MFA SharePoint : sécuriser l’accès à SharePoint sur site et en ligne

Aujourd’hui, les organisations utilisent plus d’applications que jamais. À mesure que l’adoption des plateformes SaaS progresse, le nombre d’identifiants que chaque utilisateur doit gérer augmente lui aussi. Plus il y a d’identifiants, plus le risque s’accroît, ce qui entraîne davantage de compromissions de sécurité et de violations de données. Activer une solution d’authentification multifacteur (MFA) pour l’accès à des applications comme SharePoint permet de bloquer les accès non désirés.

Les équipes utilisent Microsoft SharePoint comme une plateforme essentielle pour la gestion de contenu, l’automatisation et l’analytique métier, ce qui fait des données SharePoint une véritable mine de documents, de calendriers, de listes de contacts, et bien plus encore. Naturellement, cette valeur en fait une cible attrayante pour les attaquants cherchant à provoquer une violation de données ou une attaque par ransomware.

Cette importance implique également un travail conséquent pour les équipes de sécurité chargées de le défendre. Comme pour de nombreuses plateformes applicatives actuelles, la principale vulnérabilité de SharePoint réside dans la compromission des identifiants. Pour un attaquant, exploiter le statut de confiance d’un utilisateur légitime est toujours le moyen le plus rapide de contourner les défenses.

Les attaquants obtiennent régulièrement des identifiants par hameçonnage ou par attaques par force brute, parfois combinées à l’exploitation de vulnérabilités SharePoint non corrigées. Bien que ces deux méthodes soient efficaces pour compromettre SharePoint, le vol d’identifiants est sans doute plus dangereux, car il peut réussir même dans des organisations qui appliquent régulièrement des correctifs.

Une fois l’accès obtenu, les attaquants peuvent voler des données contre rançon ou, comme avec les serveurs de messagerie, utiliser cet accès comme point de départ pour des attaques ultérieures. Celles-ci peuvent inclure l’envoi d’emails de phishing depuis une adresse de serveur SharePoint légitime ou la diffusion de malwares ciblant l’organisation ou ses partenaires.

Pour sécuriser SharePoint, les équipes de sécurité doivent commencer par la gestion des accès des employés.

Cela inclut la définition des autorisations appropriées et la sécurisation des comptes et/ou des identifiants SSO.

Mais SharePoint est également utilisé pour partager des documents avec des partenaires, ce qui introduit des risques supplémentaires. Des documents trop largement partagés, des autorisations mal configurées ou la compromission d’identifiants de comptes invités peuvent donner aux attaquants accès à l’environnement SharePoint dans son ensemble.

La MFA pour SharePoint ajoute une couche de sécurité supplémentaire en exigeant que les utilisateurs SharePoint vérifient leur identité à l’aide de deux facteurs ou plus avant d’accorder l’accès. Cela rend l’accès non autorisé à un compte Microsoft SharePoint beaucoup plus difficile et limite les déplacements latéraux au sein du réseau à partir de cet accès.

De nombreuses organisations utilisant SharePoint peinent à s’adapter à la prolifération actuelle des applications et des identifiants. Cela est particulièrement vrai pour les organisations qui conservent leur gestion des identités et des accès sur site.

Tout d’abord, il est important de noter que les organisations n’utilisent pas toutes SharePoint de la même manière. SharePoint possède une « identité hybride », avec deux applications :

• SharePoint Online, un service cloud disponible dans le cadre d’un abonnement Microsoft 365

• SharePoint, dans sa version traditionnelle sur site

Sans aucun doute, SharePoint Online offre de nombreux avantages pratiques par rapport à SharePoint sur site et nécessite moins de licences distinctes.

Cependant, l’attrait de l’approche sur site réside dans le fait que l’organisation conserve le contrôle de la sécurité de ses données, ce qui est crucial pour certaines structures.

L’avantage de l’exploitation de SharePoint sur site est que les organisations gardent une maîtrise totale de leurs données. L’inconvénient, bien sûr, est qu’elles doivent assumer seules la défense du serveur, ainsi que de l’infrastructure IIS par laquelle il fonctionne.

Que l’organisation utilise SharePoint sur site, SharePoint Online ou les deux, certaines mesures de sécurité SharePoint sont devenues évidentes : mise en place de politiques de mots de passe sécurisés, provisioning et déprovisioning corrects des utilisateurs, segmentation de SharePoint au sein du réseau. Cependant, des technologies comme la MFA et l’authentification unique (SSO), désormais essentielles dans un environnement multi-applications, peuvent s’avérer complexes à déployer.

Le problème est de trouver une solution MFA conçue pour les systèmes sur site à une époque dominée par les services cloud.

Cela est particulièrement vrai pour les applications Microsoft, qui partent de plus en plus du principe que les organisations ont migré les fonctions d’identité et d’authentification d’Active Directory (AD) sur site vers Entra ID (anciennement Azure AD).

Pour les réseaux sur site, les options MFA sont souvent limitées. Elles impliquent généralement l’ajout d’infrastructures supplémentaires pour prendre en charge la MFA ou une migration partielle vers un fournisseur d’identité (IdP) cloud. Bien que ces solutions fonctionnent techniquement, elles ne répondent pas aux besoins réels des organisations qui doivent conserver l’identité et l’authentification dans leur propre centre de données afin de maintenir la visibilité et le contrôle.

Tout cela signifie que les organisations qui utilisent AD sur site pour l’identité et l’authentification rencontrent des difficultés persistantes lorsqu’elles tentent de mettre en œuvre la MFA pour l’accès à SharePoint Online, ou à la fois à SharePoint Online et à SharePoint sur site.

Étant donné que l’environnement Microsoft est de plus en plus orienté vers ses services cloud, les clients AD sur site doivent souvent résoudre eux-mêmes les problèmes de sécurité et d’intégration. Le principal de ces problèmes est qu’AD on-premise ne prend pas en charge nativement des couches de sécurité telles que la MFA et le SSO. Cela contraint les organisations à investir dans des infrastructures supplémentaires, ce qui accroît souvent la complexité et les coûts.

Dans ce contexte, la solution recommandée consiste à mettre en place des middlewares Microsoft supplémentaires : Active Directory Federation Services (AD FS), connecté à Entra ID (anciennement Azure AD), ainsi qu’un outil de synchronisation, Entra Connect.

En théorie, cette solution fonctionne. Mais dans la pratique, certaines organisations ne peuvent pas — ou ne souhaitent pas — emprunter cette voie « à moitié cloud ».

D’une part, certaines organisations doivent s’assurer que l’authentification aux données SharePoint s’effectue via l’identité AD sur site afin de respecter des exigences de conformité en cybersécurité, de souveraineté des données, ou simplement pour conserver un contrôle total sur l’accès sécurisé aux données.

D’autre part, un réseau sur site efficace doit rester aussi simple que possible afin de limiter la charge d’administration. Tout ce qui ajoute de la complexité ou des configurations supplémentaires génère du travail supplémentaire pour des équipes de sécurité déjà très sollicitées.

La MFA Active Directory d'UserLock offre une alternative simple à la mise en œuvre de la MFA et du SSO. Conçu spécifiquement pour relever de nombreux défis de sécurité rencontrés par les clients AD sur site, UserLock prend en charge la MFA et le SSO dans de nombreux scénarios d’authentification.

UserLock adopte une approche multicouche de la sécurité des accès, combinant contrôle des utilisateurs, surveillance et vérification d’identité. En s’intégrant de manière transparente à l’AD on-premise existant, UserLock y parvient sans nécessiter de serveurs supplémentaires complexes ni de configurations lourdes. Contrairement aux solutions MFA alternatives qui requièrent un service d’annuaire externe, la MFA UserLock peut être mise en œuvre à l’aide des stratégies déjà configurées dans AD (avec une synchronisation toutes les 5 minutes).

Avec UserLock, la configuration de la MFA pour SharePoint est rapide et simple. Tout d’abord, l’agent UserLock est déployé sur le serveur IIS hébergeant SharePoint. Cet agent intercepte toutes les requêtes d’authentification vers SharePoint et les transmet au serveur UserLock, où elles sont vérifiées par rapport aux politiques AD régissant l’utilisateur, le groupe ou l’unité d’organisation (OU) concerné(e).

UserLock permet également aux administrateurs de proposer plusieurs méthodes de MFA aux utilisateurs finaux, notamment des applications d’authentification, des notifications push ou des tokens matériels programmables tels que YubiKey ou Token2.

Bien entendu, SharePoint n’est qu’un scénario parmi d’autres pour la MFA, et UserLock applique le même niveau de sécurité à un large éventail d’applications.

Cela inclut :

• d’autres applications IIS telles que Outlook sur le Web (anciennement OWA) et RD Web,

• l’accès distant RDP,

• les connexions VPN,

• les applications SaaS, et

• les demandes de contrôle de compte utilisateur (UAC).

Fait important, bien que UserLock sécurise l’accès à des services externes, il ne nécessite aucune connexion à une plateforme externe.

Les identités AD sur site restent la source unique de vérité pour l’authentification vers les ressources on-premise et cloud. De plus, grâce à sa conception « on-premise first », UserLock assure une couverture MFA à 360 degrés : même lorsque les utilisateurs se connectent à des machines déconnectées du LAN ou à des machines sans connexion Internet.