Téléchargez gratuitement notre guide de 447 pages pour sécuriser Active Directory : attaques, durcissement, Tiering Model, monitoring, outils, conformité.
TL;DR — En résumé
Guide PDF 447 pages sécuriser Active Directory : 15+ attaques, Tiering Model, durcissement Kerberos/NTLM, monitoring SIEM, outils audit. PDF gratuit.
Pourquoi ce guide est indispensable
Active Directory est présent dans 95% des entreprises et reste la cible prioritaire des attaquants. En 2025-2026, les attaques sur AD ont augmenté de 42%. Ce guide vous donne les clés pour :
- Comprendre les 10 attaques les plus courantes (Kerberoasting, Golden Ticket, DCSync, Pass-the-Hash, NTLM Relay, AD CS abuse...)
- Implémenter le Tiering Model (Tier 0/1/2, PAW, Red Forest)
- Durcir Kerberos et NTLM avec des configurations concrètes
- Déployer un monitoring avancé avec les événements critiques (4624, 4768, 5136...)
- Auditer votre AD avec les meilleurs outils (PingCastle, BloodHound, Adalanche, Purple Knight)
- Sécuriser AD CS contre les attaques ESC1-ESC15
- Préparer la migration vers Entra ID (identité hybride)
Contenu détaillé — 447 pages
Partie 1 : Fondamentaux et état des lieux
Architecture AD, surface d'attaque, inventaire des vulnérabilités courantes, méthodologie d'audit. Pourquoi votre AD est probablement déjà compromis.
Partie 2 : Les attaques Active Directory
Analyse technique complète des 15+ vecteurs d'attaque : Kerberoasting, AS-REP Roasting, Golden/Silver Ticket, DCSync, DCShadow, Pass-the-Hash, Pass-the-Ticket, NTLM Relay, Skeleton Key, ACL abuse, AD CS exploitation (ESC1-ESC15), délégation Kerberos, RBCD, SID History.
Partie 3 : Durcissement et remédiation
Tiering Model complet, hardening Kerberos (AES256, disable RC4), NTLM restrictions, GPO de sécurité CIS Benchmark, Protected Users, LAPS, gMSA, JEA/JIT, AdminSDHolder.
Partie 4 : Monitoring et détection
Événements Windows critiques, règles SIEM, honey tokens, canary objects, threat hunting Active Directory, détection des mouvements latéraux.
Partie 5 : Outils et automation
Scripts PowerShell de durcissement, outils d'audit (PingCastle, BloodHound, Adalanche, ADRecon, Testimo), automation de la conformité, reporting.
Partie 6 : Conformité et gouvernance
AD et NIS2, DORA, RGPD, ISO 27001. Plan de remédiation en 90 jours. Architecture de référence sécurisée.
Pour qui est ce guide ?
- RSSI / Responsables sécurité — pour piloter la sécurisation AD
- Administrateurs Active Directory — pour durcir et monitorer
- Pentesters / Red Teamers — pour comprendre les défenses
- Auditeurs / Consultants — pour structurer leurs missions
- Architectes sécurité — pour concevoir des architectures AD résilientes
Caractéristiques
| Détail | Valeur |
|---|---|
| Pages | 447 |
| Langue | Français |
| Format | |
| Prix | Gratuit — Version PDF offerte |
| Couverture | Windows Server 2019/2022/2025 |
| Auteur | Ayi NEDJIMI — Expert Judiciaire, Auditeur Senior |
| Dernière mise à jour | 2026 |
Articles complémentaires
- Sécuriser Active Directory : Le Guide Définitif 2026
- Pentest Active Directory : Guide Méthodologique Complet
- Top 5 Outils d'Audit Active Directory
- Guide Complet du Tiering Model
- Kerberoasting : Attaque et Défense
- Golden Ticket : Attaque et Défense
FAQ
Ce guide est-il vraiment gratuit ?
Oui, le PDF de 447 pages est en téléchargement libre, sans inscription ni contrepartie.
Quel niveau est requis ?
Le guide s'adresse à des profils intermédiaires à experts. Des connaissances en administration Windows Server et Active Directory sont recommandées.
Ce guide couvre-t-il AD CS (certificats) ?
Oui, une section complète couvre la sécurisation d'AD CS, incluant les attaques ESC1 à ESC15 et les mesures de remédiation.
Le guide est-il à jour pour Windows Server 2025 ?
Oui, la dernière mise à jour intègre les spécificités de Windows Server 2025 et les nouvelles fonctionnalités de sécurité.
Sécuriser Active Directory : méthodologie par couches
La sécurisation d'un Active Directory efficace repose sur une approche par couches successives, chacune réduisant la surface d'attaque et la capacité d'un attaquant à progresser horizontalement dans le réseau. Cette méthodologie distingue trois priorités : éliminer les vecteurs d'escalade de privilèges critiques, réduire les surfaces d'attaque permanentes, et renforcer la détection des comportements anormaux.
Tier Model AD : la fondation d'une architecture sécurisée
Le modèle de tiering (ou modèle en couches) est la mesure architecturale la plus efficace pour contenir les compromissions AD. Il divise le SI en trois niveaux d'isolation :
- Tier 0 (Contrôle) : Contrôleurs de domaine, PKI d'entreprise, systèmes de gestion des identités (AD FS, Microsoft Entra Connect). Seuls les comptes dédiés Tier 0 peuvent administrer ces systèmes. Aucun accès Internet, aucune application métier.
- Tier 1 (Serveurs) : Serveurs d'application, serveurs de fichiers, serveurs de base de données. Seuls les comptes dédiés Tier 1 peuvent administrer ces systèmes. Pas d'utilisation quotidienne pour la navigation web ou la messagerie.
- Tier 2 (Postes de travail) : Postes utilisateurs, équipements mobiles. Les comptes utilisateurs standards opèrent à ce niveau. Les administrateurs Tier 1 et Tier 0 n'utilisent jamais leurs comptes privilégiés sur les postes de travail.
Sans tiering, un attaquant qui compromet un poste utilisateur via phishing peut récupérer des credentials d'administrateur de domaine en quelques heures grâce aux attaques pass-the-hash ou Kerberoasting. Avec le tiering, la compromission d'un poste Tier 2 ne donne accès qu'aux ressources Tier 2.
Les 10 vecteurs d'attaque AD les plus exploités en 2026
Les groupes de menaces avancées et les opérateurs ransomware ciblent systématiquement les mêmes faiblesses AD. Voici les 10 techniques les plus observées dans les incidents de 2025-2026 :
- Kerberoasting : demande de tickets Kerberos pour des comptes de service avec SPN, cassage offline des hashes. Contre-mesure : mots de passe de comptes de service de 25+ caractères, comptes gMSA.
- AS-REP Roasting : exploitation des comptes avec "Do not require Kerberos preauthentication". Contre-mesure : activer la pré-authentification Kerberos sur tous les comptes.
- Pass-the-Hash / Pass-the-Ticket : réutilisation des credentials extraits de la mémoire LSASS. Contre-mesure : Credential Guard, Protected Users Security Group.
- DCSync : simulation d'un contrôleur de domaine pour répliquer les hashes NTLM de tous les comptes. Contre-mesure : auditer les permissions de réplication, limiter les comptes avec droits DCSync.
- Golden Ticket : falsification de tickets Kerberos via le hash du compte KRBTGT. Contre-mesure : renouvellement du mot de passe KRBTGT tous les 6 mois (deux fois successivement).
- BloodHound / SharpHound : cartographie automatique des chemins d'attaque vers les Domain Admins. Contre-mesure : éliminer les ACL dangereuses, réduire les membres des groupes privilégiés.
- Zerologon (CVE-2020-1472) : exploit permettant de réinitialiser le mot de passe du compte machine d'un DC. Contre-mesure : patches appliqués, Secure Channel enforced.
- PrintNightmare et variantes : exploitation du service Spooler pour exécution de code avec privilèges SYSTEM. Contre-mesure : désactiver le service Print Spooler sur les DCs.
- ADCS ESC1-ESC8 : abus des Services de Certificats Active Directory pour émettre des certificats d'authentification arbitraires. Contre-mesure : auditer les templates de certificats, activer le mode approuvé.
- Délégation Kerberos non contrainte : exploitation des serveurs avec délégation non contrainte pour capturer des TGT d'utilisateurs privilégiés. Contre-mesure : migrer vers la délégation contrainte basée sur les ressources (RBCD).
Durcissement des contrôleurs de domaine : mesures prioritaires
Les contrôleurs de domaine sont les cibles ultimes de toute attaque AD. Leur durcissement doit être traité comme une priorité absolue, avant même les postes de travail ou les serveurs d'application :
- Patches et mises à jour : les DCs doivent être patchés dans les 48 heures pour les CVE critiques AD (Zerologon, PrintNightmare, ADCS ESC). Configurez Windows Server Update Services (WSUS) avec une approbation automatique pour les patchs critiques sur les DCs.
- Ségrégation réseau : les DCs ne doivent pas être accessibles depuis les postes de travail sur les ports non nécessaires. Filtrage pare-feu strict entre le segment DCs et le reste du réseau.
- Désactivation des services inutiles : Print Spooler, Remote Registry, SMBv1 doivent être désactivés sur tous les DCs. Chaque service actif est une surface d'attaque potentielle.
- Protected Users Security Group : ajoutez tous les comptes administrateurs sensibles à ce groupe. Il désactive NTLM, la délégation Kerberos, et force le chiffrement AES pour les tickets Kerberos.
- Credential Guard : activez Credential Guard sur les DCs et les serveurs Tier 0 pour protéger les credentials en mémoire contre les attaques LSASS.
Audit et surveillance continue d'Active Directory
La détection des attaques AD repose sur l'audit des événements critiques dans les journaux Windows. Voici les Event IDs essentiels à surveiller et ce qu'ils signalent :
- 4624/4625 : connexion réussie / échouée. Les patterns de 4625 répétés depuis une même source indiquent une attaque par force brute ou password spraying.
- 4672 : connexion avec droits spéciaux (SeDebugPrivilege, SeTcbPrivilege). Toute connexion avec ces droits depuis un poste Tier 2 est suspecte.
- 4768/4769 : demande de ticket Kerberos (AS-REQ / TGS-REQ). Un volume anormal de 4769 depuis une même source indique un Kerberoasting en cours.
- 4776 : validation NTLM. Toute authentification NTLM vers un DC depuis un compte administrateur doit être auditée — les administrateurs modernes ne devraient pas utiliser NTLM.
- 4720/4732/4728 : création de compte, ajout à un groupe local/global. Tout ajout à Domain Admins, Enterprise Admins ou Schema Admins doit déclencher une alerte immédiate.
- 4662 : opération sur un objet AD (écriture d'attributs). Un volume anormal sur les objets de type domaine peut indiquer un DCSync en cours.
Foire aux questions — Sécurisation Active Directory
Par où commencer quand AD n'a jamais été audité ?
Commencez par un audit BloodHound/SharpHound en lecture seule pour cartographier les chemins d'attaque existants vers les Domain Admins. Cela vous donnera une liste priorisée des correctifs les plus urgents. Combinez avec un Purple Team, un outil comme PingCastle (gratuit) pour générer un rapport de maturité AD avec scoring. Ces deux étapes peuvent être réalisées en moins d'une journée et donnent une vue claire des priorités.
Quel est le délai réaliste pour sécuriser un Active Directory legacy ?
Un chantier de sécurisation AD complet (tiering, élimination des vulnérabilités critiques, mise en place de la surveillance) prend typiquement 6 à 18 mois selon la taille et la complexité de l'environnement. Les mesures d'urgence (désactivation SMBv1, correction des ACL les plus dangereuses, protection des comptes KRBTGT et DSRM) peuvent être déployées en 2 à 4 semaines. Le tiering complet est le chantier le plus long car il nécessite de réécrire les habitudes d'administration.
LAPS est-il suffisant pour sécuriser les comptes administrateurs locaux ?
LAPS (Local Administrator Password Solution) est nécessaire mais pas suffisant. Il résout le problème des mots de passe identiques sur tous les postes (qui permet le mouvement latéral pass-the-hash), mais ne protège pas contre les attaques sur les comptes de domaine. Déployez LAPS en priorité, puis travaillez sur la protection des credentials de domaine (Credential Guard, Protected Users, tiering).
Environnement de test et laboratoire pratique
La maîtrise des techniques de sécurité offensive et défensive requiert un environnement de pratique dédié. L'installation d'un laboratoire virtuel sur votre poste (VMware Workstation, VirtualBox, ou Proxmox pour une infrastructure plus élaborée) permet de tester les concepts présentés dans cet article sans risque pour les systèmes de production.
Configuration recommandée du lab
Pour reproduire les scénarios décrits, une configuration minimale comprend : un hyperviseur disposant d'au moins 16 Go de RAM et 4 cœurs CPU, un réseau virtuel isolé (host-only ou internal network sans accès Internet pour les VMs malveillantes), et un snapshot de base avant chaque manipulation pour faciliter le retour arrière. Les distributions spécialisées Kali Linux (offensive) et Parrot OS Security Edition couvrent l'ensemble des outils nécessaires sans configuration manuelle. Pour l'aspect défensif, Security Onion déploie en une seule VM un stack complet (Zeek, Suricata, Elasticsearch, Kibana) qui permet de visualiser l'impact des techniques testées.
Ressources de formation complémentaires
Les plateformes d'entraînement permettent de consolider la pratique dans des environnements légaux et structurés. HackTheBox et TryHackMe proposent des machines virtuelles sur lesquelles appliquer les techniques décrites, avec des difficultés progressives adaptées aux débutants comme aux experts. Pour les scénarios d'entreprise (Active Directory, Cloud, applications web complexes), les labs Pro de HackTheBox ou les modules DFIR/SOC de Blue Team Labs Online offrent des cas réalistes. Les CTF compétitifs (Hack The Box CTF, DEFCON CTF, PicoCTF) développent la créativité et l'adaptabilité face à des challenges inédits. La régularité de pratique (1-2 heures hebdomadaires minimum) prime sur l'intensité ponctuelle pour développer des réflexes durables.
Indicateurs de maturité et métriques de sécurité
Mesurer l'efficacité des mesures de sécurité implémentées est indispensable pour justifier les investissements et guider les priorités. Les métriques suivantes constituent un tableau de bord de sécurité applicable aux organisations de toutes tailles.
Métriques de couverture et de détection
Les indicateurs clés à suivre mensuellement : taux de couverture MITRE ATT&CK (pourcentage des techniques adversariales couvertes par des règles de détection actives) ; Mean Time To Detect (MTTD) pour les incidents de sécurité confirmés ; Mean Time To Respond (MTTR) depuis l'alerte jusqu'à la résolution ; taux de faux positifs sur les alertes SIEM (objectif : moins de 5% pour les règles de haute priorité) ; pourcentage de systèmes avec agents EDR installés et actifs (objectif : 100% des endpoints gérés). Ces métriques, compilées dans un rapport mensuel pour la direction, permettent de démontrer la valeur des investissements sécurité et d'identifier les domaines nécessitant des ressources supplémentaires.
Amélioration continue par les exercices
Les organisations les plus matures en matière de cybersécurité organisent régulièrement des exercices pour tester et améliorer leurs capacités. Les exercices tabletop (simulation de crise sur table, sans activation des systèmes techniques) développent la coordination des équipes et valident les procédures de communication de crise. Les tests de pénétration (pentest) annuels fournissent une évaluation objective de la résistance technique de l'infrastructure. Les exercices Red/Blue/Purple Team (1-2 fois par an pour les organisations matures) permettent d'aligner les équipes offensive et défensive autour d'objectifs communs d'amélioration. Chaque exercice doit donner lieu à un plan d'action formalisé avec des jalons de correction mesurables, intégré dans la feuille de route sécurité de l'organisation.
Sources et références
Pour aller plus loin
Les concepts présentés dans cet article constituent une base solide pour approfondir le sujet. Ces ressources complémentaires permettent d'aller plus loin dans la compréhension et la mise en pratique.
Ressources officielles de référence
- ANSSI — Guides et recommandations techniques — La bibliothèque technique de l'ANSSI publie régulièrement des guides à jour sur tous les aspects de la sécurité des systèmes d'information. Disponibles gratuitement sur ssi.gouv.fr.
- NIST Cybersecurity Framework — Référentiel international structurant la gestion des risques cyber en 6 fonctions. Version 2.0 publiée en 2024, disponible sur nist.gov.
- MITRE ATT&CK — Base de connaissances des techniques adversariales, régulièrement mise à jour avec les nouvelles menaces observées dans le monde réel.
Formation continue
- Certifications professionnelles reconnues : CISSP, CISM (management), OSCP, CEH (technique)
- Plateformes de formation pratique : HackTheBox, TryHackMe, Hack The Box Academy
- Veille quotidienne : bulletins CERT-FR, alertes CISA, flux RSS NVD
Mise en réseau professionnel
La communauté cybersécurité française est active et ouverte : les clubs RSSI, l'OSSIR, le CLUSIF, et les conférences comme le FIC (Forum International de la Cybersécurité) et les SSTIC sont des points de rencontre essentiels pour les professionnels du secteur. Ces échanges permettent de rester à jour sur les menaces émergentes et les bonnes pratiques réelles.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Sécurité Cloud Native 2026 : Livre Blanc Architecture et Bonnes Pratiques
CUDA — Programmation GPU Haute Performance (404 pages)
Téléchargez gratuitement la référence francophone CUDA : architecture GPU NVIDIA, modèle de programmation, optimisation mémoire, streams, profiling Nsight et kernels avancés. 404 pages pour maîtriser le calcul GPU.
Catalogue Solutions SOTA 2026 : 78 Pages d'Outils IT par Cas d'Usage
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire