Microsoft 365, la protection des comptes Administrateur
Du fait de sa popularité, la plateforme Microsoft 365 est une cible de choix pour les pirates. La technique la plus courante pour s’attaquer à cette plateforme est le phishing (hameçonnage). C’est une des fraudes les plus anciennes connue sur Internet, et qui reste la plus efficace. Souvent sur base d’un courrier frauduleux, l’utilisateur est amené à cliquer sur un lien qui va révéler des informations d’identités qui vont aboutir à une usurpation d’identité. Le cybercriminel obtient par ce biais un accès à votre plateforme.

Si l’usurpation d’identité touche un compte administrateur avec des privilèges élevés, cela peut amener à une situation très problématique.
Voici quelques conseils pour protéger vos comptes administrateurs !
La double identité
Vos administrateurs, doivent avoir deux comptes Microsoft 365, un compte utilisateur pour les opérations courantes nécessitant l’utilisation des outils Office, et un compte dédié pour les opérations d’administration. Ces comptes d’administration n’ont pas besoin de licence, nul besoin de boite mail sur ces comptes. Ceci est la base, car on évitera déjà ainsi que ces comptes soient liés à des appareils qui synchronisent des données en local (courrier, OneDrive, etc …)
Diviser pour mieux administrer
Microsoft 365 offre différents rôles d’administration, même s’il est tentant en tant qu’administrateur d’avoir les pleins pouvoirs, cela est risqué. Si votre identité est usurpée, le criminel aura les pleins pouvoirs. Si vous avez plusieurs administrateurs sur votre plateforme, ont-ils vraiment tous besoins des pleins pouvoirs ? Pensez à déléguer les droits en fonction de leurs besoins réels.
L’authentification forte
L’authentification à plusieurs facteurs est un bon moyen de protéger vos comptes, tous vos comptes. Cette méthode peut tout de même s’avérer contraignante pour vos utilisateurs. Mais elle est nécessaire pour vos administrateurs. Pour les comptes d’administration ‘courants’, ceux utilisés quotidiennement, il est vivement conseillé d’activer le MFA.
Vos lignes de défense
Lors de la création de votre solution Microsoft 365, vous avez aussi créer un premier compte d’administration, qui a les pleins pouvoirs. Garder ce compte avec précaution, ne lui attribuer aucune licence, et ne l’utilisez pas dans vos opérations quotidiennes. Et surtout, ne changez pas son identifiant, laissez-le sur le domaine onmicrosoft.com. Il vous servira comme bouée de secours ultime, si tous les autres comptes d’administration ont été piratés. Pensez à changer son mot de passe régulièrement, tous les mois, ou au moins 2x par an ! Conserver ce mot de passe dans un système protégé, un coffre-fort de mot de passe comme 1Password
Je vous recommande aussi de créer un deuxième compte administrateur général de secours, toujours sans licence mais sur votre domaine d’exploitation. Il vous servira de première ligne de secours.
Concernant l’authentification forte, personnellement, je n’applique pas de MFA sur ces deux comptes. Car en cas d’attaque criminelle, je souhaite pouvoir lancer une série de scripts PowerShell très rapidement pour minimiser au maximum les impacts d’une attaque. Et le MFA est un sérieux frein aux scripts PowerShell.

Trousse de secours
En cas de cyber attaque, il faut pouvoir réagir très rapidement. En tant qu’administrateur, vous devez avoir une série de scripts PowerShell à exécuter pour opérer des opérations de contre-attaque. Ces scripts doivent être exécuter via votre première ligne de secours, si c’est encore possible, sinon via le compte de secours ultime, en espérant que la force soit avec vous.
Les opérations à effectuer avec votre compte d’administration de 1ere ligne, si votre 1ere ligne de secours est opérationnelle !
- Modifier manuellement le mot de passe de votre compte administrateur initial
- Bloquer tous les comptes utilisateurs autres que vos deux comptes de secours
- Révoquer toutes les sessions de tous vos comptes utilisateurs excepté vos deux comptes de secours
- Désactiver le service de Réinitialisation des mots de passe pour tous vos utilisateurs
- Changez les mots de passe de tous vos comptes utilisateurs en forçant le changement de mot de passe à la 1ere connexion
- Réinitialiser les processus MFA si ceux-ci sont actifs
Les opérations à effectuer avec votre compte d’administration de 2eme ligne, si votre 1ere ligne de secours n’est pas opérationnelle !
- Modifier manuellement le mot de passe de votre compte administrateur initial
- Bloquer tous les comptes utilisateurs excepté votre compte d’administration initial
- Révoquer toutes les sessions de tous vos comptes utilisateurs
- Désactiver le service de Réinitialisation des mots de passe pour tous vos utilisateurs
- Changez les mots de passe de tous vos comptes utilisateurs en forçant le changement de mot de passe à la 1ere connexion
- Réinitialiser les processus MFA si ceux-ci sont actifs
Conditionner les accès par localisation
Pour les établissements ayant des licences Microsoft A3 ou Microsoft A5, vous pouvez conditionner les accès par filtrage IP ou par localisations. Avec les fonctionnalités Azure Active Directory Plan 1, vous pouvez activer des stratégies d’accès conditionnels. Appliquer l’authentification forte de manière groupée et/ou sélective, refuser l’accès à des utilisateurs en dehors de la Belgique, refuser l’accès à certaines applications pour vos utilisateurs externes, etc …
Pour mettre en place ces stratégies, il faut au moins une licence Azure AD Premium Plan 1, celle-ci couvrira l’ensemble des utilisateurs qui ont une licence Microsoft A3/A5.
Pour les établissements ayant des licences Office A1/A3/A5, là ce n’est pas très clair. Si vous faites l’acquisition d’une seule licence Azure AD Premium Plan 1, vous allez pouvoir définir des stratégies d’accès conditionnel, mais il n’est pas certain qu’elles s’appliquent à vos utilisateurs. Il faudrait l’avis d’un expert en Licences ! Mais selon mes propres tests, cela fonctionne.
Comment avez-vous trouvé ce billet ?
N'hésitez pas à voter !
Score moyen 5 / 5. Nombre de vote 4