Cinq étapes pour sécuriser votre infrastructure d’identité

Si vous lisez ce document, c'est que vous connaissez l’importance de la sécurité. Vous êtes sans doute déjà responsable de la sécurisation de votre organisation. Si vous avez besoin de convaincre d’autres utilisateurs de l’importance de la sécurité, demandez-leur de lire le dernier rapport Microsoft Digital Defense Report.

Ce document vous aide à obtenir une position plus sécurisée en utilisant les capacités de Microsoft Entra ID, grâce à une liste de vérification en cinq étapes visant à améliorer la protection de votre organisation contre les cyberattaques.

Cette liste de vérification vous aidera à déployer rapidement les actions recommandées critiques pour protéger votre organisation immédiatement, en expliquant comment :

  • Renforcer vos informations d’identification
  • Réduire votre surface d’attaque
  • Automatiser la réponse aux menaces
  • Utiliser l’intelligence cloud
  • Activer le libre-service pour l’utilisateur final

Remarque

La plupart des recommandations de ce document s’appliquent seulement aux applications qui sont configurées pour utiliser Microsoft Entra ID comme fournisseur d’identité. La configuration des applications pour l’authentification unique garantit que les avantages des stratégies pour les informations d’identification, la détection des menaces, l’audit, la journalisation et d’autres fonctionnalités s’ajoutent à ces applications. La gestion des applications Microsoft Entra est le fondement sur lequel toutes ces recommandations sont basées.

Les recommandations de ce document sont alignées sur le score d’identité sécurisée, une évaluation automatisée de la configuration de sécurité des identités de votre locataire Microsoft Entra. Les organisations peuvent utiliser la page Score d’identité sécurisée du portail Microsoft Entra pour trouver des failles dans leur configuration de sécurité actuelle et s’assurer qu’elles respectent les meilleures pratiques actuelles de Microsoft en matière de sécurité. Implémenter chaque recommandation de la page Secure Score augmente votre score et vous permet de suivre vos progrès, et vous aide également à comparer votre implémentation à celle d’autres organisations de taille comparable.

Fenêtre du Portail Azure montrant le score d'identité sécurisée et certaines recommandations.

Remarque

Certaines des fonctionnalités recommandées ici sont disponibles pour tous les clients, tandis que d’autres nécessitent un abonnement à Microsoft Entra ID P1 ou P2. Pour plus d’informations, consultez les tarifs de Microsoft Entra et la liste de vérification du déploiement de Microsoft Entra.

Avant de commencer : Protéger des comptes privilégiés avec l'authentification multifacteur (MFA)

Avant de commencer, assurez-vous de ne pas être compromis pendant que vous lisez cette liste de vérification. Dans Microsoft Entra, nous observons 50 millions d’attaques de mot de passe par jour. Pourtant, seule une fraction des utilisateurs et des administrateurs utilise des authentifications fortes telles que l’authentification MFA (authentification multifacteur). Ces statistiques se basent sur les données en date d’août 2021. Dans Microsoft Entra ID, les utilisateurs disposant de rôles privilégiés, tels que les administrateurs, sont généralement ceux sur lesquels reposent la création et la gestion du reste de l’environnement. Conformez-vous aux pratiques suivantes pour réduire les effets d’une atteinte à la sécurité.

Les attaquants qui prennent le contrôle de comptes privilégiés peuvent causer des dégâts considérables. Il est donc essentiel de protéger ces comptes avant de continuer. Activez et exigez l’authentification multifacteur (MFA) Microsoft Entra pour tous les administrateurs de votre organisation avec les paramètres de sécurité par défaut de Microsoft Entra ou un accès conditionnel. Cela est essentiel.

Vous êtes prêt ? Nous pouvons commencer la liste de vérification.

Étape 1 : Renforcer vos informations d’identification

Bien que d’autres types d’attaques apparaissent, y compris le hameçonnage de consentement et les attaques sur les identités non humaines, les attaques par mot de passe sur les identités des utilisateurs restent le vecteur le plus fréquent d’usurpation d’identité. Les campagnes de hameçonnage et de pulvérisation de mot de passe bien établies par les acteurs malveillants continuent à réussir contre les organisations qui n’implémentent pas l’authentification multifacteur (MFA) ou d’autres protections contre cette tactique commune.

Dans le cadre de votre organisation, vous devez vous assurer que vos identités sont validées et sécurisées avec MFA en tous points. En 2020, le Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3) Report a identifié le hameçonnage comme le type de crime le plus répandu dans les plaintes des victimes. Le nombre de signalisations a doublé par rapport à l’année précédente. L’hameçonnage présente une menace importante pour les entreprises et les particuliers, et l’hameçonnage des informations d’identification a été utilisé dans un grand nombre des attaques les plus dévastatrices de l’année dernière. L’authentification multifacteur (MFA) Microsoft Entra permet de protéger l’accès aux données et aux applications, en fournissant une autre couche de sécurité en utilisant une deuxième forme d’authentification. Les organisations peuvent activer l’authentification multifacteur avec l’accès conditionnel pour adapter la solution à leurs besoins spécifiques. Consultez ce guide de déploiement pour voir comment planifier, implémenter et déployer l’authentification multifacteur Microsoft Entra.

Vérifier que votre organisation utilise une authentification forte

Pour activer facilement le niveau de base de sécurité des identités, vous pouvez utiliser l’activation en une sélection avec les Paramètres de sécurité par défaut Microsoft Entra. Les paramètres de sécurité par défaut appliquent l’authentification multifacteur Microsoft Entra à tous les utilisateurs d’un locataire et bloquent les connexions des protocoles hérités à l’échelle du locataire.

Si votre organisation dispose de licences Microsoft Entra ID P1 ou P2, vous pouvez également utiliser le classeur Insights et rapports sur l’accès conditionnel qui vous aidera à détecter d’éventuelles lacunes dans votre configuration et votre couverture. Sur la base de ces recommandations, vous pourrez aisément combler ces lacunes en créant une stratégie à l’aide de la nouvelle expérience en matière de modèles d’accès conditionnel. Les modèles d’accès conditionnel sont conçus pour fournir une méthode simple de déploiement de nouvelles stratégies qui s’alignent sur les bonnes pratiques recommandées par Microsoft, facilitant le déploiement de stratégies communes pour protéger vos identités et vos appareils.

Commencer à interdire des mots de passe couramment attaqués et à désactiver la complexité traditionnelle et les règles d’expiration.

De nombreuses organisations utilisent des règles traditionnelles en matière de complexité et d’expiration de mot de passe. La recherche de Microsoft montre, et les National Institute of Standards and Technology (NIST) Special Publication 800-63B Digital Identity Guidelines établissent, que ces stratégies font que les utilisateurs choisissent des mots de passe plus faciles à deviner. Nous vous recommandons d’utiliser la protection par mot de passe Microsoft Entra, une fonctionnalité dynamique de prévention contre les mots de passe déconseillés, qui utilise le comportement actuel des attaquants pour empêcher les utilisateurs de définir des mots de passe faciles à deviner. Cette fonctionnalité est toujours activée lorsque des utilisateurs sont créés dans le cloud, mais est désormais également disponible pour les organisations hybrides lorsqu’elles déploient la protection par mot de passe Microsoft Entra pour Windows Server Active Directory. En outre, nous vous recommandons de supprimer les stratégies d’expiration. La modification d’un mot de passe n’offre aucun avantage de confinement, car les cybercriminels utilisent presque toujours les informations d’identification dès qu’ils les compromettent. Reportez-vous à l’article suivant pour définir la stratégie d’expiration de mot de passe pour votre organisation.

Protection contre la fuite d’informations d’identification et ajout de la tolérance aux pannes

La méthode la plus simple et recommandée d’activation de l’authentification cloud pour les objets d’annuaire local dans Microsoft Entra ID consiste à activer la synchronisation de hachage du mot de passe. Si votre organisation utilise une solution d’identité hybride avec authentification ou fédération directe, vous devez activer la synchronisation du hachage de mot de passe pour les deux raisons suivantes :

  • Le rapport Utilisateurs avec des informations d'identification fuitées dans Microsoft Entra ID présente les associations de nom d’utilisateur et de mot de passe exposées publiquement. Un volume incroyable de mots de passe fait l’objet d’une fuite via le hameçonnage, les programmes malveillants et la réutilisation de mot de passe sur des sites tiers qui sont ensuite victimes d’une violation de la sécurité. Microsoft collecte un grand nombre de ces informations d’identification fuitées et vous indique, dans ce rapport, si elles correspondent à des informations d’identification de votre organisation, mais uniquement si vous activez la synchronisation de hachage du mot de passe ou si vous disposez d’identités exclusivement cloud.
  • En cas de panne locale, par exemple, au cours d’une attaque par rançongiciel, vous pouvez basculer vers l’authentification cloud avec la synchronisation de hachage du mot de passe. Cette méthode d’authentification de secours vous permet de continuer à accéder aux applications configurées pour l’authentification avec Microsoft Entra ID, notamment Microsoft 365. Dans ce cas, l’équipe informatique n’a pas besoin de recourir à des comptes de messagerie personnels ou d’informatique fantôme pour partager des données en attendant que la panne locale soit résolue.

Les mots de passe ne sont jamais stockés en texte clair ni chiffrés avec un algorithme réversible dans Microsoft Entra ID. Pour plus d’informations sur le processus réel de la synchronisation de hachage de mot de passe, consultez Description détaillée du fonctionnement de la synchronisation de hachage de mot de passe.

Implémenter le verrouillage intelligent extranet AD FS

Le verrouillage intelligent empêche les personnes malveillantes de deviner vos mots de passe ou d’utiliser des méthodes de force brute pour rentrer dans vos systèmes. Le verrouillage intelligent peut reconnaître les connexions provenant d’utilisateurs validés et les traiter différemment de celles des attaquants et autres sources inconnues. Le verrouillage intelligent empêche les attaquants de pénétrer dans le système, tout en permettant à vos utilisateurs d’accéder à leurs comptes et de travailler. Les organisations qui configurent des applications pour qu’elles s’authentifient directement auprès de Microsoft Entra ID bénéficient du verrouillage intelligent Microsoft Entra. Les déploiements fédérés utilisant AD FS 2016 et AD FS 2019 peuvent bénéficier d’avantages similaires à ceux fournis par l’utilisation du verrouillage extranet et du verrouillage intelligent extranet AD FS.

Étape 2 : Réduire votre surface d’attaque

Étant donné l’omniprésence de la compromission des mots de passe, il est essentiel de réduire la surface d’attaque de votre organisation. Désactivez l’utilisation d’anciens protocoles moins sécurisés, limitez les points d’entrée d’accès, optez pour l’authentification cloud, exercez un contrôle plus important de l’accès administratif aux ressources et adoptez les principes de sécurité de confiance zéro.

Utiliser l’authentification cloud

Les informations d'identification constituent le premier vecteur d'attaque. Les pratiques présentées dans ce blog peuvent réduire la surface d’attaque en utilisant l’authentification cloud, en déployant la MFA et en utilisant des méthodes d’authentification sans mot de passe. Vous pouvez déployer des méthodes sans mot de passe, telles que Windows Hello Entreprise, la connexion par téléphone avec l’application Microsoft Authenticator ou FIDO.

Bloquer l’authentification héritée

Les applications utilisant leurs propres méthodes héritées pour s’authentifier auprès de Microsoft Entra ID et accéder aux données d’entreprise présentent un autre risque pour les organisations. Exemples d’applications utilisant une authentification héritée : clients POP3, IMAP4 ou SMTP. Les applications à authentification héritée s’authentifient au nom de l’utilisateur et empêchent Microsoft Entra ID de procéder à des évaluations avancées de la sécurité. Une authentification alternative et moderne réduit les risques de sécurité, car elle prend en charge l’authentification multifacteur et l’accès conditionnel.

Nous vous recommandons les actions suivantes :

  1. Découvrez l’authentification héritée dans votre organisation avec les journaux de connexion Microsoft Entra et les classeurs Log Analytics.
  2. Configurez SharePoint Online et Exchange Online pour utiliser l’authentification moderne.
  3. Si vous disposez de licences Microsoft Entra ID P1 ou P2, utilisez les stratégies d’accès conditionnel pour bloquer l’authentification héritée. Pour le niveau Gratuit de Microsoft Entra ID, utilisez les paramètres de sécurité par défaut de Microsoft Entra.
  4. Bloquez l’authentification héritée, si vous utilisez AD FS.
  5. Bloquez l’authentification héritée avec Exchange Server 2019.
  6. Désactivez l’authentification héritée dans Exchange Online.

Pour plus d’informations, consultez l’article Blocage des protocoles d’authentification hérités dans Microsoft Entra ID.

Bloquer les points d’entrée d’authentification non valide

L’adoption du principe Vérifier explicitement doit vous permettre de réduire l’impact d’informations d’identification utilisateur compromises, le cas échéant. Pour chaque application de votre environnement, tenez compte des cas d’utilisation valides : quels groupes, réseaux, appareils et autres éléments sont autorisés, et bloquez le reste. Avec l’accès conditionnel Microsoft Entra, vous pouvez contrôler comment les utilisateurs autorisés accèdent à leurs applications et ressources selon des conditions spécifiques que vous définissez.

Pour plus d’informations sur l’utilisation de l’accès conditionnel pour vos applications cloud et actions utilisateur, consultez Accès conditionnel : applications, actions et contexte d’authentification cloud.

Examiner et régir les rôles d’administrateur

Un autre pilier de la confiance zéro est le besoin de réduire au maximum la probabilité qu’un compte compromis puisse fonctionner avec un rôle privilégié. Ce contrôle s’accomplit en affectant les privilèges minimum requis à une identité. Si vous débutez avec les rôles Microsoft Entra, cet article vous aide à les comprendre.

Les rôles privilégiés dans Microsoft Entra doivent être des comptes cloud uniquement, qui sont ainsi isolés des environnements locaux et n’utilisent pas de coffres de mots de passe locaux pour stocker les informations d’identification.

Implémenter la gestion des accès privilégiés

Privileged Identity Management (PIM) assure une activation de rôle basée sur l’heure et l’approbation pour atténuer les risques d’autorisations d’accès excessives, injustifiées ou malveillantes à des ressources importantes. Ces ressources incluent des ressources dans Microsoft Entra ID, Azure et d'autres services Microsoft Online tels que Microsoft 365 ou Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) vous aide à réduire au maximum les privilèges de compte en vous aidant à :

  • Identifier et gérer les utilisateurs affectés aux rôles d’administration.
  • Comprendre les rôles avec des privilèges inutilisés ou excessifs que vous devez supprimer.
  • Établir des règles pour vous assurer que les rôles privilégiés sont protégés par l’authentification multifacteur.
  • Établir des règles pour vous assurer que les rôles privilégiés ne sont accordés que pendant le temps nécessaire pour accomplir la tâche privilégiée.

Activez Microsoft Entra PIM, puis affichez les utilisateurs qui sont affectés à des rôles d’administration et supprimez les comptes inutiles dans ces rôles. Pour les autres utilisateurs privilégiés, déplacez-les de l’état permanent à l’état éligible. Enfin, établissez des stratégies appropriées pour vous assurer que lorsque ces utilisateurs ont besoin d’accéder à ces rôles privilégiés, ils peuvent le faire en toute sécurité, avec le contrôle nécessaire des modifications.

Les rôles personnalisés et intégrés Microsoft Entra utilisent des concepts similaires aux rôles du système de contrôle d’accès en fonction du rôle pour les ressources Azure (rôles Azure). La différence entre ces deux systèmes de contrôle d’accès en fonction du rôle est la suivante :

  • Les rôles Microsoft Entra contrôlent l’accès aux ressources Microsoft Entra telles que les utilisateurs, les groupes et les applications en tirant parti de l’API Microsoft Graph
  • Les rôles Azure contrôlent l’accès aux ressources Azure telles que les machines virtuelles ou le stockage en utilisant Gestion des ressources Azure

Les deux systèmes contiennent des définitions de rôles et des attributions de rôles à l’usage similaire. Toutefois, les autorisations de rôle Microsoft Entra ne peuvent pas être utilisées dans les rôles personnalisés Azure, et vice versa. Dans le cadre du déploiement de votre processus de compte privilégié, respectez les meilleures pratiques pour créer au moins deux comptes d’urgence afin d’être sûr de pouvoir toujours accéder à Microsoft Entra ID si vous êtes bloqué.

Pour plus d’informations, consultez l’article Planifier un déploiement de Privileged Identity Management et sécuriser les accès privilégiés.

Il est important de comprendre les différentes expériences de consentement d’application de Microsoft Entra, les types d’autorisations et de consentement et leurs implications sur la sécurité de votre organisation. Ce consentement, qui permet aux utilisateurs d’acquérir facilement des applications utiles qui s’intègrent à Microsoft 365, à Azure et à d’autres services, peut également représenter un risque s’il n’est pas utilisé et surveillé avec précaution.

Microsoft recommande de limiter le consentement de l’utilisateur pour autoriser le consentement de l’utilisateur final uniquement pour les applications des éditeurs vérifiés et uniquement pour les autorisations que vous sélectionnez. Si le consentement de l’utilisateur final est restreint, les octrois de consentement préalables seront toujours respectés, mais toutes les opérations de consentement futures devront être effectuées par un administrateur. Dans les cas où la restriction s’applique, le consentement de l’administrateur peut être demandé par les utilisateurs via un flux de travail de requête d’autorisation d’administrateur intégré ou par le biais de vos propres processus de support. Avant de restreindre le consentement de l’utilisateur final, suivez nos recommandations pour planifier cette modification dans votre organisation. Pour les applications dont vous souhaitez autoriser l’accès à tous les utilisateurs, envisagez d’accorder un consentement au nom de tous les utilisateurs, ce qui garantit que les utilisateurs qui n’ont pas encore accepté individuellement pourront accéder à l’application. Si vous ne souhaitez pas que ces applications soient disponibles pour tous les utilisateurs dans tous les scénarios, utilisez l’affectation d’application et l’accès conditionnel pour restreindre l’accès des utilisateurs à des applications spécifiques.

Assurez-vous que les utilisateurs peuvent demander l’approbation de l’administrateur pour les nouvelles applications afin de réduire la friction des utilisateurs, de réduire le volume de support et d’empêcher les utilisateurs de s’inscrire aux applications en utilisant des informations d’identification non-Microsoft Entra. Une fois que vous avez régulé vos opérations de consentement, les administrateurs doivent auditer régulièrement les autorisations de consentement et d’application.

Pour plus d’informations, consultez l’article Framework de consentement Microsoft Entra.

Étape 3 : Automatiser la réponse aux menaces

Microsoft Entra ID comporte de nombreuses fonctionnalités qui interceptent automatiquement les attaques afin de supprimer la latence entre la détection et la réponse. Vous pouvez limiter les coûts et les risques lorsque vous réduisez le temps dont les attaquants ont besoin pour s’insérer dans votre environnement. Voici les étapes concrètes que vous pouvez appliquer.

Pour plus d’informations, consultez l’article Guide pratique : Configurer et activer des stratégies de risque.

Implémenter la stratégie de connexion à risque

Un risque de connexion représente la probabilité que le propriétaire de l’identité n’ait pas autorisé la demande d’authentification. Une stratégie de connexion basée sur les risques peut être implémentée via l’ajout d’une condition de risque de connexion à vos stratégies d’accès conditionnel qui évalue le niveau de risque pour un utilisateur ou un groupe spécifique. Selon le niveau de risque (élevé, moyen, faible), une stratégie peut être configurée pour bloquer l’accès ou exiger l’authentification multifacteur. Nous vous recommandons d’exiger l’authentification multifacteur pour les connexions présentant un risque moyen ou plus élevé.

Stratégie d’accès conditionnel exigeant l’authentification multifacteur pour les authentifications à moyen et à haut risque.

Implémenter une stratégie de sécurité en matière de risque des utilisateurs

Le risque utilisateur indique la probabilité que l'identité d'un utilisateur ait été compromise et est calculé en fonction des détections de risque utilisateur associées à l'identité d'un utilisateur. Une stratégie basée sur le risque utilisateur peut être implémentée via l’ajout d’une condition de risque utilisateur à vos stratégies d’accès conditionnel qui évalue le niveau de risque pour un utilisateur spécifique. Selon un niveau de risque Faible, Moyen ou Élevé, une stratégie peut être configurée pour bloquer l’accès ou exiger une modification du mot de passe sécurisée à l’aide de l’authentification multifacteur. La recommandation de Microsoft est d’exiger une modification du mot de passe sécurisée pour les utilisateurs présentant un risque élevé.

Stratégie d’accès conditionnel exigeant la modification du mot de passe pour les utilisateurs à haut risque.

La détection du risque utilisateur inclut une vérification permettant de déterminer si les informations d’identification de l’utilisateur correspondent aux informations d’identification qui ont été divulguées par les cybercriminels. Pour un fonctionnement optimal, il est important d’implémenter la synchronisation de hachage du mot de passe avec Microsoft Entra Connect Sync.

Intégrer Microsoft Defender XDR à Microsoft Entra ID Protection

Pour qu’Identity Protection puisse effectuer la meilleure détection de risques possible, il doit obtenir autant de signaux que possible. Il est donc important d’intégrer la suite complète des services Microsoft Defender XDR :

  • Microsoft Defender for Endpoint
  • Microsoft Defender pour Office 365
  • Microsoft Defender pour Identity
  • Microsoft Defender for Cloud Apps

Apprenez-en davantage sur Microsoft Threat Protection et sur l’importance de l’intégration de différents domaines dans la brève vidéo suivante.

Configurer la surveillance et les alertes

La surveillance et l’audit de vos journaux sont importants pour détecter un comportement suspect. Le portail Azure offre plusieurs moyens d’intégrer les journaux Microsoft Entra à d’autres outils comme Microsoft Sentinel, Azure Monitor et d’autres outils SIEM. Pour plus d’informations, consultez le guide des opérations de sécurité Microsoft Entra.

Étape 4 : Utiliser l’intelligence cloud

L’audit et la journalisation des événements liés à la sécurité, de même que les alertes associées, constituent des composants essentiels dans une stratégie de protection efficace. Les journaux d'activité et les rapports de sécurité vous fournissent un enregistrement électronique des activités suspectes, et vous aident à détecter les motifs pouvant indiquer une tentative d’intrusion ou une intrusion externe effective sur le réseau, ainsi que les attaques internes. Vous pouvez avoir recours aux audits pour surveiller les activités des utilisateurs, documenter la conformité aux exigences réglementaires, effectuer des analyses d’investigation, etc. Les alertes fournissent des notifications des événements de sécurité. Veillez à disposer d’une stratégie de rétention de journaux pour vos journaux de connexion et d’audit pour Microsoft Entra en les exportant vers Azure Monitor ou un outil SIEM.

Surveiller Microsoft Entra ID

Les services et fonctionnalités Microsoft Azure vous proposent des options d’audit et de journalisation configurables qui permettent d’identifier les lacunes dans vos stratégies et mécanismes de sécurité et d’y remédier pour empêcher les violations éventuelles. Vous pouvez utiliser l’audit et la journalisation Azure et les Rapports d’activité d’audit dans le centre d’administration Microsoft Entra. Pour plus d’informations sur la surveillance des comptes d’utilisateur, des comptes privilégiés, des applications et des appareils, consultez le guide des opérations de sécurité Microsoft Entra.

Surveiller Microsoft Entra Connect Health dans les environnements hybrides

La surveillance d’AD FS avec Microsoft Entra Connect Health vous offre un meilleur insight sur les problèmes potentiels et une meilleure visibilité des attaques sur votre infrastructure AD FS. Vous pouvez désormais afficher les connexions ADFS pour une plus grande profondeur de surveillance. Microsoft Entra Connect Health fournit des alertes avec des détails, des étapes de résolution et des liens vers la documentation associée ; l’analytique de l’utilisation pour plusieurs métriques relatives au trafic de l’authentification ; la surveillance des rapports pour les performances. Utilisez le classeur de rapport sur les adresses IP à risque pour ADFS qui vous aidera à identifier la norme pour votre environnement et vous avertira en cas de modification. Toute infrastructure hybride doit être surveillée en tant que ressource de niveau 0. Vous trouverez des conseils détaillés sur la surveillance de ces ressources dans le Guide des opérations de sécurité pour l’infrastructure.

Surveiller les événements Protection des ID Microsoft Entra

Protection des ID Microsoft Entra fournit deux rapports importants que vous devez surveiller tous les jours :

  1. Les rapports sur les connexions à risque mettent en avant les activités de connexion d’utilisateur que vous devriez examiner, parce qu’il est possible que la connexion n’ait pas été établie par le propriétaire légitime.
  2. Les rapports sur les utilisateurs à risque mettent l’accent sur des comptes d’utilisateurs qui auraient pu être compromis, comme des informations d’identification fuitées détectées, ou une connexion utilisateur depuis différents emplacements alors qu’un déplacement était objectivement impossible.

Graphiques de vue d’ensemble de l’activité dans Protection des identités dans le Portail Azure.

Applications d’audit et autorisations accordées

Les utilisateurs peuvent être trompés et accéder à un site web ou à des applications compromis, qui obtiendront un accès à leurs informations de profil et à leurs données utilisateur, comme leur adresse e-mail. Un intervenant malveillant peut utiliser les autorisations accordées pour chiffrer le contenu de leur boîte aux lettres et leur demander une rançon pour récupérer les données de leur boîte aux lettres. Les administrateurs doivent examiner et auditer les autorisations données par les utilisateurs. Outre l’audit des autorisations fournies par les utilisateurs, vous pouvez localiser les applications OAuth risquées ou indésirables dans les environnements Premium.

Étape 5 : Activer le libre-service pour l’utilisateur final

Vous devez, autant que possible, équilibrer la sécurité avec la productivité. En vous efforçant d’établir une base pour la sécurité, vous pouvez éliminer les frictions dans votre organisation en donnant à vos utilisateurs les moyens d’agir tout en restant vigilant et en réduisant vos coûts d’exploitation.

Mettre en œuvre la réinitialisation du mot de passe libre-service

La réinitialisation de mot de passe en libre-service (SSPR) de Microsoft Entra ID offre aux administrateurs informatiques un moyen simple de permettre aux utilisateurs de réinitialiser ou de déverrouiller leurs comptes ou leurs mots de passe, sans l’intervention d’un service d’assistance ou d’un administrateur. Le système inclut une reporting détaillé, qui suit les moments où des utilisateurs ont réinitialisé leurs mots de passe, ainsi que des notifications pour vous avertir de toute utilisation malveillante ou abusive.

Implémenter l’accès en libre-service aux groupes et aux applications

Microsoft Entra ID peut permettre à des non-administrateurs de gérer l’accès aux ressources, en utilisant des groupes de sécurité, des groupes Microsoft 365, des rôles d’application et des catalogues de packages d’accès. La gestion des groupes en libre-service permet aux propriétaires de groupes de gérer leurs propres groupes sans se voir attribuer de rôle d’administrateur. Les utilisateurs peuvent également créer et gérer des groupes Microsoft 365 sans dépendre d'administrateurs pour gérer leurs demandes, et les groupes inutilisés expirent automatiquement. La gestion des droits d’utilisation Microsoft Entra permet une délégation et une visibilité supplémentaires, avec des flux de travail de demande d’accès complets et une expiration automatique. Vous pouvez déléguer à des non-administrateurs la possibilité de configurer leurs propres packages d’accès pour les groupes, pour Teams, pour les applications et les sites SharePoint Online qu’ils détiennent, avec des stratégies personnalisées pour les personnes qui doivent approuver l’accès, incluant la configuration des responsables des employés et des sponsors partenaires commerciaux en tant qu’approbateurs.

Implémenter les révisions d’accès Microsoft Entra

Avec les révisions d’accès Microsoft Entra, vous pouvez gérer le package d’accès et les appartenances à un groupe, l’accès aux applications d’entreprise et les affectations de rôle privilégié pour veiller à maintenir une norme de sécurité. Une supervision régulière par les utilisateurs eux-mêmes, des propriétaires de ressources et d’autres réviseurs garantit que les utilisateurs ne conservent pas l’accès pendant des périodes prolongées quand ils n’en ont plus besoin.

Implémenter le provisionnement automatique des utilisateurs

Le provisionnement et le déprovisionnement sont les processus qui garantissent la cohérence des identités numériques entre plusieurs systèmes. Ces processus sont généralement appliqués dans le cadre de la gestion du cycle de vie des identités.

Le provisionnement est le processus de création d’une identité dans un système cible en fonction de certaines conditions. Le désapprovisionnement est le processus de suppression de l’identité du système cible, lorsque les conditions ne sont plus remplies. La synchronisation est le processus qui consiste à conserver l’objet provisionné à jour, afin que l’objet source et l’objet cible soient similaires.

Microsoft Entra ID propose actuellement trois domaines d’approvisionnement automatisé. Il s’agit de :

Découvrez-en plus ici : qu’est-ce que l’approvisionnement avec Microsoft Entra ID ?

Résumé

Une infrastructure d’identité sécurisée peut présenter de nombreux aspects, mais cette liste de vérification en cinq étapes vous aidera à obtenir rapidement une infrastructure d’identité plus sûre et sécurisée :

  • Renforcer vos informations d’identification
  • Réduire votre surface d’attaque
  • Automatiser la réponse aux menaces
  • Utiliser l’intelligence cloud
  • Activer le libre-service pour l’utilisateur final

Nous sommes heureux de l’importance que vous accordez à la sécurité et nous espérons que ce document constituera une feuille de route utile pour renforcer la sécurité de votre organisation.

Étapes suivantes

Si vous avez besoin d’aide pour planifier et déployer les recommandations, consultez les plans de déploiement de projet Microsoft Entra ID.

Si vous êtes certain que toutes ces étapes sont accomplies, utilisez le score d’identité sécurisée de Microsoft, qui vous permet de rester informé des meilleures pratiques et des menaces à la sécurité les plus récentes.