Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID

La sécurité des ressources professionnelles dépend de l’intégrité des comptes privilégiés qui administrent vos systèmes informatiques. Des pirates informatiques s’efforcent de dérober des informations d’identification permettant de cibler des comptes administrateur ou d’autres comptes disposant d’un accès privilégié dans le but d’accéder à des données sensibles.

Pour les services cloud, la prévention et la réponse sont de la responsabilité conjointe du fournisseur de services cloud et du client. Pour plus d’informations sur les dernières menaces sur les points de terminaison et le cloud, consultez le rapport de renseignements de sécurité Microsoft. Cet article peut vous aider à créer une feuille de route afin de combler les lacunes de vos plans actuels, des conseils sont fournis ici.

Notes

Microsoft s’engage aux plus hauts niveaux de confiance, de transparence, de conformité aux normes et aux réglementations. Découvrez comment l’équipe de réponse aux incidents mondiale de Microsoft permet d’atténuer les effets des attaques contre les services cloud, et comment la sécurité est intégrée dans les produits professionnels et services cloud Microsoft dans le Centre de gestion de la confidentialité Microsoft - Sécurité et les objectifs de conformité Microsoft dans le Centre de gestion de la confidentialité Microsoft - Conformité.

Traditionnellement, la sécurité d’une organisation était axée sur les points d’entrée et de sortie d’un réseau faisant office de périmètre de sécurité. Toutefois, en raison de l’utilisation d’applications SaaS et d’appareils personnels sur Internet, cette approche a perdu en efficacité. Dans Microsoft Entra ID, nous remplaçons le périmètre de sécurité réseau par une authentification dans la couche identité de votre organisation, sous le contrôle d’utilisateurs assumant le rôle d’administrateurs privilégiés. L’accès de ceux-ci doit être protégé, que l’environnement soit local, cloud ou hybride.

La sécurisation de l’accès privilégié nécessite d’apporter des modifications aux éléments suivants :

  • Processus, pratiques d’administration et gestion des connaissances
  • Composants techniques telles que les défenses d’hôte, les protections de compte et la gestion des identités

Sécurisez votre accès privilégié d’une manière gérée et déclarée dans les services Microsoft importants à vos yeux. Si vous disposez de comptes administrateur locaux, suivez l’aide relative à l’accès privilégié local et hybride géré dans Active Directory prodiguée dans Sécurisation de l’accès privilégié.

Remarque

Les conseils de cet article font principalement référence aux fonctionnalités de Microsoft Entra ID incluses dans Microsoft Entra ID P1 et P2. Microsoft Entra ID P2 est inclus dans la suite EMS E5 et la suite Microsoft 365 E5. Ces conseils supposent que votre organisation dispose déjà de licences Microsoft Entra ID P2 pour vos utilisateurs. Si vous ne disposez pas de ces licences, certains conseils peuvent ne pas s’appliquer à votre organisation. Dans cet article, l’expression « administrateur général » est synonyme d’« administrateur d’entreprise » ou d’« administrateur client ».

Créer une feuille de route

Microsoft vous recommande de créer et de suivre une feuille de route pour sécuriser l’accès privilégié contre les cybercriminels. Vous pouvez toujours ajuster votre feuille de route pour prendre en compte vos fonctionnalités existantes et des exigences spécifiques au sein de votre organisation. Chaque étape de la feuille de route doit indiquer le coût et la difficulté pour les adversaires d’attaquer un accès privilégié pour vos ressources locales, cloud et hybrides. Microsoft recommande de suivre les quatre étapes de la feuille de route ci-dessous. Commencez par planifier les implémentations les plus efficaces et les plus rapides. Cet article destiné à vous guider est basé sur les enseignements que Microsoft a tirés de son expérience en matière de cyber-attaques et de traitement de celles-ci. Les chronologies mentionnées dans cette feuille de route sont approximatives.

Stages of the roadmap with time lines

  • Étape 1 (24-48 heures) : Éléments critiques que nous vous recommandons de traiter immédiatement

  • Étape 2 (2-4 semaines) : Atténuer les techniques d’attaque les plus fréquemment utilisées

  • Étape 3 (1 à 3 mois) : Gagner en visibilité et disposer d’un contrôle total sur l’activité administrative

  • Étape 4 (six mois et plus) : Continuer à créer des défenses pour renforcer votre plateforme de sécurité

Ce cadre de feuille de route est conçu pour optimiser l’utilisation de technologies Microsoft que vous avez peut-être déjà déployées. Vous pouvez y associer des outils de sécurité d’autres fournisseurs que vous avez déjà déployés ou envisagez de déployer.

Étape 1 : Tâches critiques à accomplir sans délai

Stage 1 Critical items to do first

L’étape 1 de la feuille de route cible les tâches critiques rapides et faciles à implémenter. Nous vous recommandons de les traiter immédiatement au cours des premières 24 à 48 heures pour garantir un niveau de base d’accès privilégié sécurisé. Cette étape de la feuille de route d’accès privilégié sécurisé comprend les actions suivantes :

Préparation générale

Utiliser Microsoft Entra Privileged Identity Management

Nous vous recommandons de commencer à utiliser Microsoft Entra Privileged Identity Management (PIM) dans votre environnement de production Microsoft Entra. Quand vous commencerez à utiliser PIM, vous recevrez des e-mails de notification concernant des changements de rôles d’accès privilégié. Ces notifications contiennent des avertissements précoces lorsque des utilisateurs sont ajoutés à des rôles disposant de privilèges élevés.

Microsoft Entra Privileged Identity Management est inclus dans Microsoft Entra ID P2 ou EMS E5. Pour protéger l’accès aux applications et ressources locales et dans le cloud, inscrivez-vous à l’essai gratuit de 90 jours d’Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management et Microsoft Entra ID Protection suivent l’activité de sécurité à l’aide des rapports, des audits et des alertes Microsoft Entra ID.

Après avoir commencé à utiliser Microsoft Entra Privileged Identity Management :

  1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur général.

  2. Pour changer de répertoire dans lequel vous souhaitez utiliser Privileged Identity Management, sélectionnez votre nom d’utilisateur dans le coin supérieur droit du centre d’administration Microsoft Entra.

  3. Accédez à Gouvernance des identités>Privileged Identity Management.

Assurez-vous que la première personne à utiliser PIM au sein votre organisation est affectée aux rôles Administrateur de la sécurité et Administrateur de rôle privilégié. Seuls les administrateurs de rôle privilégié peuvent gérer les attributions de rôle d’annuaire Microsoft Entra des utilisateurs. L’Assistant Sécurité de PIM vous guide tout au long du processus de découverte initiale et d’attribution. Vous pouvez quitter l’Assistant sans apporter de modifications supplémentaires pour l’instant.

Identifier et classer les comptes dans des rôles à privilèges élevés

Après avoir commencé à utiliser Microsoft Entra Privileged Identity Management, affichez les utilisateurs qui ont les rôles Microsoft Entra suivants :

  • Administrateur général
  • Administrateur de rôle privilégié
  • Administrateur Exchange
  • Administrateur SharePoint

Si vous ne disposez pas de Microsoft Entra Privileged Identity Management dans votre organisation, vous pouvez utiliser Microsoft Graph PowerShell. Commencez avec le rôle d’administrateur général, car celui-ci dispose des mêmes autorisations sur tous les services cloud auxquels votre organisation s’est abonnée. Ces autorisations sont acquises, quelle que soit leur provenance : Dans le centre d’administration Microsoft 365, le centre d’administration Microsoft Entra ou en utilisant Microsoft Graph PowerShell.

Supprimez les comptes qui ne sont plus nécessaires dans ces rôles. Ensuite, classez les comptes restants qui sont affectés aux rôles Administrateur :

  • Affectés à des utilisateurs administratifs, mais également utilisés à des fins non administratives (par exemple, courrier personnel)
  • Affectés à des utilisateurs administratifs et dédiés à des fins exclusivement administratives
  • Partagés entre plusieurs utilisateurs
  • Pour les scénarios d’accès d’urgence de secours
  • Pour les scripts automatisés
  • Pour les utilisateurs externes

Définir au moins deux comptes d’accès d’urgence

Il peut arriver qu’un utilisateur soit accidentellement privé de son rôle. Par exemple, si un fournisseur d’identité local fédéré n’est pas disponible, les utilisateurs ne peuvent pas se connecter ou activer un compte d’administrateur existant. Vous pouvez vous préparer à une privation d’accès accidentelle en stockant au moins deux comptes d’accès d’urgence.

Des comptes d’accès d’urgence permettent de restreindre les accès privilégiés au sein d’une organisation Microsoft Entra. Ces comptes hautement privilégiés ne sont pas attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités aux situations où il est impossible d’utiliser des comptes administratifs normaux. Veillez à contrôler les comptes d’accès d’urgence et à limiter leur utilisation strictement au temps nécessaire.

Évaluez les comptes qui sont affectés ou éligibles pour le rôle d’administrateur général. Si vous ne voyez aucun compte cloud uniquement utilisant le domaine *.onmicrosoft.com (conçu pour l’accès d’urgence), créez-en un. Pour plus d’informations, consultez Gestion des comptes d’administration de l’accès d’urgence dans Microsoft Entra ID.

Activez l’authentification multifacteur et inscrivez tous les autres comptes administrateur non fédérés mono-utilisateurs à privilèges élevés

Exigez l’authentification multifacteur Microsoft Entra lors de la connexion pour tous les utilisateurs individuels auxquels sont affectés de manière permanente un ou plusieurs rôles Administrateur Microsoft Entra : Administrateur général, Administrateur de rôle privilégié, Administrateur Exchange et Administrateur SharePoint. Utilisez les conseils présentés dans Appliquer l’authentification multifacteur à vos administrateurs et assurez-vous que tous ces utilisateurs sont inscrits sur https://aka.ms/mfasetup. Vous trouverez plus d’informations aux étapes 2 et 3 du guide Protéger l’accès aux utilisateurs et appareils dans Microsoft 365.

Étape 2 : Atténuer les attaques fréquemment utilisées

Stage 2 Mitigate frequently used attacks

L’étape 2 de la feuille de route vise à atténuer les techniques d’attaque les plus fréquemment utilisées de vol d’informations d’identification et d’abus et peut être implémentée en 2 à 4 semaines environ. Cette étape de la feuille de route d’accès privilégié sécurisé comprend les actions suivantes.

Préparation générale

Inventorier les services, propriétaires et administrateurs

Avec la prolifération des appareils personnels (BYOD) et du télétravail, ainsi que la croissance de la connectivité sans fil, il est essentiel de surveiller qui se connecte à votre réseau. Un audit de sécurité peut révéler la présence sur votre réseau d’appareils, d’applications et de programmes que votre organisation ne prend pas en charge et qui constituent un risque élevé. Pour plus d’informations, consultez Présentation de la gestion et surveillance de la sécurité Azure. Veillez à inclure toutes les tâches suivantes dans votre processus d’inventaire.

  • Identifiez les utilisateurs disposant de rôles d’administrateur et les services où ils peuvent gérer.

  • Utilisez Microsoft Entra PIM pour déterminer quels utilisateurs de votre organisation ont un accès administrateur à Microsoft Entra ID.

  • En plus des rôles définis dans Microsoft Entra ID, Microsoft 365 inclut un ensemble de rôles Administrateur que vous pouvez attribuer aux utilisateurs de votre organisation. Chaque rôle Administrateur correspond à des fonctions métier courantes et fournit aux personnes de votre organisation des autorisations pour effectuer des tâches spécifiques dans le centre d’administration Microsoft 365. Utilisez le centre d’administration Microsoft 365 pour déterminer quels sont les utilisateurs de votre organisation qui disposent d’un accès administrateur à Microsoft 365, y compris via des rôles non gérés dans Microsoft Entra ID. Pour plus d’informations, consultez À propos des rôles Administrateur Microsoft 365 et Pratiques de sécurité pour Office 365.

  • Inventoriez le services dont votre organisation dépend, tels qu’Azure, Intune ou Dynamics 365.

  • Assurez-vous que vos comptes utilisés à des fins d’administration présentent les caractéristiques suivantes :

    • disposent d’adresses e-mail professionnelles ;
    • se sont inscrits pour l’authentification multifacteur Microsoft Entra ou utilisent MFA localement.
  • Demandez aux utilisateurs leur justification d’entreprise d’accès administrateur.

  • Supprimez l’accès administrateur pour les personnes et les services qui n’en ont pas besoin.

Identifier les comptes Microsoft dans des rôles d’administrateur à basculer vers des comptes professionnels ou scolaires

Si vos administrateurs généraux initiaux ont réutilisé leurs informations d’identification de compte Microsoft existantes quand ils ont commencé à utiliser Microsoft Entra ID, remplacez les comptes Microsoft par des comptes cloud ou synchronisés individuels.

Garantir des comptes d’utilisateurs distincts et le transfert de messagerie pour les comptes Administrateur général

Les comptes de courrier personnels étant régulièrement hameçonnés par des pirates informatiques, ils constituent un risque qui rend les adresses de courrier personnelles inacceptables pour des comptes Administrateur général. Pour dissocier les risques liés à Internet des privilèges administratifs, créez un compte dédié pour chaque utilisateur disposant de tels privilèges.

  • Veillez à créer des comptes distincts que les utilisateurs peuvent utiliser pour accomplir les tâches d’un administrateur général.
  • Assurez-vous que vos administrateurs généraux n’ouvrent pas d’e-mails ou n’exécutent pas de programmes accidentellement avec leurs comptes administrateur.
  • Veillez à ce que la messagerie de ces comptes soit transférée vers une boîte aux lettres professionnelle.
  • Les comptes Administrateur général (et autres groupes privilégiés) doivent être des comptes cloud uniquement sans lien avec les instances Active Directory locales.

Vérifier que les mots de passe des comptes administrateur ont été récemment modifiés

Assurez-vous que tous les utilisateurs se sont connectés à leur compte administrateur et ont modifié leur mot de passe au moins une fois au cours des 90 derniers jours. Vérifiez également que les mots de passe de tous les comptes partagés ont été modifiés récemment.

Activer la synchronisation de hachage de mot de passe

Microsoft Entra Connect synchronise le hachage du mot de passe d’un utilisateur entre un Active Directory local et une organisation Microsoft Entra basée dans le cloud. Vous pouvez utiliser une synchronisation de hachage du mot de passe en tant que sauvegarde si vous utilisez les services de fédération Active Directory (AD FS). Cette sauvegarde peut être utile si vos serveurs Active Directory ou AD FS locaux sont temporairement indisponibles.

La synchronisation de hachage du mot de passe permet aux utilisateurs de se connecter à un service en utilisant le mot de passe qu’ils utilisent pour se connecter à leur instance Active Directory locale. La synchronisation de hachage du mot de passe permet à Azure AD Identity Protection de détecter des informations d’identification compromises en comparant des hachages de mot de passe avec des mots de passe connus pour être compromis. Pour plus d’informations, consultez Implémenter la synchronisation de hachage du mot de passe avec la synchronisation Microsoft Entra Connect.

Imposer une authentification multifacteur aux utilisateurs titulaires de rôles privilégiés et aux utilisateurs exposés

Microsoft Entra ID vous recommande d’exiger l’authentification multifacteur pour tous vos utilisateurs. Veillez à prendre en considération les utilisateurs titulaires d’un compte dont la compromission aurait un impact significatif (par exemple, des responsables de finances). L’authentification multifacteur réduit le risque d’attaque auquel expose un mot de passe compromis.

Activer :

Si vous utilisez Windows Hello Entreprise, l’exigence d’authentification multifacteur peut être satisfaite grâce à l’interface de connexion de Windows Hello. Pour plus d’informations, consultez Windows Hello.

Configurer la protection des identités

Microsoft Entra ID Protection est un outil de surveillance et de signalement basé sur un algorithme, qui détecte des vulnérabilités potentielles des identités de votre organisation. Vous pouvez configurer des réponses automatiques aux activités suspectes détectées et prendre les mesures appropriées pour les résoudre. Pour plus d’informations, consultezMicrosoft Entra ID Protection.

Obtenir votre Niveau de sécurité Microsoft 365 (si vous utilisez Microsoft 365)

Niveau de sécurité examine vos paramètres et activités pour les services Microsoft 365 que vous utilisez, et les compare à une base de référence établie par Microsoft. Vous obtenez un score reflétant votre degré d’alignement sur les meilleures pratiques de sécurité. Toute personne disposant des autorisations d’administrateur pour un abonnement Microsoft 365 Business Standard ou Entreprise peut accéder au Niveau de sécurité en visitant la page https://security.microsoft.com/securescore.

Passer en revue l’aide Microsoft 365 en matière de sécurité et de conformité (si vous utilisez Microsoft 365)

Le plan de sécurité et de conformité offre une vue d’ensemble de l’approche qu’un client Office 365 doit adopter pour configurer Office 365 et activer d’autres fonctionnalités d’EMS. Passez ensuite en revue les étapes 3 à 6 de la procédure Protéger l’accès aux données et services dans Microsoft 365 et le guide de procédure Superviser la sécurité et la conformité dans Microsoft 365.

Configurer la supervision de l’activité Microsoft 365 (si vous utilisez Microsoft 365)

Supervisez les utilisateurs de Microsoft 365 dans votre organisation afin d’identifier les membres du personnel qui disposent d’un compte administrateur, mais qui n’ont pas besoin d’accéder à Microsoft 365, car ils ne se connectent pas à ces portails. Pour plus d’informations, consultez Rapports d’activité dans le Centre d’administration Microsoft 365.

Définir des propriétaires de plan de réponse d’incident/d’urgence

La mise en place d’une capacité de réponse aux incidents efficace nécessite une planification et des ressources considérables. Vous devez continuellement surveiller les attaques informatiques et établir des priorités pour la gestion des incidents. Collectez, analysez et signalez les données d’incident pour nouer des relations et entrer en communication avec d’autres groupes et propriétaires de plans internes. Pour plus d’informations, consultez Centre de réponse aux problèmes de sécurité Microsoft.

Sécuriser les comptes d’administration privilégiés locaux (si ce n’est pas déjà fait)

Si votre organisation Microsoft Entra est synchronisée avec un Active Directory local, suivez les conseils de la Feuille de route de l’accès privilégié sécurisé : Cette étape comprend les opérations suivants :

  • création de comptes administrateur distincts pour les utilisateurs qui doivent effectuer des tâches administratives locales ;
  • déploiement de stations de travail disposant d’un accès privilégié pour les administrateurs Active Directory ;
  • création de mots de passe d’administrateur local uniques pour les stations de travail et les serveurs.

Étapes supplémentaires pour les organisations gérant l’accès à Azure

Inventorier les abonnements

Utilisez le portail Enterprise et le portail Azure pour identifier les abonnements de votre organisation qui hébergent des applications de production.

Supprimer des comptes Microsoft de rôles Administrateur

Vous ne devez pas utiliser de comptes Microsoft d’autres programmes, tels que Xbox Live et Outlook, en tant que comptes administrateur pour les abonnements de votre organisation. Supprimez le statut administratif de tous les comptes Microsoft et remplacez-les par des comptes professionnels ou scolaires Microsoft Entra ID (par exemple, chris@contoso.com). À des fins administratives, dépendez des comptes authentifiés auprès de Microsoft Entra ID et non auprès d’autres services.

Surveiller l’activité Azure

Le Journal d’activité Azure fournit un historique des événements au niveau de l’abonnement dans Azure. Il fournit des informations indiquant qui a créé, mis à jour et supprimé quelles ressources et quand ces événements se sont produits. Pour plus d’informations, consultez Audit et réception de notifications relatives à des actions importantes dans votre abonnement Azure.

Étapes supplémentaires pour les organisations gérant l’accès à d’autres applications cloud via Microsoft Entra ID

Configurer des stratégies d’accès conditionnel

Préparez des stratégies d’accès conditionnel pour les applications locales et hébergées dans le cloud. Si vous disposez d’appareils rattachés à l’espace de travail des utilisateurs, obtenez plus d’informations dans Configuration d’un accès conditionnel en local à l’aide de l’inscription d’appareil Microsoft Entra.

Étape 3 : Prendre le contrôle de l’activité administrative

Stage 3: take control of administrator activity

L’étape 3 s’ajoute aux atténuations de l’étape 2 et doit être implémentée dans un délai approximatif de 1 à 3 mois. Cette étape de la feuille de route d’accès privilégié sécurisé comprend les composants suivants.

Préparation générale

Effectuer une vérification de l’accès des utilisateurs de rôles d’administrateur

Le fait que de plus en plus d’utilisateurs en entreprise bénéficient d’un accès privilégié via des services cloud peut conduire à une plateforme non managée. Aujourd’hui, des utilisateurs peuvent devenir des administrateurs généraux pour Microsoft 365 ou des administrateurs d’abonnements Azure ou disposer d’un accès administrateur à des machines virtuelles ou via des applications SaaS.

Votre organisation doit amener tous les employés à gérer les transactions commerciales ordinaires en tant qu’utilisateurs non privilégiés et ne leur accorder de droits d’administrateur qu’en cas de besoin. Procédez à des révisions d’accès pour identifier et confirmer les utilisateurs pour lesquels il est possible d’activer les privilèges d’administrateur.

Nous vous recommandons :

  1. de déterminer quels utilisateurs sont des administrateurs Microsoft Entra et d’accorder un accès administrateur à la demande juste-à-temps, ainsi que des contrôles de sécurité basée sur les rôles ;
  2. d’attribuer un autre rôle aux utilisateurs qui ne disposent d’aucune justification précise pour l’accès administrateur (si aucun rôle n’est approprié, supprimez-les).

Poursuivre le lancement d’une authentification renforcée pour tous les utilisateurs

Demandez aux utilisateurs fortement exposés de recourir à une authentification forte et moderne, telle que l’authentification multifacteur Microsoft Entra ou Windows Hello. Voici quelques exemples d’utilisateurs fortement exposés :

  • Cadres supérieurs
  • Responsables de haut niveau
  • Personnel informatique et de sécurité critique

Utiliser des stations de travail dédiées pour l’administration de Microsoft Entra ID

Des attaquants peuvent tenter de cibler des comptes privilégiés et perturber l’intégrité et l’authenticité des données. Ils utilisent souvent du code malveillant qui modifie la logique du programme ou espionne l’administrateur quand celui-ci entre des informations d’identification. Les stations de travail d’accès privilégié (PAW) fournissent un système d’exploitation dédié aux tâches sensibles et protégé contre les attaques Internet et les vecteurs de menaces. La séparation de ces tâches et comptes sensibles des stations de travail et appareils utilisés au quotidien offre une protection renforcée contre les risques suivants :

  • attaques par hameçonnage ;
  • vulnérabilités du système d’exploitation et des applications ;
  • attaques par emprunt d’identité ;
  • attaques visant à dérober des informations d’identification, par exemple en enregistrant les frappes, et autres attaques de type « pass-The-Hash » et « pass-the-ticket ».

En déployant des stations de travail dédiées à un accès privilégié, vous pouvez réduire le risque que des administrateurs saisissent leurs informations d’identification dans un environnement de bureau dont la sécurité n’a pas été renforcée. Pour plus d’informations, consultez Stations de travail d’accès privilégié.

Passer en revue les recommandations relatives à la gestion des incidents du National Institute of Standards and Technology

Le National Institute of Standards and Technology (NIST) fournit des instructions pour la gestion des incidents, et plus particulièrement pour l’analyse des données relatives aux incidents et détermination de la réponse adéquate à chaque incident. Pour plus d’informations, consultez le document (NIST) Computer Security Incident Handling Guide (SP 800-61, Revision 2) (Guide de la gestion des incidents de sécurité informatique du NIST (SP 800-61, Révision 2)).

Implémenter Privileged Identity Management (PIM) pour JIT sur des rôles administratifs supplémentaires

Pour Microsoft Entra ID, utilisez la fonctionnalité Microsoft Entra Privileged Identity Management. L’activation à durée limitée de rôles privilégiés vous permet de :

  • Activer des privilèges d’administrateur pour effectuer une tâche spécifique

  • Appliquer MFA pendant le processus d’activation

  • Utiliser des alertes pour informer les administrateurs de modifications hors-bande

  • Permettre à des utilisateurs de conserver leur accès privilégié pendant une période préconfigurée

  • Permettre aux administrateurs de sécurité de :

    • Détecter toutes les identités privilégiées
    • Consulter les rapports d’audit
    • Créer des révisions d’accès afin d’identifier tous les utilisateurs pour lesquels il est possible d’activer des privilèges d’administrateur

Si vous utilisez déjà Microsoft Entra Privileged Identity Management, ajustez la plage de temps des privilèges à durée limitée si nécessaire (par exemple, les fenêtres de maintenance).

Déterminer l’exposition à des protocoles de connexion basés sur un mot de passe (si vous utilisez Exchange Online)

Nous vous recommandons d’identifier tous les utilisateurs détenteurs d’informations d’identification dont la compromission pourrait nuire à l’organisation. Pour ces utilisateurs, instaurez des exigences d’authentification fortes et utilisez un accès conditionnel Microsoft Entra pour les empêcher de se connecter à leur e-mail à l’aide d’un nom d’utilisateur et d’un mot de passe. Vous pouvez bloquer l’authentification héritée en instaurant un accès conditionnel, et bloquer l’authentification de base via Exchange Online.

Effectuer une évaluation de révision des rôles pour les rôles Microsoft 365 (si vous utilisez Microsoft 365)

Évaluez si tous les utilisateurs administrateurs ont les bons rôles (supprimez et réattribuez en fonction de cette évaluation).

Passer en revue l’approche de gestion des incidents de sécurité utilisée dans Microsoft 365 et comparer avec votre organisation

Vous pouvez télécharger ce rapport à partir de Gestion des incidents de sécurité dans Microsoft 365.

Continuer à sécuriser les comptes d’administration privilégiés locaux

Si votre Microsoft Entra ID est connecté à Active Directory local, suivez les conseils de la Feuille de route de l’accès privilégié sécurisé : étape 2. Dans le cadre de cette étape, vous allez effectuer les opérations suivantes :

  • Déployer des stations de travail à accès privilégié pour tous les administrateurs
  • Exiger une authentification multifacteur
  • Utiliser juste assez d’administration pour la maintenance du contrôleur de domaine, ce qui réduit la surface d’attaque des domaines
  • Déployer Advanced Threat Analytics pour la détection des attaques

Étapes supplémentaires pour les organisations gérant l’accès à Azure

Définir une surveillance intégrée

Le tutoriel Microsoft Defender pour le cloud :

  • Assure une gestion intégrée de la stratégie et de la surveillance de la sécurité dans vos abonnements Azure.
  • Aide à détecter les menaces qui pourraient passer inaperçues.
  • Fonctionne avec un vaste éventail de solutions de sécurité.

Inventorier vos comptes privilégiés dans des machines virtuelles hébergées

Le plus souvent, vous n’avez pas besoin d’accorder à des utilisateurs des autorisations d’accès illimitées à l’ensemble de vos abonnements ou ressources Azure. Utilisez des rôles Administrateur Microsoft Entra pour accorder à vos utilisateurs uniquement l’accès dont ils ont besoin pour accomplir leur travail. Par exemple, vous pouvez utiliser des rôles Administrateur Microsoft Entra pour permettre à un administrateur de gérer uniquement les machines virtuelles d’un abonnement et à un autre de gérer uniquement les bases de données SQL au sein du même abonnement. Pour plus d’informations, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure.

Implémenter PIM pour les rôles Administrateur Microsoft Entra

Utilisez Privileged Identity Management avec des rôles d’administrateur Microsoft Entra pour gérer, contrôler et surveiller l’accès aux ressources Azure. PIM protège en réduisant le temps d’exposition des privilèges et en augmentant votre visibilité sur leur utilisation grâce à des rapports et alertes. Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra Privileged Identity Management.

Utiliser des intégrations des journaux d’activité Azure pour envoyer les journaux d’activité Azure pertinents à vos systèmes SIEM

L’intégration des journaux d’activité Azure permet d’intégrer des journaux d’activité bruts de vos ressources Azure dans les systèmes SIEM (Security Information and Event Management) existants de votre organisation. Azure log Integration collecte des événements Windows à partir de journaux de l’observateur d’événements Windows et de événements Azure à partir des ressources suivantes :

  • Journaux d’activité Azure
  • Alertes Microsoft Defender pour le cloud
  • Journaux de ressources Azure

Étapes supplémentaires pour les organisations gérant l’accès à d’autres applications cloud via Microsoft Entra ID

Implémenter l’approvisionnement de l’utilisateur pour des applications connectées

Microsoft Entra ID vous permet d’automatiser la création et la gestion des identités utilisateurs dans des applications cloud telles que Dropbox, Salesforce et ServiceNow. Pour plus d’informations, consultez Automatisation de l’approvisionnement et de l’annulation de l’approvisionnement des utilisateurs pour les applications SaaS avec Microsoft Entra ID.

Intégrer la protection des informations

Microsoft Defender for Cloud Apps vous permet d’analyser des fichiers et de définir des stratégies basées sur des étiquettes de classification d’Azure Information Protection, offrant ainsi une visibilité et un contrôle accrus de vos données dans le cloud. Analysez et classez des fichiers dans le cloud et apposez des étiquettes de protection des informations Azure. Pour plus d’informations, consultez Azure Information Protection integration (Intégration d’Azure Information Protection).

Configurer un accès conditionnel

Configurez un accès conditionnel en fonction du groupe, de l’emplacement et du niveau de confidentialité des applications SaaS et des applications connectées à Microsoft Entra.

Surveiller l’activité dans les applications cloud connectées

Nous vous recommandons d’utiliser Microsoft Defender for Cloud Apps pour garantir que l’accès utilisateur est protégé également dans les applications connectées. Cette fonctionnalité sécurise l’accès de l’entreprise aux applications cloud et sécurise vos comptes administrateur, ce qui vous permet d’effectuer les opérations suivantes :

  • Étendre la visibilité et le contrôle aux applications cloud
  • Créer des stratégies d’accès, des activités et le partage de données
  • Identifier automatiquement les activités à risque, les comportements anormaux et les menaces
  • Empêcher la fuite de données
  • Réduire les risques et prévention des menaces et application de stratégies automatisées

L’agent Defender for Cloud Apps SIEM s’intègre à Defender for Cloud Apps avec votre serveur SIEM pour permettre la supervision centralisée des alertes et des activités de Microsoft 365. Il s’exécute sur votre serveur et transmet les alertes et les activités Defender for Cloud Apps au serveur SIEM. Pour plus d’informations, consultez SIEM integration (Intégration de SIEM).

Étape 4 : Continuer à créer des défenses

Stage 4: adopt an active security posture

L’Étape 4 de la feuille de route doit être implémentée à partir du sixième mois. Complétez votre feuille de route pour renforcer vos protections des accès privilégiés contre des attaques potentielles connues aujourd’hui. Pour les menaces de sécurité de demain, nous vous recommandons de considérer la sécurité comme un processus continu visant à augmenter les coûts et à réduire le taux de réussite des adversaires ciblant votre environnement.

La sécurisation des accès privilégiés est importante pour offrir des assurances en matière de sécurité pour vos ressources d’entreprise. Elle doit cependant d’inscrire dans un programme de sécurité complet qui offre des assurances de sécurité continues. Ce programme doit inclure des éléments tels que les suivants :

  • Stratégie
  • Opérations
  • Sécurité des informations
  • Serveurs
  • Applications
  • PC
  • Appareils
  • Infrastructure cloud

Pour gérer les comptes d’accès privilégiés, nous vous recommandons d’adopter les pratiques suivantes :

  • Assurez-vous que les administrateurs accomplissent leurs tâches quotidiennes en tant qu’utilisateurs non privilégiés.
  • N’accordez que l’accès privilégié nécessaire, et retirez-le ensuite (juste-à-temps).
  • Conservez les journaux d’activité d’audit relatifs aux comptes privilégiés.

Pour plus d’informations sur la création d’une feuille de route de sécurité complète, consultez les ressources d’architecture informatique cloud de Microsoft. Pour demander aux services Microsoft de vous aider à implémenter une partie quelconque de votre feuille de route, contactez votre représentant Microsoft ou consultez Créer des cyber-défenses critiques pour protéger votre entreprise.

Cette dernière étape de la feuille de route d’accès privilégié sécurisé comprend les composants suivants.

Préparation générale

Passer en revue les rôles Administrateur dans Microsoft Entra ID

Déterminez si les rôles Administrateur Microsoft Entra intégrés actuels sont toujours d’actualité et assurez-vous que les utilisateurs ne sont assignés qu’à ceux dont ils ont besoin. Microsoft Entra vous permet d’affecter des administrateurs distincts à l’exercice de fonctions différentes. Pour plus d’informations, consultez Rôles intégrés Microsoft Entra.

Passer en revue les utilisateurs administrateurs d’appareils joints Microsoft Entra

Pour plus d’informations, consultez Comment configurer Microsoft Entra appareils joints hybrides.

Passer en revue les membres disposant de rôles d’administrateur Microsoft 365 intégrés

Ignorez cette étape si vous n’utilisez pas Microsoft 365.

Valider le plan de réponse aux incidents

Pour améliorer votre plan, Microsoft vous recommande de vérifier régulièrement que votre plan fonctionne comme prévu :

  • Parcourir votre feuille de route pour voir ce qui n’a pas fonctionné
  • Sur la base de l’analyse post-mortem, révisez les pratiques actuelles ou définissez-en de nouvelles.
  • Assurez-vous que votre plan de réponse aux incidents mis à jour et les pratiques sont distribués dans l’ensemble de votre organisation.

Étapes supplémentaires pour les organisations gérant l’accès à Azure

Déterminez si vous devez transférer la propriété d’un abonnement Azure à un autre compte.

« Secours » : que faire en cas d’urgence

Accounts for emergency break glass access

  1. Fournissez aux gestionnaires et responsables de la sécurité clés des informations sur l’incident.

  2. Passez en revue votre manuel d’attaque.

  3. Utilisez les nom d’utilisateur et mot de passe de votre compte d’urgence pour vous connecter à Microsoft Entra ID.

  4. Obtenez de l’aide de Microsoft en ouvrant une demande de support Azure.

  5. Consultez les rapports de connexion Microsoft Entra. Un certain temps peut s’écouler entre la survenance d’un événement et le moment où celui-ci est inclus dans le rapport.

  6. Pour les environnements hybrides, si votre infrastructure locale fédérée et votre serveur AD FS ne sont pas disponible, vous pouvez passer temporairement de l’authentification fédérée à l’utilisation de la synchronisation du hachage de mot de passe. Cela permet de revenir de la fédération de domaine à une authentification managée jusqu’à ce que le serveur AD FS soit disponible.

  7. Surveillez les courriers électroniques des comptes privilégiés.

  8. Veillez à effectuer des sauvegardes des journaux d’activité concernés en vue d’un éventuel examen légal et plus approfondi.

Pour plus d’informations sur la façon dont Microsoft Office 365 gère les incidents de sécurité, consultez Security Incident Management in Microsoft Office 365 (Gestion des incidents de sécurité dans Microsoft Office 365).

Questions fréquentes : Réponses aux questions relatives à la sécurisation de l’accès privilégié

Q : Que faire si je n’ai pas encore implémenté de composants d’accès sécurisé ?

Réponse : Définissez au minimum deux comptes de secours, activez l’authentification multifacteur sur vos comptes administrateur privilégiés et séparez les comptes d’utilisateurs des comptes Administrateur général.

Q : Après une violation, quel est le problème à traiter en premier ?

Réponse : Veillez à exiger l’authentification la plus stricte des personnes hautement exposées.

Q : Que se passe-t-il si nos administrateurs privilégiés ont été désactivés ?

Réponse : Créez un compte Administrateur général tenu à jour en permanence.

Q : Que se passe-t-il s’il ne reste qu’un seul administrateur général et que celui-ci est inaccessible ?

Réponse : Utilisez un de vos comptes de secours pour obtenir un accès privilégié immédiat.

Q : Comment protéger les administrateurs au sein de mon organisation ?

Réponse : Les administrateurs doivent toujours effectuer leurs tâches quotidiennes en tant qu’utilisateurs « non privilégiés » standard.

Q : Quelles sont les meilleures pratiques pour créer des comptes administrateur dans Microsoft Entra ID ?

Réponse : Réservez l’accès privilégié pour des tâches administratives spécifiques.

Q : Quels outils permettent de réduire l’accès administrateur permanent ?

Réponse : Privileged Identity Management (PIM) et les rôles Administrateur Microsoft Entra.

Q : Quelle est la position de Microsoft en ce qui concerne la synchronisation des comptes administrateur avec Microsoft Entra ID ?

Réponse : Des comptes administrateur de niveau 0 sont utilisés uniquement pour les comptes AD locaux. Ces comptes ne sont généralement pas synchronisés avec Microsoft Entra ID dans le cloud. Les comptes administrateur de niveau 0 incluent les comptes, groupes et autres ressources exerçant un contrôle administratif direct ou indirect sur la forêt, les domaines, les contrôleurs de domaine et les ressources Active Directory locaux.

Q : Comment empêcher les administrateurs d’attribuer un accès administrateur aléatoire dans le portail ?

Réponse : Utilisez des comptes non privilégiés pour tous les utilisateurs et la plupart des administrateurs. Commencez par définir l’empreinte de l’organisation afin de déterminer les comptes administrateur qui doivent être privilégiés. Surveillez également les nouveaux utilisateurs administratifs créés.

Étapes suivantes

Autres services Microsoft Online Services

  • Microsoft Intune Security : Intune fournit des fonctionnalités de gestion des appareils mobiles, de gestion des applications mobiles et de gestion des ordinateurs à partir du cloud.

  • Sécurité de Microsoft Dynamics 365 : Dynamics 365 est la solution cloud de Microsoft qui centralise les fonctions de gestion de la relation client (CRM) et de planification des ressources d’entreprise (ERP).