Le service Active Directory Security (ADS) : Accompagner la sécurisation des annuaires Active directory des acteurs critiques

Les prestations d'audit effectuées par l'ANSSI auprès de ses bénéficiaires (OIV, OSE, administrations) font apparaitre un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory provoquant un affaiblissement significatif du niveau global de sécurité de ces systèmes d’information. Face à ce constat, l’ANSSI a développé une nouvelle capacité dont l'objectif est d'auditer, à la demande des opérateurs règlementés et de la sphère publique, et de manière autonome, le niveau de sécurité des annuaires Active Directory.

Publié le 24 Janvier 2020 Mis à jour le 24 Janvier 2020

L'annuaire Active Directory (AD) est un élément critique permettant la gestion centralisée de l'ensemble des permissions sur les différents domaines qui composent un système d’information (SI) Microsoft. L'obtention de privilèges élevés sur l'AD entraîne par conséquent une prise de contrôle instantanée et complète de tout le SI.

Développé par l’ANSSI, le service ADS (Active Directory Security) met à disposition des opérateurs règlementés et de la sphère publique une capacité d’audit des annuaires AD visant à leur donner de la visibilité sur le niveau de sécurité de leur annuaire et à les accompagner dans son durcissement par l’application progressive de mesures adéquates, avec un suivi dans le temps.

Le service ADS permet ainsi de bénéficier :

  • Pour la chaine SSI d’une vue globale et synthétique du niveau de sécurité, à travers des tableaux de bord et des indicateurs associés.
  • Aux équipes d’exploitation de recommandations à appliquer et d’un accompagnement dans le pilotage de leurs équipes techniques et/ou de leurs prestataires.

La présentation proposée des résultats peut également être un outil d’aide à la décision à destination des dirigeants pour appréhender rapidement le niveau de maturité d’une partie critique de son système.

Une approche ludique et personnalisée

Lors de l’inscription sur la plateforme, un premier diagnostic est réalisé sur la base des informations transmises par le bénéficiaire en utilisant l’outil de collecte ORADAD.

A l’issue de cette première action, le niveau de sécurité de la configuration de l’Active Directory est traduit par un niveau qui se situe sur une échelle de 1 à 5. Le niveau obtenu dépend de la gravité des vulnérabilités trouvées, le niveau 1 étant synonyme de défauts critiques et le niveau 5 d’un niveau à l’état de l’art.

Chaque niveau donne accès à une liste de recommandations adaptées pour corriger les problèmes importants (vulnérabilité critiques) et autres points d’attention à intégrer. L’évolution relative à chaque niveau est quantifiée par un score et représentée sur l’interface graphique par une barre de progression.

L’application de l’ensemble des recommandations portant sur les points importants d’un niveau permet de passer au niveau supérieur et d’accéder à une collection complémentaire de recommandations.

Ce service proposé par l’agence s’intègre dans une démarche plus globale d’ouverture et de partage d’outils permettant d’accompagner la sécurisation des opérateurs règlementés et de la sphère publique. Un portail en ligne appelé Club SSI regroupant ces différentes prestations est actuellement en cours de développement. Une première version est aujourd’hui disponible via le RIE (Réseau Interministériel de l’État) pour les entités publiques.