SÉCURITÉ BIEN AU-DELÀ

DE LA POLITIQUE DE MOT DE
PASSE ACTIVE DIRECTORY

Un environnement réseau Windows sécurisé requiert que tous les utilisateurs du

domaine utilisent des mots de passe forts. Pour ce faire, un administrateur système
peut mettre en œuvre des stratégies de mot de passe encourageant tous les
utilisateurs à créer des mots de passe fiables et sécurisés. Trois stratégies de mot de
passe — l’âge maximal, la longueur et la complexité du mot de passe - figurent parmi
les premières stratégies rencontrées par les administrateurs et les utilisateurs dans
un domaine Active Directory.

Malgré la possibilité d’appliquer des exigences de mot de passe plus

restrictives, les bonnes pratiques en matière de stratégie de mot de
passe AD ne suffiront pas à protéger une organisation contre les
informations d’identification compromises.

-------------------------------

Sécurité bien au-delà de la politique de mot de passe AD - Page 1/8

L’utilisation abusive d’identifiants est la
clé pour éviter la détection

Le rapport Data Breach Investigations Report (en anglais) de Verizon indique que
81% des violations de données impliquent l’utilisation abusive de mots de passe
pour accéder à des données sensibles et précieuses. En utilisant le nom d’utilisateur
et le mot de passe légitimes d’un employé, vos technologies anti-virus, anti-intrusion,
pare-feu et autres ne signaleront rien d’inhabituel. Ces outils estiment que la personne
accédant à votre réseau est exactement qui elle prétend être: un utilisateur authentifié
avec un accès autorisé!

-------------------------------

Comment les informations

d’identification de connexion sont
compromises sans effort

La plupart des utilisations abusives d’identifiants sont causées (au moins en partie)
par vos utilisateurs finaux, qu’il s’agisse d’erreurs négligentes, d’actions malveillantes
ou d’être exploités par des attaques externes.

Votre organisation dispose peut-être de la stratégie de mot de passe la plus robuste

et offre une formation efficace en matière de sécurité, mais les mots de passe sont
toujours facilement compromis par le maillon de sécurité le plus faible de toute
organisation, à savoir vos propres employés.

Sécurité bien au-delà de la politique de mot de passe AD - Page 2/8

 Les causes communes de la compromission des identifiants

Données issues de la recherche IS Decisions auprès de 500 responsables informatiques.

-------------------------------

Mais ne blâmez pas vos utilisateurs

parce qu’ils sont humains

Les gens sont, de par leur nature même, humains et sont donc enclins à commettre
des erreurs, en particulier lorsque l’on sait que l’informatique amène souvent à réflexion
après coup. Un comportement négligent prend de nombreuses formes: écrire des
mots de passe sur un bout de papier, les partager avec des collègues, laisser les postes
de travail connectés en cas d’absence et se connecter simultanément à partir de deux
appareils et emplacements distincts.

Sécurité bien au-delà de la politique de mot de passe AD - Page 3/8

 D’après notre recherche (en anglais) auprès de
responsables informatiques, il semble y avoir une
explosion de peluches au Royaume-Uni, puisqu’un
quart des administrateurs ont vu des employés cacher
un mot de passe derrière une peluche sur leur bureau.

Mais ce n’est pas toujours un membre du personnel incompétent ou mal préparé qui
ouvre les données d’une entreprise aux pirates informatiques.

Les utilisateurs malveillants sont vos initiés qui ont abandonné leur loyauté de
l’organisation dans laquelle ils travaillent et se sont engagés dans une activité
inappropriée (telle que le piratage informatique, le vol de données, etc.) qui leur est
bénéfique. Les initiés exploitent leurs propres accès accordés ou d’autres comptes
compromis pour exploiter des données et des applications à des fins malveillantes.

L’attaque externe est probablement davantage un membre d’une organisation qu’un

solitaire. Ces personnes exploitent le piratage, les réseaux sociaux, les programmes
malveillants et de nombreux autres outils pour créer un accès à votre réseau. Une
fois à l’intérieur, ils essayent d’obtenir un ou plusieurs ensembles d’informations
d’identification élevées afin de leur fournir un accès plus important et une capacité de
déplacement sur le réseau pour tenter d’identifier des données précieuses. Les attaques
externes exploitent les comptes d’utilisateurs pour prendre le contrôle des ordinateurs
d’extrémité, se déplacer latéralement au sein du réseau et, finalement, obtenir un accès
ciblé à des données précieuses.

Mais au lieu de blâmer vos utilisateurs et d’insister sur des politiques

de mot de passe encore plus strictes, les entreprises doivent mieux
protéger leurs accès au réseau, même lorsque les informations
d’identité sont compromises.

-------------------------------

Sécurité bien au-delà de la politique de mot de passe AD - Page 4/8

Vérifier tous les accès au réseau

Lorsque l’adversaire a des mots de passe valides et autorisés, toutes les tentatives
d’accès doivent être vérifiées. Le secret pour faire cela sans gêner les utilisateurs est la
sécurité contextuelle, telle que UserLock.

Il vous aide à aller bien au-delà des stratégies de mot de passe Active Directory avec
des règles d’accès de connexion spécifiques, granulaires et configurables et de la
surveillance.

En outre, il protège toutes les personnes au sein d’une entreprise - pas seulement les
utilisateurs / administrateurs privilégiés, car tout compte ayant accès à des données
sensibles, privilégiées, protégées ou ayant une autre valeur est en danger.

Les administrateurs peuvent définir des règles définissant le comportement de

connexion «normal», par exemple les connexions depuis des postes de travail
particuliers, des périphériques appartenant aux employés, des lieux, l’heure de
la journée, des connexions simultanées ou le nombre de points d’accès uniques.

Si un attaquant met la main sur un mot de passe Active Directory, qu’il

s’agisse d’un mot simple, comme 123456, ou complexe, comprenant
une combinaison de majuscules, de chiffres et de caractères spéciaux,
il ne sera pas en mesure de l’utiliser, si la tentative de connexion tombe
en dehors de ces règles. Le système refuse automatiquement l’accès
avant que des dommages ne soient causés - pas seulement lorsque le
service informatique intervient.

De même, il peut automatiquement déconnecter une session déjà

active lorsqu’un utilisateur ouvre une nouvelle session ou après
une période d’inactivité définie. Les comportements imprudents des
utilisateurs, tels que le partage de mots de passe, les postes de travail
partagés laissés déverrouillés ou la connexion simultanée à plusieurs
ordinateurs, sont désormais supprimés, de même que les possibilités
sont réduites pour les attaquants.

Sécurité bien au-delà de la politique de mot de passe AD - Page 5/8

 -------------------------------

Choisissez d’alerter sur un accès

suspect
Il existe également des signes avant-coureurs indiquant qu’une personne non
invitée a violé votre réseau avec des informations d’identification compromises. Ces
comportements devraient donner l’alarme que quelque chose ne va pas.

Sécurité bien au-delà de la politique de mot de passe AD - Page 6/8

For example:

Voyages impossibles: connexions simultanées à partir d’emplacements

trop éloignés pour donner un sens ou des connexions séquentielles avec
différentes informations d’identification utilisées sur une seule machine.

Changement soudain des heures de travail / du bureau: tentatives de

connexion en dehors des heures normales de travail.

Réinitialisation du mot de passe: répétition des tentatives de connexion

infructueuses ou réinitialisation du mot de passe.

Accès à distance non plausible: tentatives de connexion à partir d’un type de

session, d’un emplacement ou d’un périphérique improbable.

UserLock peut alerter l’administrateur des événements d’accès suspects, offrant ainsi
la possibilité de réagir instantanément en verrouillant, déconnectant ou réinitialisant à
distance les paramètres appropriés.

Les utilisateurs finaux eux-mêmes peuvent également être informés par des
messages et des alertes personnalisés, y compris des alertes sur leur propre
accès sécurisé. Les employés informés sont une autre ligne de défense.

Sécurité bien au-delà de la politique de mot de passe AD - Page 7/8

 De plus, avec UserLock, l’accès à toutes les données / ressources est désormais
toujours identifiable et attribué à un utilisateur individuel. Cette responsabilité
dissuade un initié d’agir de manière malveillante et rend tous les utilisateurs plus
attentifs à leurs actes.

-------------------------------

Protéger les mots de passe Active

Directory

Sachant à quel point les informations d’identification sont utilisées de manière abusive
dans les violations de données, les entreprises doivent offrir davantage de sécurité
qu’une stratégie de mot de passe Active Directory forte. Aucune technologie ne peut
éliminer complètement le risque d’une attaque, mais UserLock vous aidera à réduire le
risque de compromission des informations d’identification AD.

Vous hésitez encore?

ESSAI GRATUIT