Un quart de siècle après son apparition, Windows Active Directory (AD) définit toujours les réseaux sur site.Mais il faut l’admettre : AD est un système d’identité vieillissant. Il a été conçu pour une époque plus simple, où la sécurité ne signifiait qu’une chose : un réseau interne sûr et un monde extérieur dangereux.
Ce monde n’existe plus.
Aujourd’hui, les utilisateurs et les données sont partout. Le périmètre se trouve là où ils se trouvent. Et sécuriser un réseau signifie désormais gérer avec soin les identités de toutes les personnes qui y accèdent, une tâche que le vol d’identifiants et le phishing rendent chaque jour plus difficile.
Les limites d’AD compliquent sérieusement les choses. Les points faibles sont si nombreux que beaucoup d’organisations préfèrent migrer vers une plateforme cloud comme Entra ID. Mais cette solution a ses propres inconvénients : migrations complexes, coûts élevés, et dépendance croissante envers un fournisseur d’identité (IdP) cloud tiers.
Les organisations restent attachées aux réseaux sur site
Le passage au cloud est rarement tout ou rien. Les grandes organisations ont tendance à migrer vers des plateformes IAM cloud comme Entra ID, mais beaucoup de petites et moyennes entreprises continuent d’utiliser AD sur site, et pour de bonnes raisons.
AD sur site facilite la prise en charge d’applications plus anciennes qui fonctionnent bien mais ne peuvent pas facilement passer au cloud. Dans certains secteurs, conserver les données sensibles sur site est une obligation réglementaire ou sécuritaire. Et comparé aux coûts de licence des solutions IAM cloud, AD est tout simplement moins cher.
[fa]Une architecture de sécurité vieillissante[/fa]
Les points faibles d’AD se répartissent en deux catégories : les failles inhérentes à son architecture vieillissante, et les fonctionnalités manquantes qui rendent sa gestion sécurisée difficile aujourd’hui.
Le principal problème architectural est sa dépendance aux mots de passe. Si un utilisateur présente un mot de passe valide, AD considère cet utilisateur comme légitime. Selon les standards actuels du zero trust, c’est une hypothèse dangereuse, les mots de passe se volent, et les attaquants peuvent usurper l’identité d’utilisateurs réels de façons difficiles à détecter.
À partir de là, les attaquants peuvent tenter d’élever leurs privilèges et finalement compromettre AD lui-même. Si cela se produit, ils obtiennent le contrôle total du réseau.
De plus, AD manque de plusieurs fonctionnalités essentielles : l’authentification multifacteur (MFA), SSO, contrôle d’accès contextuel, surveillance des utilisateurs, limitation des sessions simultanées et journalisation de conformité.
Moderniser la sécurité d’AD
La solution n’est pas toujours de remplacer AD, mais de l’étendre.
Il est possible de le faire avec un IdP cloud, mais cela implique une migration longue et une perte de contrôle. Les IdP cloud signifient également externaliser votre base de données d’authentification à un tiers, vous rendant dépendant de la connectivité internet et de la disponibilité du service, souvent à un coût élevé par utilisateur.
UserLock adopte une approche différente. Il conserve AD en place et lui ajoute les fonctionnalités de sécurité modernes qui lui font défaut, sur site, sans migration requise, sans dépendance cloud.
Là où des solutions comme Entra ID et Okta sont conçues pour remplacer AD, UserLock est conçu pour fonctionner à ses côtés. Les organisations conservent AD comme système d’identité principal tout en bénéficiant du MFA, du SSO pour les applications SaaS (dont Microsoft 365, AWS et Salesforce), et d’une surveillance des utilisateurs en temps réel.
AD fonctionne bien quand il est correctement sécurisé
Malgré son âge, AD fait un bon travail pour de nombreuses organisations, en particulier les plus petites ou celles ayant des besoins spécifiques en matière de conformité. Il maintient la sécurité en interne, évite la dépendance envers des IAM tiers, et coûte moins cher à exploiter.
Ses limites sont réelles, mais elles ne sont pas insurmontables. Vous pouvez hisser AD aux standards de sécurité modernes, sans perdre le contrôle.
merci à ZATAZ
