : bien choisir ses outils et son approche
L’ADS (Active Directory Security) et l’ORADAD (Automated tool for dumping Active Directory data) sont des outils développés par l’ANSSI à destination des OIV et OSE. L’ORADAD est cependant accessible en open source sur GitHub.
D’autres outils sont également disponibles. Ces solutions, une fois lancées sur le contrôleur de domaine, produisent un rapport indiquant l’ensemble des failles détectables :
- PingCastle est un outil open source français qui peut être utilisé avec les droits d’un utilisateur standard, et qui a l’avantage de produire un guide de remédiation en plus des résultats de l’audit ;
- Purple Knight, quant à lui, offre également la possibilité d’effectuer un audit de l’Azure Active Directory.
Attention cependant : les rapports dédiés spécifiquement à l’Active Directory ne prennent pas en compte le niveau de sécurité du SI dans son ensemble ! Il faut donc bien réfléchir avant de mettre en œuvre les recommandations, et penser aux effets de bords qui pourraient se produire.
« Pour évaluer le niveau de sécurité de son Active Directory, nous recommandons de réaliser plusieurs audits pour avoir une vision d’ensemble des vulnérabilités effectives. L’enjeu est de ne pas être biaisé par un seul et même rapport qui aurait mis en lumière une faiblesse dans un test d’intrusion, mais qui n’aurait pas pris en compte le contexte du SI dans sa globalité. De plus, ces audits doivent être fait de manière récurrente pour permettre une revue des process et procédures internes permanente. »
Pour découvrir en détails la procédure à suivre pour effectuer un audit de sécurité en boîte blanche, découvrez notre fiche pratique !
Faut-il externaliser l’audit de sécurité de son Active Directory ?
Un audit technique de ce type est une procédure complexe, qui requiert de l’expertise et de l’expérience terrain pour pouvoir prendre en compte le contexte du SI dans son ensemble.
Faire appel à un prestataire peut vous permettre de :
- gagner en efficacité, en obtenant rapidement des solutions de sécurisation, hardening et supervision ;
- bénéficier de connaissances poussées sur l’univers de l’Active Directory, mais aussi d’un discours vulgarisé et accessible et de recommandations sur les éléments à sécuriser ;
- gagner en légitimité.