Audit de Sécurité Microsoft Azure AD – Active Directory

Dans leur stratégie de cloudification des infrastructures, les entreprises (et notamment les PME) peuvent s’estimer, à tort, à l’abri de la menace cyber, reportant la responsabilité sur les fournisseurs de service. Or, les responsabilités sont très souvent partagées entre le client et le prestataire. Microsoft et sa solution Azure Active Directory (Azure AD) ne dérogent pas à la règle et les locataires d’un tenant Azure AD doivent impérativement conserver une veille active sur une brique essentielle de leur système d’information.

Quels sont les périmètres de responsabilités ?

Comme tout service cloud hébergé, les responsabilités sont partagées. Basé sur le modèle « As A Service », Microsoft assure la sécurité opérationnelle d’une grande partie d’Azure AD, mais une partie doit être traitée par le client lui-même.

Lorsqu’une instance Azure AD est créée, elle est livrée brute et avec des paramètres de sécurité génériques. Il incombe ensuite au client de sécuriser par la suite son instance.

Le tableau ci-dessous délimite clairement les responsabilités entre Microsoft et le client :

Source : Microsoft

Quatre thèmes restent systématiquement de la responsabilité du client :

  • La protection de données ;

  • Les protection des terminaux ;

  • La gestion des accès ;

  • La gestion des identités.

Pourquoi auditer son tenant Microsoft Azure AD ?

Avant tout, il faut savoir qu’Azure AD gère toutes les identités et les accès de l’entreprise aux services Microsoft365, voir plus si Azure AD est utilisa comme fournisseur d’identité principal de l’entreprise. Il devient donc un élément critique, et par conséquent, prisé des attaquant.

En observant la matrice des responsabilités, la réponse devient plus claire : chaque client est responsable sur les aspects que Microsoft n’assure pas, hormis la configuration de base déployée à chaque client.

Auditer un tenant Azure AD revient surtout à réaliser une revue de configuration afin d’identifier, à l’aide de multiples points de contrôle, les mauvaises pratiques en matière d’administration d’Azure AD ou des paramètres qui ont été laissés par défaut depuis la création du tenant et qui ne respectent pas les standards de sécurité actuels.

Ces manques peuvent créer des opportunités pour des attaquants qui souhaitent profiter de la naïveté des entreprise estimant que toute la sécurité est portée par Microsoft.

Comment réalisons-nous un audit Microsoft Azure AD ?

L’audit de configuration AD se déroule en quelques jours afin d’établir un diagnostic et les recommandation de sécurité.

Voici les étapes clés :

1 / Revue de l’existant : Cette première phase exploratoire permet de réaliser un état des lieux complet de la configuration du tenant Azure AD.

2 / Collecte des comptes et applications : Cette étape consiste à identifier tous les comptes à privilèges ayant accès au tenant, ainsi que toutes les applications qui ont été « trustées » pour accéder à certaines données d’Azure AD, dans le but de faire fonctionner un service tiers (ex : un client de messagerie).

3 / Analyse & formalisation du rapport : Il s’agit de la phase de rédaction du rapport, qui se basera sur l’ensemble des éléments collectés durant les deux premières étapes.

 4/ Réunion de restitution : Afin de commenter les résultats de l’audit et de répondre aux questions.

Délivrer des audits de qualité, pragmatique et personnalisé

A l’issue de l’audit, vous disposez ainsi de toutes  les clés pour sécuriser votre tenant Microsoft Azure AD.

Un vision complète de toutes les faiblesses et mauvaises pratiques identifiées et du niveau de risque de chaque faiblesse selon une échelle définie.

Nous vous fournirons pour chacune des faiblesses identifiées des recommandations techniques et/ou organisationnelles et  des propositions de remédiation orientées vers le pragmatisme vous permettant de vous projeter sur les actions Quick-win ou de futurs projets à mener et le niveau de licence requis pour implémenter les recommandations.

Nous vous fournissons également une vision claire, de l’Identity Secure Score atteignable à l’issue du plan d’amélioration.

Toutes les actions préconisées pourront être réalisées par le département informatique du client ou si vous préférez, nous pouvons également vous accompagner dans l’application du plan de remédiation, tout en assurant un transfert de compétence efficace à l’équipe IT.

(1)   Le pendant cloud d’un Active Directory local est Azure AD DS

Autres articles susceptibles de vous intéresser