Indicateurs d'exposition
| Nom | Description | Sévérité | Type |
|---|---|---|---|
| Appareils dormants | Les appareils dormants posent des risques de sécurité tels que des configurations obsolètes et des vulnérabilités non corrigées. En l'absence de surveillance et de mises à jour régulières, ces appareils obsolètes deviennent des cibles potentielles d'exploitation, compromettant ainsi l'intégrité des tenants et la confidentialité des données. | LOW | |
| Comptes invités disposant d'un accès identique aux comptes normaux | Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant. | HIGH | |
| Authentification héritée non bloquée | Les méthodes d'authentification héritées ne prennent pas en charge l'authentification multifacteur (MFA), ce qui permet aux attaquants de continuer à lancer des attaques par force brute, par envoi massif d'identifiants et par pulvérisation de mot de passe. | MEDIUM | |
| Appareils gérés non requis pour l'inscription à la MFA | Le fait d'exiger des appareils gérés pour l'inscription à la MFA rend plus difficile l'enregistrement d'une MFA malveillante, en cas de vol d'informations d'authentification, si les attaquants n'ont pas également accès à un appareil géré. | MEDIUM | |
| Utilisateurs avec privilèges jamais utilisés | Les comptes utilisateur avec privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants. | MEDIUM | |
| Expiration de mots de passe imposée | Imposer l'expiration de mots de passe dans les domaines Microsoft Entra ID peut compromettre la sécurité en incitant les utilisateurs à changer fréquemment de mot de passe, ce qui peut les inciter à créer des mots de passe faibles ou prévisibles ou à les réemployer, réduisant ainsi la protection globale du compte. | LOW | |
| Protection par mot de passe non activée pour les environnements sur site | La protection des mots de passe de Microsoft Entra est une fonctionnalité de sécurité qui empêche les utilisateurs de définir des mots de passe faciles à deviner, afin de renforcer la sécurité globale des mots de passe dans une organisation. | MEDIUM | |
| Stratégie de mot de passe faible – Durée de vie minimale | Une stratégie de mot de passe avec une durée de vie minimale des mots de passe faible peut autoriser les utilisateurs à réemployer régulièrement les mots de passe précédemment utilisés, et donc potentiellement des identifiants compromis. | LOW | |
| Liste de domaines fédérés | La configuration malveillante de domaines fédérés constitue une menace courante, utilisée par les attaquants comme porte dérobée d'authentification vers le tenant Entra ID. La vérification des domaines fédérés existants et nouvellement ajoutés est essentielle pour garantir la fiabilité et la légitimité de leurs configurations. Cet indicateur d'exposition fournit une liste complète des domaines fédérés et de leurs attributs pertinents, afin de vous aider à prendre des décisions éclairées concernant leur statut de sécurité. | LOW | |
| Principal de service propriétaire (ou interne) avec identifiants | Les principaux de service propriétaires (ou internes) disposent de puissantes autorisations, mais ils sont négligés parce qu'ils sont cachés, nombreux et détenus par Microsoft. Les attaquants y ajoutent des identifiants pour exploiter discrètement leurs autorisations à des fins d'élévation de privilèges et de persistance. | HIGH | |
| Compte invité disposant d'un rôle avec privilèges | Les comptes invités sont des identités externes qui peuvent poser un risque de sécurité lorsque des rôles privilégiés leur sont assignés. Cela accorde des privilèges substantiels au sein du tenant à des personnes externes à votre organisation. | HIGH | |
| Porte dérobée de domaine fédéré connue | Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant leur propre domaine fédéré malveillant, ce qui permet la persistance et l'élévation des privilèges. | CRITICAL | |
| Authentification MFA non requise pour un rôle privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés disposant de rôles privilégiés. | HIGH | |
| Authentification MFA manquante pour un compte non privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. | MEDIUM | |
| Groupe M365 public | Les groupes Microsoft 365 stockés dans Entra ID sont publics ou privés. Les groupes publics posent un risque de sécurité, car n'importe quel utilisateur du tenant peut les rejoindre et accéder à leurs données (chats/fichiers des équipes, e-mails, etc.). | MEDIUM | |
| Attribution du rôle « Comptes de synchronisation d'annuaires » suspecte | Les « Comptes de synchronisation d'annuaires » sont un rôle privilégié dans Entra, caché dans les portails Azure et Entra ID. Ils sont généralement désignés pour les comptes de service Microsoft Entra Connect (anciennement Azure AD Connect). Toutefois, des acteurs malveillants peuvent exploiter ce rôle pour des attaques secrètes. | HIGH | |
| Fonction de passe d'accès temporaire (TAP) activée | La fonctionnalité TAP (Passe d'accès temporaire) est une méthode d'authentification temporaire qui utilise un mot de passe limité dans le temps ou à usage limité. Bien qu'il s'agisse d'une fonctionnalité légitime, il est plus sûr de la désactiver afin de réduire la surface d'attaque si votre organisation n'en a pas besoin. | LOW | |
| Domaines non vérifiés | Vous devez confirmer la propriété de tous les domaines personnalisés dans Entra ID. Les domaines non vérifiés ne doivent être conservés que temporairement : vous devez soit les vérifier, soit les supprimer, afin de maintenir une liste de domaines ordonnée et de faciliter des vérifications efficaces. | LOW |