Évaluation de la résilience d'Active Directory

Question 1 sur 11

La complexité d'Active Directory Forêt à domaine unique

Parfait ! Une forêt à domaine unique est la référence absolue en matière de simplicité et de facilité de gestion. Vous réduisez ainsi la complexité et les risques au minimum : bravo !

Arbre simple avec racine et un seul enfant

Super ! Une structure claire qui conserve tout de même une certaine séparation logique. Surveillez bien pour éviter toute prolifération inutile des domaines.

Domaine racine avec plusieurs domaines enfants

Vous disposez d'une infrastructure, mais celle-ci risque d'ajouter de la complexité. Envisagez des possibilités de consolidation afin de simplifier la gestion et de réduire les coûts liés à la réplication.

Plusieurs forêts

C'est une configuration complexe ! Si possible, vérifiez si toutes les forêts sont vraiment nécessaires : une consolidation pourrait réduire la surface d'attaque et simplifier les opérations.

Nombre de contrôleurs de domaine 5 ou moins

Un bel équilibre ! Vous avez su optimiser l'empreinte de votre centre de données et en faciliter la gestion, tout en préservant sa résilience.

6-10

Couverture satisfaisante. Vous disposez d'un nombre suffisant de centres de données pour assurer la redondance ; veillez simplement à ce que l'application des correctifs et la réplication restent cohérentes.

11-50

À mesure que les environnements prennent de l'ampleur, il est essentiel de maintenir des pratiques standardisées en matière de gestion et de sauvegarde.

50-100

Cela fait beaucoup de centres de données : la complexité et les coûts d'exploitation peuvent s'accumuler. Vérifiez si tous sont nécessaires ou si une consolidation permettrait d'améliorer l'efficacité.

Plus de 100

C'est un environnement AD gigantesque ! Envisagez de le moderniser par le biais d'une consolidation ou cloud afin d'alléger la charge opérationnelle.

Stratégie de sauvegarde AD Sauvegardes quotidiennes de l'état complet du système de tous les serveurs de domaine

Fantastique ! Vous établissez la norme en matière de résilience AD : c'est la meilleure pratique.

Sauvegardes hebdomadaires de l'état du système de certains serveurs de domaine

C'est un bon début, mais en augmentant la fréquence ou l'étendue de vos efforts, vous renforcerez votre capacité de récupération.

Sauvegardes de machines virtuelles des contrôleurs de domaine uniquement

Protection partielle — n'oubliez pas que les sauvegardes de machines virtuelles ne garantissent pas toujours à elles seules une restauration complète d'Active Directory. Envisagez de réaliser des sauvegardes dédiées de l'état du système.

Pas de sauvegardes AD dédiées

Alerte de risque ! Sans sauvegardes de l'état du système, la restauration d'Active Directory pourrait s'avérer très compliquée. Mettez en place une stratégie de sauvegarde dédiée dès que possible.

Gestion des accès privilégiés (PAM) Mise en place d'une solution PAM et gestion de tous les comptes privilégiés

Excellent ! La plupart des entreprises n'ont pas encore pleinement mis en œuvre la gestion des accès privilégiés (PAM), vous avez donc une longueur d'avance. Continuez sur cette lancée en matière de gouvernance !

La solution PAM a été mise en place et gère la plupart des comptes

Vous avez bien avancé ! Vous y êtes presque : comblez les dernières lacunes pour garantir une couverture complète des comptes privilégiés.

Mise en œuvre limitée du PAM

Vous êtes sur la bonne voie : pensez à étendre le système PAM à davantage de comptes afin d'améliorer la traçabilité.

Pas de solution PAM

Il est temps d'agir ! La gestion des accès privilégiés (PAM) est essentielle pour empêcher les mouvements latéraux et l'utilisation abusive des identifiants. Commencez dès maintenant à évaluer les différentes solutions PAM.

Application des correctifs sur les contrôleurs de domaine Mises à jour mensuelles accompagnées de tests formels et d'une gestion des changements

Une hygiène irréprochable ! Vous faites preuve d'une gestion rigoureuse des correctifs, ce qui est essentiel pour la sécurité du domaine Active Directory.

Application régulière de correctifs sans tests formels

Vous restez à la page : l'introduction de tests structurés pourrait vous permettre de passer de « bon » à « excellent ».

Corrections incohérentes ou manuelles

Des progrès ont été réalisés, mais l'application irrégulière des correctifs laisse subsister des failles de sécurité. Automatisez autant que possible.

Centres de données n'ayant pas reçu de correctifs depuis plus de 90 jours

Risque critique ! Les contrôleurs de domaine non mis à jour constituent des cibles de choix : mettez immédiatement en place un cycle de mise à jour régulier.

Modèle d'administration à plusieurs niveaux Mise en place d'une administration à plusieurs niveaux

Parfait ! Vous avez judicieusement séparé les privilèges : c'est essentiel pour limiter les attaques.

Mise en œuvre partielle de la hiérarchisation

Faites un effort soutenu. Élargissez votre modèle afin de combler les failles permettant l'escalade de privilèges sur l'ensemble des systèmes.

Comptes administrateurs classés par fonction

C'est un bon début ! Vous avez réduit certains risques, mais une hiérarchisation complète vous offrira une isolation plus efficace.

Pas de hiérarchisation : les mêmes identifiants sur tous les systèmes

Risque élevé ! Le partage des identifiants expose l'entreprise à des risques majeurs : mettez rapidement en place une hiérarchisation des accès.

Couverture de l'authentification multifactorielle L'authentification multifactorielle (MFA) est obligatoire pour tous les utilisateurs (administrateurs et utilisateurs standard)

Félicitations ! Vous avez mis en place une solide culture de la sécurité qui va au-delà de la simple conformité.

L'authentification à deux facteurs (MFA) est obligatoire uniquement pour les comptes administratifs et à haut risque

Les progrès sont encourageants : la prochaine étape consiste à étendre l'authentification à deux facteurs (MFA) à tous les utilisateurs afin d'assurer une protection totale.

Le MFA est disponible, mais son application n'est pas systématique

C'est presque ça, mais l'application de ces mesures est essentielle. Les pirates adorent les configurations d'authentification multifactorielle (MFA) mal configurées.

Pas de mise en œuvre de l'authentification à deux facteurs

Urgent ! L'authentification à deux facteurs (2FA) est l'un des moyens de protection les plus simples et les plus efficaces : mettez-la en place dès maintenant.

Identification des applications stratégiques Toutes les applications essentielles à l'activité ont été identifiées

Une excellente visibilité ! Vous savez ce qui compte le plus : des bases solides pour assurer la résilience.

Principales applications stratégiques identifiées :

Une base solide. Allez encore plus loin pour vous assurer que tous les éléments essentiels à la mission sont pris en compte.

Certaines applications essentielles à l'activité ont été identifiées

Vous faites des progrès. Un inventaire complet permettra d'élaborer un plan de reprise plus efficace.

Applications critiques pour l'entreprise non identifiées

Il est temps de commencer à recenser les risques ! On ne peut pas protéger ce qu'on n'a pas identifié.

Planification de la reprise après sinistre Plans de reprise après sinistre détaillés pour toutes les applications stratégiques

Parfait ! Vous êtes prêt à vous remettre rapidement et en toute confiance.

Plans de reprise après sinistre pour la plupart des applications critiques

C'est un grand pas en avant : élargissez la couverture et mettez ces plans en pratique régulièrement.

Quelques plans de reprise après sinistre pour certaines applications

Vous envisagez une solution de reprise après sinistre (DR), mais des lacunes subsistent dans la couverture. Assurez la cohérence de toutes vos applications critiques.

Pas de plan de reprise après sinistre pour les applications critiques

Risque élevé ! Sans plan de reprise après sinistre, les temps d'arrêt pourraient s'avérer coûteux : il est temps de donner la priorité à une stratégie de reprise.

Dépendances d'authentification AD Les applications stratégiques ne dépendent pas d'AD/Entra ID

Une architecture intelligente ! Vous avez intégré la résilience dans votre infrastructure.

Certaines applications essentielles à l'activité nécessitent un identifiant AD/Entra

Dépendance partielle : examiner les solutions de rechange ou s'assurer de la mise en place de plans de reprise après sinistre solides pour Active Directory.

Toutes les applications essentielles à l'activité nécessitent un identifiant AD/Entra

Forte dépendance : si Active Directory tombe en panne, tout s'arrête. Il faut donc accorder la priorité à la préparation à la reprise de l'activité d'Active Directory.

Intégration de l'AD dans les plans de cyber-résilience Annonce concernant un plan de cyber-résilience axé sur la restauration forestière

La référence absolue ! Vous êtes passé de la phase de planification à celle de la préparation opérationnelle : impressionnant !

Plan d'intervention en cas de catastrophe avec procédures documentées (non mises en pratique)

Une documentation solide. Mettre en place des tests réguliers pour vérifier réellement que tout est prêt.

Il existe un plan de reprise après sinistre spécifique à AD

C'est un bon début : intégrez-le à votre stratégie globale de cyber-résilience pour bénéficier d'une couverture complète.

AD n'est inclus dans aucun plan de rétablissement

Une lacune majeure : l'AD est essentiel à la mission. Intégrez-le sans tarder à votre plan de résilience.

Vous êtes à risque — découvrez où vous vous situez et obtenez votre rapport complet.

Résultats

ZONE ROUGE : Risque critique

Votre infrastructure AD présente des failles critiques en matière de sécurité et de reprise après sinistre qui pourraient entraîner des temps d'arrêt prolongés en cas d'incident.

Stratégie de sauvegarde minimale, voire inexistante

Pas de gestion des accès privilégiés

Planification limitée ou inexistante de la reprise

Grande vulnérabilité aux ransomware et aux ransomware

Vous pourriez être à risque — comparez votre situation et obtenez votre rapport complet.

Résultats

ZONE ORANGE : Risque modéré

Votre domaine Active Directory (AD) bénéficie de protections de base, mais ne dispose pas de mesures de résilience complètes pour assurer la continuité des activités.