Finie l'administration compliquée de l'Active Directory, de l'Exchange ! Finie la maintenance de l'infrastructure ! Mais finie la réponse à incident maîtrisée...
Reporter les aspects techniques d'une infrastructure - réseau, serveurs, stockage - sur un prestataire est alléchant. Sur le papier, cela libère les équipes opérationnelles de tâches chronophages. L'administration ne disparaît pas, mais est abstraite par le prestataire qui expose des interfaces simplifiées.
Cependant, cette délégation de responsabilités s'accompagne de contreparties. La première que nous analyserons est l'exposition : votre infrastructure, dont vous n'avez plus la maîtrise, se retrouve accessible sur Internet. Ensuite, nous en illustrerons les conséquences avec quelques stratégies des attaquants sur ce nouveau terrain de jeu à portée de clavier. Enfin, nous aborderons ce qui attend les équipes de réponse à incident lorsqu'un compte est compromis.
1. Journée portes ouvertes
Le « nuage informatique », c'est tout d'abord des ressources accessibles depuis Internet. Azure AD et Office365 exposent bien plus de services…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[AccessTokens] https://docs.microsoft.com/fr-fr/azure/active-directory/develop/access-tokens
[ADsync] https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/whatis-azure-ad-connect
[AppConsent] https://docs.microsoft.com/fr-fr/azure/active-directory/manage-apps/configure-user-consent
[AzureADlatency] https://docs.microsoft.com/fr-fr/azure/active-directory/reports-monitoring/reference-reports-latencies
[AzureADmatrix] https://m365maps.com/Azure-AD-Premium.htm
[AzureADretention] https://docs.microsoft.com/fr-fr/azure/active-directory/reports-monitoring/reference-reports-data-retention
[AzureADtokens] https://docs.microsoft.com/fr-fr/azure/active-directory/enterprise-users/users-revoke-access
[ContinuousEvaluationTokens] https://docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/concept-continuous-access-evaluation
[DFIR-O365RC] https://github.com/ANSSI-FR/DFIR-O365RC
[GlobalMatrix] https://m365maps.com/
[GuestSettings] https://docs.microsoft.com/fr-fr/microsoft-365/solutions/microsoft-365-guest-settings
[LegacyAuth] https://docs.microsoft.com/fr-fr/azure/active-directory/conditional-access/block-legacy-authentication
[MTRlatency] https://docs.microsoft.com/fr-fr/exchange/monitoring/monitoring
[O365audit] https://m365maps.com/Office%20365%20Enterprise.htm
[O365DefenderMatrix] https://m365maps.com/Microsoft-Defender-for-Office-365.htm
[O365retention] https://docs.microsoft.com/fr-fr/microsoft-365/compliance/auditing-solutions-overview?view=o365-worldwide
[PopupConsent] https://docs.microsoft.com/fr-fr/azure/active-directory/develop/application-consent-experience
[RefreshTokens] https://docs.microsoft.com/fr-fr/azure/active-directory/develop/refresh-tokens
[UserDefaults] https://docs.microsoft.com/fr-fr/azure/active-directory/fundamentals/users-default-permissions