Après avoir développé un scan externe qui permet d’appréhender le niveau de risque d’une entreprise avant de l’assurer et de monitorer son risque en continu, puis un outil anti-phishing pour lutter contre les failles humaines, Stoïk lance un scan interne d’Active Directory.
Un outil gratuit pour aider les assurés à vérifier les configurations de leur Active Directory à la recherche de vulnérabilités qui peuvent être exploitées par des attaquants
Si les entreprises prennent conscience du risque cyber et lui allouent des budgets de plus en plus conséquents, il reste toutefois difficile pour la plupart d’entre elles de déterminer et de choisir les bonnes solutions à mettre en place.
La menace vise aujourd’hui les systèmes informatiques vulnérables et place ainsi les TPE et PME en première ligne face à un risque encore peu maîtrisé : elles représentent 34% des victimes de rançongiciel en 2021 (+53% par rapport à 2020) et 60% d’entre elles ne se relève pas après une cyberattaque.
En complémentarité de son scan externe et de son outil anti-phishing, Stoïk met désormais un scan d’Active Directory à disposition de ses assurés, toujours dans l’optique de réduire leur risque. Aujourd’hui, la menace principale est le rançongiciel et pour avoir une chance de se faire payer une rançon, l’attaquant cherche à paralyser l’entreprise dans son intégralité : il va chercher à devenir administrateur de l’Active Directory pour pouvoir chiffrer tous les postes et serveurs.
Un Active Directory est un annuaire du système d’exploitation Microsoft qui permet notamment de centraliser l’identification et l’authentification de chaque utilisateur pour chaque machine utilisée par l’entreprise. Lorsqu’il a affaire à une entreprise qui dispose d’un Active Directory, l’attaquant cherche à devenir administrateur du domaine pour devenir maître de tous les postes et serveurs de l’entreprise et ainsi accéder à la donnée sensible. L’Active Directory, utilisé par une majorité d’entreprises sur Microsoft en France, est ainsi un maillon de l’attaque très fréquent.
Avec ce nouvel outil, Stoïk, assureur cyber, dispose d’une réelle visibilité du risque de ses assurés et qui les accompagne dans la réduction de leurs vulnérabilités techniques et humaines, externe et interne.
Comment fonctionne le scan d’Active Directory ?
Le scan mis en place par Stoïk va permettre d’auditer les configurations de l’Active Directory et ainsi permettre à l’assuré d’améliorer sa posture de sécurité simplement. Il repose en partie sur deux outils open source très utilisés dans les audit et complémentaires : pingcastle et bloodhound.
L’assuré pourra ainsi par exemple facilement identifier :
- si des droits utilisateurs sont trop permissifs ;
- si des systèmes sont obsolètes ;
- si la politique de mots de passe est trop faible.
Pour mettre en place le scan d’Active Directory, l’assuré peut télécharger un script powershell depuis son espace Stoïk. Ce script doit être exécuté depuis un compte non privilégié sur un poste connecté à internet.
Durant l’exécution, les outils pingcastle et bloodhound seront téléchargés et exécutés. Une fois le script exécuté, les résultats seront envoyés automatiquement à Stoïk et l’assuré pourra les consulter sur le tableau de bord dédié dans son espace Stoïk.
Le script peut être relancé autant que nécessaire par l’assuré. En fonctionnement normal, Stoïk recommande de l’exécuter tous les mois. En phase de durcissement, il est recommandé de le lancer autant de fois que nécessaire pour vérifier que les mauvaises configurations sont bien corrigées.
“La plupart des rançongiciels que nous avons étudiés sont déployés suite à une compromission aisée d’un administrateur de domaine Active Directory. Auditer les chemins d’attaque dans l’Active Directory et de manière plus générale les problèmes de configurations permet d’anticiper ces scenarii. Comme souvent, quelques améliorations peu chronophages changent drastiquement la donne et peuvent ralentir voire stopper la progression de l’attaquant. Nous voulons aider tous nos clients à mettre en place ces mesures essentielles pour améliorer sensiblement leur posture de sécurité. C’est la raison pour laquelle nous mettons à leur disposition ce module d’évaluation de leur AD.” Alexandre Andreini, Directeur des risques chez Stoïk.
“Nous sommes fiers d’être le premier assureur cyber qui propose une telle panoplie d’outils de cybersécurité à ses assurés. La plupart d’entre eux n’ont pas les moyens de mettre en place des mesures de cybersécurité adéquates et cela nous semble essentiel de les accompagner dans leurs démarches de protection. Nous endossons ainsi la double casquette d’assureur-protecteur, au service de la réduction du risque de nos assurés. Aussi, ces outils nous permettent de devenir le premier assureur qui maîtrise le risque cyber par la connaissance fine du niveau de risque de ses assurés. Le scan d’Active Directory est un pas de plus pour atteindre notre objectif. Il sera suivi d’autres outils développés par notre équipe d’ingénieurs cyber pour accompagner toujours mieux nos assurés dans l’amélioration de leur posture de cybersécurité.” Jules Veyrat, Président de Stoïk.
