Méthodologie de Cloisonnement du Système d'Information
L'implémentation d'un modèle de tiering ne peut se faire de manière spontanée ou anarchique. Elle requiert une méthodologie rigoureuse, structurée et progressive qui tient compte de la réalité opérationnelle de l'organisation. La démarche proposée repose sur un processus itératif d'amélioration continue, permettant d'obtenir des gains de sécurité progressifs tout en minimisant les impacts sur les opérations quotidiennes.
Une Approche Itérative et Pragmatique
Le cloisonnement d'un système d'information complexe selon le modèle de tiering n'est pas un projet ponctuel avec un début et une fin clairement définis. Il s'agit plutôt d'une démarche d'amélioration continue qui s'inscrit dans la durée. Cette approche itérative présente plusieurs avantages décisifs :
- Réduction des risques de disruption : En procédant par étapes progressives, l'organisation évite les changements massifs qui pourraient perturber gravement les opérations métier ou créer des interruptions de service prolongées.
- Apprentissage progressif : Chaque itération permet aux équipes d'acquérir de l'expérience, d'identifier les difficultés spécifiques à leur environnement, et d'ajuster leur approche pour les itérations suivantes.
- Gains rapides : Dès les premières itérations, focalisées sur les éléments les plus critiques (Tier 0), l'organisation bénéficie d'améliorations significatives de sa posture de sécurité.
- Adaptation au contexte : L'approche itérative permet d'adapter continuellement le modèle aux évolutions de l'infrastructure, aux changements organisationnels, et à l'émergence de nouvelles menaces.
- Gestion facilitée du changement : Les équipes et les utilisateurs disposent du temps nécessaire pour s'adapter progressivement aux nouvelles contraintes et procédures.
Les Deux Phases du Cycle Itératif
Chaque itération du processus d'amélioration se décompose en deux phases complémentaires qui doivent être exécutées de manière équilibrée.
Phase 1 : Étude et Analyse
Cette phase analytique constitue le socle sur lequel reposera l'ensemble des actions de sécurisation. Elle comprend plusieurs activités essentielles :
Identification des périmètres :
- Identification exhaustive des ressources constituant le Tier 0 (contrôleurs de domaine, comptes privilégiés, infrastructures support)
- Délimitation précise du périmètre Tier 1 en fonction des valeurs métier de l'organisation
- Classification des postes de travail et moyens d'accès dans le Tier 2
- Identification des zones grises nécessitant une analyse approfondie pour déterminer leur catégorisation
Analyse des chemins d'attaque :
- Cartographie des chemins de contrôle existants dans Active Directory à l'aide d'outils spécialisés comme BloodHound
- Identification des comptes disposant de privilèges excessifs ou inappropriés
- Analyse des délégations de droits et des appartenances aux groupes privilégiés
- Évaluation de la dissémination des secrets d'authentification (où les mots de passe et tickets sont-ils stockés et utilisés ?)
- Identification des chemins indirects via les infrastructures de virtualisation, de stockage et de sauvegarde
Catégorisation détaillée :
- Attribution d'un niveau de tier à chaque ressource identifiée : serveur, poste de travail, compte utilisateur, groupe de sécurité
- Documentation des justifications pour chaque catégorisation, particulièrement pour les cas ambigus
- Création d'un référentiel de catégorisation qui servira de base pour les décisions futures
- Validation des catégorisations avec les responsables métier et techniques concernés
Phase 2 : Actions et Implémentation
Sur la base des analyses effectuées dans la première phase, la phase d'actions vise à concrétiser le cloisonnement et à réduire les risques identifiés :
Application des bonnes pratiques d'architecture :
- Création d'unités organisationnelles (OU) dédiées pour chaque tier dans Active Directory
- Mise en place de stratégies de groupe (GPO) spécifiques à chaque tier
- Déploiement de postes d'administration dédiés (PAW) pour les tiers sensibles
- Configuration de l'infrastructure réseau pour supporter la segmentation logique
Réduction de l'exposition :
- Élimination des comptes et privilèges inutiles
- Réduction du nombre de ressources catégorisées en Tier 0 au strict minimum
- Limitation des interactions entre les différents tiers
- Désactivation des protocoles et services non essentiels
Durcissement système et logiciel :
- Application de configurations de sécurité renforcées via les GPO
- Activation des mécanismes de protection natifs (Windows Defender Application Control, Credential Guard, Device Guard)
- Déploiement de solutions de protection des points de terminaison (EDR)
- Mise en œuvre de l'authentification multi-facteurs pour les accès privilégiés
Délégation fine des droits :
- Remplacement des privilèges globaux par des délégations ciblées
- Utilisation de Just Enough Administration (JEA) pour PowerShell
- Implémentation de l'accès juste-à-temps (JIT) pour les privilèges temporaires
- Configuration des silos d'authentification pour restreindre l'usage des comptes privilégiés
Traitement des chemins d'attaque :
- Suppression des chemins d'attaque non nécessaires identifiés lors de la phase d'analyse
- Mise en place de contrôles compensatoires pour les chemins qui ne peuvent être éliminés
- Documentation et justification des chemins résiduels acceptés
Pilotage et Gouvernance du Processus
Le succès de la démarche itérative repose sur un pilotage efficace et une gouvernance claire. Les éléments suivants sont essentiels :
- Sponsor exécutif : Un membre de la direction générale doit porter le projet et assurer son soutien visible auprès de toutes les parties prenantes.
- Équipe de pilotage : Une équipe restreinte disposant d'une vision transverse du système d'information doit être constituée pour piloter la démarche. Cette équipe doit inclure des représentants de la sécurité, des opérations IT, et des métiers.
- Indicateurs de progression : Des métriques doivent être définies pour mesurer objectivement les progrès réalisés : nombre de chemins d'attaque critiques éliminés, pourcentage de ressources Tier 0 sécurisées, taux de conformité aux politiques de sécurité, etc.
- Révision régulière : Des points de contrôle périodiques doivent être organisés pour évaluer l'avancement, identifier les obstacles, et ajuster le plan d'action si nécessaire.
- Communication continue : Une communication transparente et régulière vers l'ensemble des parties prenantes est indispensable pour maintenir l'adhésion et gérer les résistances.
Périmètre d'Application du Modèle
La définition précise du périmètre d'application du modèle de tiering constitue une étape fondamentale qui conditionnera l'efficacité de l'ensemble de la démarche.
La Forêt comme Frontière de Sécurité
Principe Fondamental
Dans Active Directory, la forêt, et non le domaine, constitue la véritable frontière de sécurité. Cette distinction est cruciale et sa méconnaissance est à l'origine de nombreuses failles de sécurité.
Plusieurs raisons techniques expliquent pourquoi la forêt doit être considérée comme le périmètre de sécurité :
- Les groupes Enterprise Admins et Schema Admins : Ces groupes, définis au niveau de la forêt, disposent de privilèges qui s'étendent à tous les domaines de la forêt.
- Le schéma Active Directory : Il est unique et partagé par tous les domaines de la forêt. Un administrateur capable de modifier le schéma peut potentiellement impacter tous les domaines.
- Le catalogue global : Les serveurs de catalogue global répliquent des informations de tous les domaines de la forêt, créant des dépendances de sécurité.
- Les relations d'approbation transitives : Par défaut, les domaines au sein d'une même forêt se font mutuellement confiance de manière transitive, créant des chemins de privilèges potentiels.
- Les partitions de configuration et de schéma : Ces partitions sont répliquées sur tous les contrôleurs de domaine de la forêt, créant des vecteurs d'attaque potentiels.
Cas des Environnements Multi-Forêts
Dans les environnements complexes comportant plusieurs forêts Active Directory, la définition du périmètre devient plus délicate et dépend de plusieurs facteurs :
Relations d'approbation entre forêts :
- Forêts sans relation d'approbation : Chaque forêt peut être traitée comme un périmètre indépendant
- Forêts avec approbation unidirectionnelle : Le périmètre peut rester distinct si le filtrage SID est activé et si l'approbation est correctement configurée
- Forêts avec approbation bidirectionnelle : Le périmètre de sécurité devrait idéalement englober toutes les forêts interconnectées
Synchronisation d'identités :
Si des mécanismes de synchronisation d'identités (comme Microsoft Identity Manager) sont en place entre les forêts, cela crée des dépendances de sécurité qui doivent être prises en compte dans la définition du périmètre.
Partage de ressources :
L'existence de ressources partagées entre forêts (serveurs, applications, données) influence la définition du périmètre et peut nécessiter une approche coordonnée du tiering entre les forêts.
Identification et Catégorisation des Ressources
Le processus d'identification et de catégorisation des ressources constitue le cœur de la phase d'analyse. Il doit être mené avec rigueur et méthode pour garantir l'efficacité du cloisonnement.
Identification des Valeurs Métier
Avant de pouvoir catégoriser les ressources techniques, il est indispensable d'identifier clairement les valeurs métier de l'organisation. Cette démarche implique :
- Recensement des missions critiques : Quelles sont les activités essentielles à la survie et au fonctionnement de l'organisation ?
- Identification des processus métier : Quels processus supportent ces missions critiques ?
- Cartographie des applications et données : Quelles applications et quelles données sont nécessaires à l'exécution de ces processus ?
- Analyse d'impact : Quel serait l'impact d'une indisponibilité, d'une altération ou d'une divulgation de ces ressources ?
- Priorisation : Établissement d'une hiérarchie des valeurs métier pour prioriser les efforts de protection
Cette analyse métier, souvent négligée dans les projets purement techniques, est pourtant essentielle pour justifier les investissements de sécurité et obtenir l'adhésion des responsables métier.
Catégorisation des Objets Active Directory
Une fois les valeurs métier identifiées, tous les objets de l'Active Directory doivent être catégorisés dans l'un des trois tiers. Cette catégorisation concerne :
| Type d'Objet | Critères de Catégorisation | Exemples |
|---|---|---|
| Comptes utilisateurs | Privilèges maximum détenus, ressources administrées | Compte Domain Admin → Tier 0 Compte admin serveur ERP → Tier 1 Compte utilisateur standard → Tier 2 |
| Comptes d'ordinateurs | Type de système, rôle dans l'infrastructure | Contrôleur de domaine → Tier 0 Serveur de base de données métier → Tier 1 Poste de travail utilisateur → Tier 2 |
| Groupes de sécurité | Privilèges accordés au groupe, ressources accessibles | Domain Admins → Tier 0 Admins serveurs applicatifs → Tier 1 Utilisateurs bureautique → Tier 2 |
| Unités organisationnelles | Objets contenus et GPO appliquées | OU Tier 0 → contient objets Tier 0 OU Serveurs Métier → Tier 1 OU Postes Utilisateurs → Tier 2 |
Principes de Catégorisation
Plusieurs principes guident le processus de catégorisation pour garantir sa cohérence et son efficacité :
Principe du Maillon le Plus Faible
Lorsqu'un compte possède des privilèges sur plusieurs tiers, il doit être catégorisé au niveau du tier le plus élevé sur lequel il dispose de privilèges. Par exemple, un compte disposant de privilèges administratifs à la fois sur des serveurs Tier 1 et sur un contrôleur de domaine (Tier 0) doit impérativement être catégorisé en Tier 0.
Principe de la Chaîne de Contrôle
Une ressource doit être catégorisée au même niveau que la ressource la plus sensible qu'elle peut contrôler. Par exemple, un hyperviseur hébergeant des machines virtuelles Tier 0 doit lui-même être catégorisé en Tier 0, car sa compromission permettrait de compromettre les VM qu'il héberge.
Principe de Conservation des Secrets
Tout système sur lequel des secrets d'authentification d'un tier donné peuvent être stockés, même temporairement, doit être catégorisé au même niveau de tier. Cela concerne notamment la mémoire RAM où les condensats de mots de passe et les tickets Kerberos peuvent résider.
Gestion des Secrets d'Authentification
La maîtrise de la dissémination des secrets d'authentification constitue l'un des piliers fondamentaux du modèle de tiering. Un secret d'authentification mal contrôlé peut anéantir tous les efforts de cloisonnement.
Types de Secrets d'Authentification
Dans un environnement Active Directory, plusieurs types de secrets doivent être protégés :
- Mots de passe en clair : Rarement stockés mais peuvent transiter lors de certaines authentifications ou être présents temporairement en mémoire
- Condensats NTLM (hashes) : Formes dérivées des mots de passe, stockées dans la base SAM locale et dans la base NTDS.dit des contrôleurs de domaine, utilisables pour l'authentification sans connaître le mot de passe original
- Tickets Kerberos : Tickets TGT (Ticket-Granting Ticket) et TGS (Ticket-Granting Service) stockés temporairement en mémoire et réutilisables pour accéder aux ressources
- Clés privées de certificats : Utilisées pour l'authentification par certificat, souvent stockées dans le magasin de certificats Windows ou sur des cartes à puce
- Clés SSH : Dans les environnements hybrides incluant des systèmes Linux, les clés privées SSH peuvent permettre l'accès à des ressources critiques
- Jetons et clés API : De plus en plus utilisés pour l'authentification des services et des applications, ils constituent des secrets d'authentification à part entière
Principe Fondamental de Non-Dissémination
Règle d'Or
Aucun secret d'authentification d'un tier ne doit jamais être accessible, saisi, stocké ou traité sur un tier de niveau inférieur.
Concrètement, cela signifie :
- Un mot de passe Tier 0 ne doit JAMAIS être saisi sur un système Tier 1 ou Tier 2
- Un ticket Kerberos d'un compte Tier 0 ne doit JAMAIS résider en mémoire d'un système Tier 1 ou Tier 2
- Un condensat NTLM d'un compte Tier 0 ne doit JAMAIS être stocké sur un système autre que Tier 0
Le non-respect de ce principe crée un chemin d'attaque direct : si un attaquant compromet un système de niveau inférieur et y trouve des secrets de niveau supérieur, tout le cloisonnement devient inefficace.
Techniques de Protection des Secrets
Plusieurs techniques et technologies permettent de protéger efficacement les secrets d'authentification :
LAPS (Local Administrator Password Solution) :
LAPS est une solution Microsoft gratuite permettant la gestion automatique des mots de passe des comptes administrateurs locaux. Elle offre plusieurs avantages critiques :
- Génération automatique de mots de passe complexes et uniques pour chaque système
- Rotation régulière des mots de passe selon une politique configurable
- Stockage sécurisé des mots de passe dans Active Directory avec contrôle d'accès granulaire
- Élimination du problème des mots de passe administrateurs locaux identiques sur tous les postes
- Journalisation des accès aux mots de passe pour la traçabilité
Managed Service Accounts (MSA et gMSA) :
Les comptes de service gérés éliminent le besoin de gérer manuellement les mots de passe des comptes de service :
- Renouvellement automatique des mots de passe sans intervention humaine
- Impossibilité d'utiliser le compte pour une ouverture de session interactive
- Gestion simplifiée des SPN (Service Principal Names)
- Pour les gMSA : possibilité d'utiliser le même compte sur plusieurs serveurs
Credential Guard :
Credential Guard est une fonctionnalité de sécurité de Windows qui utilise la virtualisation pour protéger les secrets d'authentification :
- Isolation des secrets dans un environnement virtualisé (VSM - Virtual Secure Mode)
- Protection contre les attaques de type Pass-the-Hash
- Nécessite du matériel supportant la virtualisation et UEFI Secure Boot
Remote Credential Guard :
Extension de Credential Guard pour les sessions RDP, protégeant les identifiants lors des connexions à distance :
- Les identifiants ne sont jamais transmis au système distant
- Réduction drastique du risque de vol d'identifiants lors de sessions d'administration distante
Gestion des Mots de Passe dans les Scripts et GPP
Une source fréquente de fuite de secrets provient du stockage inadéquat de mots de passe dans des emplacements accessibles :
Dangers des Mots de Passe en Clair
Scripts dans SYSVOL :
Le dossier SYSVOL, répliqué sur tous les contrôleurs de domaine et accessible en lecture à tous les utilisateurs authentifiés du domaine, ne doit JAMAIS contenir de scripts incluant des mots de passe, même obfusqués. Un attaquant ayant simplement un compte utilisateur standard peut accéder à ces scripts.
Group Policy Preferences (GPP) :
Les versions anciennes de Windows Server permettaient de stocker des mots de passe dans les GPP pour automatiser certaines configurations. Ces mots de passe étaient chiffrés avec une clé AES publiquement documentée par Microsoft, les rendant trivialement déchiffrables. Il est impératif de :
- Installer le correctif KB2962486 qui empêche la création de nouvelles GPP avec mots de passe
- Auditer le SYSVOL pour identifier et supprimer les GPP historiques contenant des mots de passe
- Remplacer ces mots de passe compromis sur tous les systèmes où ils étaient utilisés
Analyse des Chemins d'Attaque
L'identification et le traitement des chemins d'attaque vers les ressources sensibles constituent un élément central de la démarche de cloisonnement. Un chemin d'attaque représente une séquence de faiblesses ou de relations que peut exploiter un attaquant pour progresser depuis un point d'entrée initial vers une cible privilégiée.
Outils d'Analyse des Chemins d'Attaque
Plusieurs outils permettent d'identifier automatiquement les chemins d'attaque dans Active Directory :
BloodHound :
BloodHound est devenu l'outil de référence pour l'analyse des chemins d'attaque Active Directory. Il fonctionne en deux temps :
- Collecte de données : Un collecteur (SharpHound) interroge Active Directory pour recueillir des informations sur les relations entre objets : appartenances aux groupes, délégations, sessions actives, etc.
- Analyse graphique : Les données collectées sont importées dans une base de données graphe (Neo4j) permettant d'interroger visuellement les relations et d'identifier les chemins vers les objets sensibles
BloodHound peut identifier des chemins d'attaque complexes impliquant plusieurs sauts et relations qui seraient impossibles à détecter manuellement.
Purple Knight (anciennement Semperis Directory Services Protector) :
Cet outil commercial analyse la configuration Active Directory et identifie les vulnérabilités et les écarts par rapport aux bonnes pratiques de sécurité.
PingCastle :
Outil gratuit fournissant une évaluation de la sécurité Active Directory avec un focus sur les risques et les indicateurs de santé.
Types de Chemins d'Attaque Courants
Les chemins d'attaque vers les ressources Tier 0 empruntent généralement l'une des formes suivantes :
- Appartenances aux groupes privilégiés : Un compte Tier 2 membre (directement ou indirectement) d'un groupe privilégié Tier 0
- Délégations de contrôle : Droits accordés à des comptes de niveau inférieur sur des objets de niveau supérieur (par exemple, droit de réinitialiser le mot de passe d'un compte Tier 0)
- Sessions administratives : Un administrateur Tier 0 ouvrant une session sur un système Tier 1 ou Tier 2, exposant ses identifiants
- Propriété d'objets : Un compte de niveau inférieur propriétaire d'un objet de niveau supérieur peut modifier ses permissions
- GPO appliquées : Une GPO modifiable par un compte de niveau inférieur mais appliquée à des objets de niveau supérieur
- Relations d'approbation : Chemins transitifs à travers des relations d'approbation mal configurées
- Délégations Kerberos : Comptes configurés avec une délégation non contrainte pouvant usurper l'identité d'autres comptes
- Accès aux infrastructures support : Accès administratifs aux hyperviseurs, aux baies de stockage, ou aux systèmes de sauvegarde hébergeant des ressources Tier 0
Méthodologie de Traitement
Pour chaque chemin d'attaque identifié, une démarche systématique doit être appliquée :
- Évaluation du risque : Quel est la probabilité d'exploitation ? Quel serait l'impact ? Y a-t-il des contrôles compensatoires ?
- Identification de solutions : Quelles actions permettraient d'éliminer ou de réduire ce chemin d'attaque ?
- Analyse d'impact : Quels seraient les impacts opérationnels de ces solutions ?
- Décision : Éliminer le chemin, mettre en place des contrôles compensatoires, ou accepter le risque résiduel de manière documentée et validée
- Implémentation : Déploiement de la solution retenue
- Vérification : Confirmation que le chemin d'attaque a bien été éliminé ou réduit
- Documentation : Consignation de l'analyse, de la décision et des actions dans un registre des risques
Approche Pragmatique
Il est irréaliste de viser l'élimination de 100% des chemins d'attaque, particulièrement dans les grands environnements complexes. L'objectif est de traiter en priorité les chemins les plus critiques et les plus facilement exploitables, tout en documentant et en justifiant les chemins résiduels acceptés avec des contrôles compensatoires appropriés.
Infrastructures Support et Chemins Indirects
Une erreur fréquente dans la mise en œuvre du modèle de tiering consiste à se concentrer exclusivement sur les serveurs et les comptes Active Directory, en négligeant les infrastructures support qui constituent pourtant des chemins d'attaque majeurs.
Infrastructures de Virtualisation
Dans les environnements modernes, la grande majorité des serveurs sont virtualisés. Cette virtualisation crée des dépendances de sécurité critiques :
Principe de catégorisation :
Un hyperviseur hébergeant ne serait-ce qu'une seule machine virtuelle Tier 0 doit lui-même être catégorisé en Tier 0. En effet, un attaquant ayant compromis l'hyperviseur peut :
- Accéder à la mémoire des VM hébergées, extrayant les secrets d'authentification
- Modifier les fichiers de configuration ou les disques virtuels des VM
- Créer des snapshots des VM pour une analyse hors ligne
- Intercepter les communications réseau entre les VM
Conséquences :
Cette exigence a des implications importantes :
- Les hyperviseurs Tier 0 doivent être administrés uniquement depuis des postes d'administration Tier 0
- Idéalement, les VM Tier 0 devraient être hébergées sur des hyperviseurs dédiés, distincts de ceux hébergeant des VM de niveaux inférieurs
- Si une mutualisation est inévitable, des contrôles compensatoires stricts doivent être mis en place
Infrastructures de Stockage
Les baies de stockage SAN ou NAS hébergeant des données Tier 0 doivent également être catégorisées en Tier 0 :
- Accès aux LUN ou volumes contenant des disques de VM Tier 0
- Possibilité de créer des snapshots ou des clones du stockage
- Accès potentiel aux données au repos si le chiffrement n'est pas activé
Systèmes de Sauvegarde
Les systèmes de sauvegarde représentent un chemin d'attaque souvent négligé mais particulièrement dangereux :
- Les sauvegardes contiennent des copies complètes des systèmes, incluant potentiellement des secrets d'authentification
- Les sauvegardes de contrôleurs de domaine contiennent la base NTDS.dit avec tous les condensats de mots de passe
- Un attaquant accédant aux sauvegardes peut restaurer un contrôleur de domaine dans un environnement contrôlé pour extraire les secrets
Mesures de protection :
- Catégorisation des systèmes de sauvegarde du Tier 0 en Tier 0
- Chiffrement obligatoire de toutes les sauvegardes
- Contrôle d'accès strict aux médias de sauvegarde et aux clés de chiffrement
- Séparation physique des sauvegardes Tier 0
- Journalisation et surveillance de tous les accès aux sauvegardes Tier 0
Conclusion du Chapitre
Les concepts et principes présentés dans ce chapitre constituent le socle théorique et méthodologique sur lequel repose l'implémentation pratique du modèle de tiering. La compréhension approfondie de ces concepts est essentielle avant d'aborder les aspects techniques détaillés de l'implémentation de chaque tier.
Les chapitres suivants détailleront l'implémentation concrète du modèle, en commençant par le Tier 0 qui requiert l'attention et les contrôles les plus stricts, puis en abordant les Tiers 1 et 2, et enfin en présentant les bonnes pratiques de gestion et de maintenance pour assurer la pérennité du modèle.
Il est important de garder à l'esprit que le modèle de tiering n'est pas une solution miracle qui élimine tous les risques, mais plutôt un cadre structuré qui, lorsqu'il est correctement implémenté et maintenu, réduit considérablement la surface d'attaque et limite la capacité des attaquants à progresser dans le système d'information.