Plan de modernisation rapide de la sécurité

Ce plan de modernisation rapide (RaMP) vous permet d’adopter rapidement la stratégie d’accès privilégié recommandée de Microsoft.

Cette feuille de route s’appuie sur les contrôles techniques établis dans le guide de déploiement de l’accès privilégié. Effectuez ces étapes, puis suivez les étapes mentionnées dans ce plan de modernisation rapide (RaMP) afin de configurer les contrôles pour votre organisation.

Récapitulatif du plan de modernisation rapide (RaMP) de l’accès privilégié

Remarque

La plupart de ces étapes ont une dynamique de terrain vierge/zone de friche, car les organisations présentent souvent des risques de sécurité par la façon dont ils sont déjà déployés ou configurés. Cette feuille de route privilégie l’arrêt de l’accumulation des nouveaux risques de sécurité, puis nettoie ultérieurement les éléments restants déjà accumulés.

À mesure que vous progressez dans la feuille de route, vous pouvez utiliser le Degré de sécurisation Microsoft pour suivre et comparer de nombreux éléments du parcours avec d’autres se trouvant dans des organisations similaires au fil du temps. Pour en savoir plus sur le Degré de sécurisation Microsoft, consultez l’article Vue d’ensemble du degré de sécurisation.

Chaque élément de ce plan de modernisation rapide (RaMP) est structuré comme une initiative qui sera suivie et gérée à l’aide d’un format qui s’appuie sur la méthodologie des objectifs et résultats clés (OKR). Chaque élément comprend les informations Quoi (objectif), Pourquoi, Qui, Comment et Comment mesurer (résultats des clés). Certains éléments nécessitent l’apport de changements au processus et aux connaissances ou compétences des personnes, tandis que d’autres sont des changements plus simples apportés aux technologies. La plupart de ces initiatives incluent des membres ne faisant pas partie du service informatique traditionnel et qui doivent être inclus dans la prise de décision et l’implémentation de ces changements afin de veiller à ce qu’ils soient correctement intégrés dans votre organisation.

Il est essentiel de travailler ensemble en tant qu’organisation, de créer des partenariats et de former les personnes qui ne faisaient généralement pas partie de ce processus. Il est essentiel de susciter et d’entretenir l’adhésion au sein de l’organisation. Sans cette dernière, de nombreux projets sont défaillants.

Séparer et gérer les comptes privilégiés

Comptes d’accès d’urgence

  • Quoi : vérifiez que vous n’êtes pas accidentellement verrouillé hors de votre organisation Microsoft Entra dans une situation d’urgence.
  • Pourquoi : les comptes d’accès d’urgence sont rarement utilisés et très préjudiciable pour l’organisation en cas de compromission, mais leur disponibilité pour l’organisation revêt une importance capitale pour les quelques scénarios dans lesquels ils sont nécessaires. Vérifiez que vous disposez d’un plan de continuité d’accès qui prend en charge aussi bien les événements attendus que ceux inattendus.
  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Comment : Suivez les instructions fournies dans Gérer des comptes d’accès d’urgence dans Microsoft Entra ID.
  • Résultats des clés de mesure :
    • Établi Le processus d’accès d’urgence a été conçu en fonction des instructions de Microsoft qui répondent aux besoins de l’organisation
    • Conservé L’accès d’urgence a été révisé et testé au cours des 90 derniers jours

Activez Microsoft Entra Privileged Identity Management.

  • Quoi : Utilisez Microsoft Entra Privileged Identity Management dans votre environnement de production Microsoft Entra afin de détecter et de sécuriser les comptes privilégiés
  • Pourquoi : Privileged Identity Management assure une activation de rôle basée sur la durée et basée sur l’approbation pour atténuer les risques d’autorisations d’accès excessives, inutiles ou utilisées à mauvais escient.
  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Comment : Déployez et configurez Microsoft Entra Privileged Identity Management à l’aide des instructions mentionnées dans Déployer Microsoft Entra Privileged Identity Management (PIM).
  • Résultats des mesures clés : 100 % des rôles d’accès privilégié applicables utilisent Microsoft Entra PIM

Identifier et classer les comptes privilégiés (Microsoft Entra ID)

  • Quoi : Identifiez tous les rôles et groupes ayant un fort impact commercial qui nécessitent un niveau de sécurité privilégié (immédiatement ou dans le temps). Ces administrateurs exigent des comptes distincts lors d’une étape ultérieure Administration de l’accès privilégié.

  • Pourquoi : cette étape est obligatoire pour identifier et réduire le nombre de personnes qui nécessitent des comptes distincts et une protection de l’accès privilégié.

  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Comment : Après avoir activé Microsoft Entra Privileged Identity Management, affichez les utilisateurs qui sont dans les rôles Microsoft Entra suivants, au minimum en fonction des politiques de risque de votre entreprise :

    • Administrateur général
    • Administrateur de rôle privilégié
    • Administrateur Exchange
    • Administrateur SharePoint

    Pour obtenir la liste complète des rôles d’administrateur, consultez Autorisations des rôles d’administrateur dans Microsoft Entra ID.

    Supprimez les comptes qui ne sont plus nécessaires dans ces rôles. Ensuite, classez les comptes restants qui sont affectés aux rôles d’administrateur :

    • Affectés à des utilisateurs administratifs, mais également utilisés à des fins de productivité non administrative, comme la lecture et la réponse aux e-mails.
    • Affectés à des utilisateurs administratifs et dédiés à des fins exclusivement administratives
    • Partagés entre plusieurs utilisateurs
    • Pour les scénarios d’accès d’urgence de secours
    • Pour les scripts automatisés
    • Pour les utilisateurs externes

Si vous ne disposez pas de Microsoft Entra Privileged Identity Management dans votre organisation, vous pouvez utiliser l’API PowerShell. Commencez avec le rôle Administrateur général, car celui-ci dispose des mêmes autorisations sur tous les services cloud auxquels votre organisation s’est abonnée. Ces autorisations sont acquises, quelle que soit leur provenance : Centre d’administration Microsoft 365, Portail Azure ou module Azure AD pour Microsoft PowerShell.

  • Résultats des clés de mesure : La vérification et l’identification des rôles d’accès privilégiés ont été effectuées au cours des 90 derniers jours

Comptes distincts (comptes AD locaux)

  • Quoi : Sécuriser les comptes d’administration privilégiés locaux, si ce n’est pas déjà fait. Cette étape comprend les opérations suivants :

    • création de comptes administrateur distincts pour les utilisateurs qui doivent effectuer des tâches administratives locales :
    • déploiement de stations de travail disposant d’un accès privilégié pour les administrateurs Active Directory ;
    • création de mots de passe d’administrateur local uniques pour les stations de travail et les serveurs.
  • Pourquoi : Renforcement de la sécurité des comptes utilisés pour les tâches d’administration. La messagerie doit être désactivée pour les comptes d’administrateur et aucun compte Microsoft personnel ne doit être autorisé.

  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Comment : Tous les employés autorisés à détenir des privilèges administratifs doivent avoir des comptes distincts pour leurs fonctions administratives, différents de leurs comptes d’utilisateur. Ne partagez pas ces comptes entre les utilisateurs.

    • Comptes d’utilisateur standard : privilèges d’utilisateur standard octroyés pour les tâches d’utilisateur standard, comme l’e-mail, la navigation web et l’utilisation des applications métier. Ces comptes ne bénéficient pas de privilèges administratifs.
    • Comptes administratifs : comptes distincts créés pour les personnes qui disposent des privilèges administratifs appropriés.
  • Résultats des clés de mesure : 100 % des utilisateurs locaux disposant de privilèges ont des comptes dédiés distincts

Microsoft Defender pour Identity

  • Quoi : Microsoft Defender pour Identity combine des signaux locaux et des insights cloud pour superviser, protéger et examiner les événements dans un format simplifié, ce qui permet à vos équipes de sécurité de détecter les attaques avancées contre votre infrastructure d’identité, avec la possibilité d’effectuer les opérations suivantes :

    • Surveiller les utilisateurs, ainsi que le comportement et les activités des entités avec une analytique basée sur l’apprentissage
    • Protéger les identités et les informations d’identification des utilisateurs qui sont stockées dans Active Directory
    • Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne d’annihilation
    • Fournir des informations claires sur les incidents selon une chronologie simple, permettant un triage rapide
  • Pourquoi : il est possible que des attaquants modernes restent indétectables pendant de longues périodes. De nombreuses menaces sont difficiles à identifier sans une image cohérente de l’ensemble de votre environnement d’identité.

  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Comment : Déployez et activez Microsoft Defender pour Identity, puis passez en revue toutes les alertes ouvertes.

  • Résultats des clés de mesure : Toutes les alertes ouvertes examinées et atténuées par les équipes appropriées.

Améliorer l’expérience de gestion des informations d’identification

Implémenter et documenter la réinitialisation de mot de passe en libre-service et l’inscription d’informations de sécurité combinée

  • Quoi : Activez et configurez la réinitialisation de mot de passe en libre-service (SSPR) dans votre organisation et activez l’inscription d’informations de sécurité combinée.
  • Pourquoi : Les utilisateurs sont en mesure de réinitialiser leurs propres mots de passe une fois qu’ils sont inscrits. L'enregistrement combiné des informations de sécurité offre une meilleure expérience à l'utilisateur en lui permettant de s'enregistrer pour l'authentification multifactorielle Microsoft Entra et la réinitialisation du mot de passe en libre-service. Quand ils sont utilisés conjointement, ces outils contribuent à réduire les coûts de support technique et à améliorer la satisfaction des utilisateurs.
  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Comment : Pour activer et déployer la réinitialisation de mot de passe en libre-service (SSPR), consultez l’article Planifier un déploiement de la réinitialisation de mot de passe en libre-service Microsoft Entra.
  • Résultats des clés de mesure : La réinitialisation de mot de passe en libre-service est entièrement configurée et disponible pour l’organisation

Protéger les comptes administrateurs - Activer et exiger le MFA / sans mot de passe pour les utilisateurs privilégiés de Microsoft Entra ID

  • Quoi : Exigez que tous les comptes privilégiés dans Microsoft Entra ID utilisent l’authentification multifacteur renforcée

  • Pourquoi : Pour protéger l’accès aux données et aux services dans Microsoft 365.

  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Comment : Activez l’authentification multifacteur de Microsoft Entra et inscrivez tous les autres comptes d’administrateur non fédérés mono-utilisateurs hautement privilégiés. Exigez l’authentification multifacteur lors de la connexion de tous les utilisateurs individuels qui sont en permanence affectés à un ou plusieurs rôles d’administrateur Microsoft Entra.

    Demandez aux administrateurs d’utiliser des méthodes de connexion sans mot de passe comme les clés de sécurité FIDO2 ou Windows Hello Entreprise conjointement avec des mots de passe uniques, longs et complexes. Appliquez ce changement avec un document de stratégie d’organisation.

Suivez les instructions fournies dans les articles Planifier un déploiement d’authentification multifacteur Microsoft Entra et Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID.

  • Résultats des clés de mesure : 100 % des utilisateurs disposant de privilèges utilisent l’authentification sans mot de passe ou une forme forte d’authentification multifacteur pour toutes les ouvertures de session. Consultez Comptes d’accès privilégié pour obtenir une description de l’authentification multifacteur

Bloquer les protocoles d’authentification hérités pour les comptes d’utilisateurs privilégiés

  • Quoi : Bloquer l’utilisation de protocoles d’authentification hérités pour les comptes d’utilisateurs privilégiés.

  • Pourquoi : les organisations doivent bloquer ces protocoles d’authentification hérités, car l’authentification multifacteur ne peut pas y être appliquée. Laisser des protocoles d’authentification hérités activés peut créer un point d’entrée pour les attaquants. Il est possible que certaines applications héritées reposent sur ces protocoles et les organisations ont la possibilité de créer des exceptions spécifiques pour certains comptes. Ces exceptions doivent être suivies et des contrôles de supervision supplémentaires doivent être implémentés.

  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.

  • Comment : Pour bloquer des protocoles d’authentification hérités dans votre organisation, suivez les instructions fournies dans l’article Guide pratique pour bloquer l’authentification héritée pour Microsoft Entra ID avec l’accès conditionnel.

  • Résultats des clés de mesure :

    • Protocoles hérités bloqués : Tous les protocoles hérités sont bloqués pour tous les utilisateurs, avec uniquement des exceptions autorisées
    • Les exceptions sont examinées tous les 90 jours et expirent définitivement dans un délai d’un an. Les propriétaires d’applications doivent corriger toutes les exceptions dans un délai d’un an après l’approbation de la première exception
  • Quoi : désactiver le consentement de l’utilisateur final pour les applications Microsoft Entra.

Remarque

Ce changement nécessite de centraliser le processus de prise de décision avec les équipes d’administration de la sécurité et des identités de votre organisation.

Nettoyer les risques liés aux comptes et aux connexions

  • Quoi : Activez Protection des ID Microsoft Entra et nettoyez tous les risques qu’il détecte.
  • Pourquoi : L’utilisateur à risque et le comportement de connexion peuvent être une source d’attaques contre votre organisation.
  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Comment : Créez un processus qui supervise et gère les risques liés à l’utilisateur et à la connexion. Décidez si vous automatisez la correction, en utilisant SSPR et l’authentification multifacteur Microsoft Entra, ou bloquez et exigez une intervention de l’administrateur. Suivez les instructions dans l’article Guide pratique pour Configurer et activer des stratégies de risque.
  • Résultats des clés de mesure : L’organisation n’a aucun risque lié aux utilisateurs et aux connexions non traité.

Remarque

Des stratégies d’accès conditionnel sont nécessaires pour bloquer l’accumulation de nouveaux risques liés aux connexions. Consultez la section Accès conditionnel figurant dans Déploiement de l’accès privilégié

Déploiement initial de stations de travail administrateur

  • Quoi : Les comptes privilégiés comme ceux qui gèrent Microsoft Entra ID disposent de stations de travail dédiées à partir desquelles effectuer les tâches d’administration.
  • Pourquoi : Les appareils sur lesquels les tâches d’administration privilégiée sont effectuées sont une cible des attaquants. Il est essentiel de sécuriser non seulement le compte mais également ces ressources pour réduire votre surface d’attaque. Cette séparation limite l’exposition aux attaques courantes dirigées contre les tâches liées à la productivité comme les e-mails et la navigation sur le web.
  • Qui : Cette initiative est généralement menée par l’équipe Gestion des identités et des clés et/ou Architecture de la sécurité.
  • Comment : Le déploiement initial doit être effectué au niveau de l’entreprise, comme décrit dans l’article Déploiement de l’accès privilégié
  • Résultats des clés de mesure : Chaque compte privilégié dispose d’une station de travail dédiée à partir de laquelle effectuer les tâches sensibles.

Remarque

Cette étape établit rapidement une base de référence de sécurité et doit être passée aux niveaux spécialisé et privilégié dès que possible.

Étapes suivantes