Dans les précédents blogues, nous avons vu :
- La base de Microsoft Identity (Azure AD, Microsoft Authenticator)
- L’implémentation concrète (rôles, MFA, etc.)
- L’automatisation via Microsoft Graph
- L’accueil des identités externes (B2B/B2C)
- Le passage au passwordless (Windows Hello, FIDO2)
Cette semaine, continuons notre apprentissage dans l’univers de la sécurité informatique en utilisant Zero Trust, tout en découvrant les fonctionnalités avancées de la protection d’identité qu’offre Microsoft Azure AD.
Qu’est-ce que Zero Trust ?
"Never trust, always verify." ( Ne faites jamais confiance, vérifiez toujours) - Le principe clé du Zero Trust
Le Zero Trust consiste à ne jamais accorder implicitement sa confiance à un utilisateur, un appareil ou un réseau. Chaque tentative d’accès doit être validée via des politiques de sécurité robustes et dynamiques. En d’autres termes, on part du fait qu’aucun environnement n’est sûr, même au sein du réseau interne.
Objectifs principaux du Zero Trust :
- Valider l’identité (utilisateur, appareil)
- Vérifier en continu les signes de risque
- Accorder l’accès de la manière la plus restrictive possible (principe du moindre privilège)
La Protection d’Identité dans Azure AD
Azure AD Identity Protection est un ensemble de fonctionnalités qui permettent de détecter, d’analyser et de répondre aux risques liés aux identités :
- **Risky sign-ins (Connexions risquées) ** : Détection de connexions suspectes (localisations inhabituelles, adresses IP étrangères, connexion impossible, etc.)
- **Risky users (Utilisateurs a risque) ** : Identification des utilisateurs potentiellement compromis
- Automatic Policies (Politiques automatiques) : Mise en place de politiques en cas de détection de menaces potentielles (par exemple, exiger un changement de mot de passe ou un MFA supplémentaire en cas de risque élevé)
Grâce à ces fonctionnalités, Azure AD Identity Protection permet de réagir rapidement aux menaces et d’adapter le niveau d’authentification requis en fonction du risque détecté.
Cycle du Zero Trust
[ Demande d'accès ]
| (1)
v
┌──────────────────┐
(2) --> |Vérification | -- (3) --> [Accès Autorisé]
|(Signal de Risque)| -- (4) --> [Accès Refusé]
└──────────────────┘
- (1) L’utilisateur (ou l’appareil) fait une demande d’accès
- (2) Azure AD Identity Protection et/ou l’authentification conditionnelle évaluent le risque
- (3)/(4) En fonction du niveau de risque évalué, l’accès est accordé ou refusé (On peut demander un MFA supplémentaire)
Mettre en place une approche Zero Trust avec Microsoft Identity
1. Configurer l’authentification conditionnelle
-
Dans le portail Azure, rendez-vous dans Azure Active Directory > Sécurité > Authentification conditionnelle
-
Créez de nouvelles règles (policies) qui déclenchent des actions (ex. : exiger la double authentification) selon l’emplacement (En fonction de l'adresse IP), le type d’appareil, le niveau de risque, etc.
2. Activer Azure AD Identity Protection
-
Accédez à Azure AD Identity Protection dans le portail.
-
Configurez les politiques de risque (Utilisateur risqué, Connexion a risque) pour exiger un MFA ou un changement de mot de passe en cas de connexion suspecte.
-
Mettez en place des alertes pour être averti rapidement des activités anormales.
3. Appliquer le principe du moindre privilège
-
Utilisez RBAC (Role-Based Access Control) pour octroyer le strict minimum d’autorisations.
-
Vérifiez régulièrement que les rôles critiques (Administrateur, etc.) sont limités, bien assignés et bien protégés.
4. Surveiller et auditer
-
Activez les journaux d’audit(Logs) et les alertes.
-
Analysez régulièrement les connexions risquées via Azure Monitor ou Workbooks.
-
Intégrez éventuellement Microsoft Sentinel
Flux Zero Trust (Markdown)
┌──────────────────────┐
| Utilisateur |
└─────────┬────────────┘
|
v
┌───────────────────────────┐┌────────────────────┐
|Demande d’Authentification ││ Azure AD |
└───────────┬───────────────┘└─────────┬──────────┘
| |
v v
┌────────────────────┐ ┌──────────────────┐
| Identity Protection|<--Risque--| Authent. Cond. |
└────────────────────┘ └──────────────────┘
| |
| Décision : Droit d'accès / MFA / Refus de connexion
|
v
┌────────────────────┐
| Accès Accordé |
| (ou Refusé) |
└────────────────────┘
C’est un petit schéma ASCII montrant comment la demande d’authentification passe par Azure AD et Identity Protection, déclenchant une décision (Accès, MFA supplémentaire, ou refus).
Conclusion
Implémenter Zero Trust avec les fonctionnalités avancées de Microsoft Identity (authentification conditionnelle, Identity Protection, etc.) vous permet de renforcer significativement la sécurité de vos applications et données. L’idée est de considérer chaque tentative d’accès comme un risque potentiel, et d’y répondre avec des mesures de sécurité, en temps réel.
Sources
-
Flores, J. What is Conditional Access?. Microsoft Learn | Microsoft Entra ID . https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview (Accédé le 13 mars)
-
Set up your Microsoft Zero Trust security model. Microsoft Setup. https://setup.cloud.microsoft/security/zero-trust-setup-guide (Accédé le 13 mars)
-
Carter, B., Davis, C., & Flores, J. What is Zero trust?. Microsoft Docs. https://learn.microsoft.com/en-us/security/zero-trust/zero-trust-overview (Accédé le 14 mars)
-
What is Zero trust architecture?. Microsoft Security. https://www.microsoft.com/en-us/security/business/security-101/what-is-zero-trust-architecture (Accédé le 14 mars)
-
Inside Track Staff. (26 octobre 2024). Implementing a Zero trust security model at Microsoft. Inside Track Blog. https://www.microsoft.com/insidetrack/blog/implementing-a-zero-trust-security-model-at-microsoft/ (Accédé le 14 mars)
Commentaires1
Article à lire !
Article très clair et utile pour comprendre le Zero Trust et la protection d’identité via Azure AD. Les schémas et les étapes sont très bien et nous facilitent la compréhension de ta technologie. Merci !