Gérer l'identité des utilisateurs distants avec Azure Active Directory

Avec la pandémie, les administrateurs ont compris que la gestion des identités était primordiale pour garantir la sécurité d’un réseau. Si votre entreprise n’a pas encore mis les identités en tête de ses priorités, il est temps qu’elle le fasse. Et si vos identités sont gérées dans une optique « sur site » mais que vous prenez en charge du personnel distant, il est peut-être temps de revoir votre approche. Si vous travaillez dans le secteur IT depuis un certain temps, vous avez probablement déjà utilisé Active Directory (AD) de Microsoft. Introduit en 1999, Active Directory Domain Services (AD DS) est la pierre angulaire de nombreux réseaux. Il stocke des informations sur les périphériques et les utilisateurs d'un domaine et vérifie leurs identifiants et leurs droits sur le réseau.

AD DS a été la référence en matière de configuration des réseaux et d’authentification des utilisateurs par les administrateurs. Avant 2020, les services cloud ne représentaient qu’une part minime des besoins quotidiens en matière de réseaux. Mais la pandémie de Covid-19 a tout bousculé et tous les plans technologiques quinquennaux visant à assurer une meilleure intégration entre les domaines physiques et les applications cloud ont été comprimés avant de devenir nécessaires. Soudain, les entreprises ont eu besoin d’une solution permettant de s’extraire du réseau physique, capable de prendre en charge l'authentification avec les services cloud. Elles ont eu besoin de connecter et de contrôler les ordinateurs utilisés à domicile par leurs employés et de leur permettre d'accéder à leurs réseaux.

L’adoption d’Azure Active Directory en hausse

Dans ce contexte, Azure Active Directory (Azure AD) s’est imposé comme la plateforme incontournable pour prendre en charge les utilisateurs et leurs besoins dans leur nouvel environnement de travail à domicile. D’autant que ce travail à domicile devrait perdurer même après la fin de la pandémie. Dans un article de blog récent sur cette évolution, Joy Chik, la vice-présidente de Microsoft Identity, indique que l’usage d'Azure AD App Gallery a augmenté de 109 % par rapport à l'année dernière, la plupart des applications étant dépendantes de l'accès à distance au réseau. Et ce sont les applications proxy, ou la livraison d'applications et les contrôleurs de réseau et les VPN, qui ont connu la plus forte croissance. Le service Azure AD Application Proxy, qui permet aux entreprises d’accéder à distance à des applications critiques sur site, a connu une croissance considérable. Mme Chik a expliqué que la sécurité des identités était désormais une exigence de premier plan pour les entreprises. Les gros titres expliquant comment les pirates ont obtenu un accès persistant à un réseau en attaquant les utilisateurs, les consultants et surtout l'accès à distance, ne permettent pas d’avoir de doute à ce sujet. Pour les protéger, il est impératif de concevoir ses réseaux en acceptant le fait que les attaquants y accéderont à un moment ou à un autre.

Une passerelle avec Authentificator

Microsoft qualifie cette attitude de « violation assumée ». Cela signifie que toute entreprise doit faire en sorte de vérifier l'identité de manière explicite. Aujourd’hui, les attaquants ne sont plus à proprement parler des pirates : ils se connectent avec des identifiants qu'ils ont collectés. Pour sécuriser l'accès à son réseau, l’entreprise, peut commencer par connecter le réseau et les applications à Azure AD. Cela peut faciliter le déploiement de la technologie d'authentification unique sécurisée SSO (Single Sign-On) et favoriser l’usage de mots de passe plus forts et de contrôles obligatoires. Elle peut également ajouter une authentification multifactorielle (MFA) et des politiques d'accès conditionnel aux anciennes applications sur site en utilisant le proxy d'application Azure AD Application Proxy.

Comme le fait remarquer Mme Chik dans son blog, l’entreprise doit s’assurer que l'authentification multifactorielle est activée. Elle peut utiliser l'application Authenticator pour effectuer l’authentification à deux facteurs et en faire son gestionnaire de facto de synchronisation des mots de passe. Les mots de passe utilisés dans le navigateur Edge seront automatiquement synchronisés dans Authenticator. On peut se simplifier la vie en choisissant des applications qui utilisent toutes le même service d'authentification et dans le cas présent, qui supportent toutes la solution de Microsoft. Certes, la plupart des gens ont toujours un téléphone avec eux, mais ils peuvent oublier le jeton à deux facteurs. Si bien que l'aspect pratique de l'application Authenticator ne peut être négligé.

Sécuriser les identités avec Azure AD Application Proxy

Microsoft a récemment lancé l'aperçu public d'Azure AD Application Proxy qui prend en charge l'authentification basée sur l’en-tête. Avant cela, il fallait compter sur des services tiers pour publier des applications d'accès à distance via Azure AD. L’entreprise peut renforcer sa posture de sécurité en s’assurant que toutes les applications qu’elle fournit à ses utilisateurs distants par le biais d'un VPN peuvent être publiées et proposées en tant qu'applications distantes via Azure AD Application Proxy. Cela oblige à un choix plus rigoureux des mots de passe et permet d'appliquer des politiques d'accès conditionnel plus granulaires, même aux anciennes applications. Les entreprises ont encore du mal à abandonner les mots de passe pour des techniques plus sécurisées, que ce soit Windows Hello for Business, Authenticator ou des outils comme Yubico YubiKeys. Mais, depuis le lancement de Windows 10, les utilisateurs ont de plus en plus recours aux codes PIN. Parce que les récents matériels nouvellement achetés prennent en charge des techniques d'authentification plus sûres, l’usage des PIN et de la biométrie pour se connecter a augmenté par rapport aux mots de passe. Pour l’instant, peu d’entreprises ont recours à des techniques sans mot de passe, en partie à cause des déploiements de serveurs anciens qui ne peuvent prendre en charge des processus d'authentification plus forts. La connexion à Azure AD permet à l’entreprise de combler ce fossé et d’introduire des processus d'authentification plus forts.

Mme Chik fait encore remarquer qu'à mesure qu’une entreprise fait l’inventaire de ses applications existantes et qu’elle migre vers des versions plus récentes, elle devrait rechercher et déployer des applications plus sûres. Tout comme la recherche des applications prenant en charge Authenticator, les entreprises devraient rechercher des applications qui prennent en charge Microsoft Authentication Library (MSAL) ou s’assurent que leurs développeurs d'applications fassent en sorte qu’il soit pris en charge par son logiciel interne. Lors de la configuration des applications cloud, je recommande aussi aux entreprises d'utiliser le processus de consentement de l'administrateur pour garantir que seules les applications approuvées par l’entreprise seront connectées à l'accès de ses utilisateurs. Compte tenu de la sécurité actuelle, il n’est plus possible de configurer des applications cloud sans ces politiques de consentement.