❓ FAQ - Questions Fréquentes

Toutes vos questions sur le modèle de tiering

🎯 Questions Générales

Qu'est-ce que le modèle de tiering et pourquoi est-il important ?

Le modèle de tiering est une approche de sécurité qui segmente les ressources IT en trois niveaux hiérarchiques basés sur leur criticité :

  • Tier 0 : Active Directory et ressources critiques
  • Tier 1 : Serveurs applicatifs et d'infrastructure
  • Tier 2 : Postes de travail utilisateurs

Importance : Il empêche la propagation latérale des attaques. Sans tiering, un attaquant compromettant un simple poste utilisateur peut facilement escalader ses privilèges jusqu'à devenir Domain Admin.

💡 Bon à savoir : Le tiering réduit de 70-90% la probabilité qu'une compromission Tier 2 atteigne le Tier 0.
Combien de temps faut-il pour implémenter le tiering complet ?

La durée varie selon la taille et la complexité de l'environnement :

  • PME (< 500 utilisateurs) : 3-6 mois
  • Entreprise moyenne (500-2000 utilisateurs) : 6-12 mois
  • Grande entreprise (> 2000 utilisateurs) : 12-24 mois
⚠️ Important : Ne cherchez pas la perfection dès le début ! Une approche itérative avec sécurisation du Tier 0 en priorité (2-3 mois) apporte déjà 80% des bénéfices.
Quel est le coût d'implémentation du tiering ?

Le coût varie significativement selon l'échelle :

  • Licences logicielles : La plupart des fonctionnalités sont incluses dans Windows Server et Windows 10/11 Enterprise (déjà possédés généralement)
  • Matériel PAW : 1000-2000€ par PAW × nombre d'admins Tier 0
  • SIEM/EDR : Variable selon la solution (gratuit avec Windows Defender ou 50-100€/endpoint/an pour solutions commerciales)
  • Consulting/Formation : 20 000-100 000€ selon taille
  • Temps interne : 0.5-2 ETP pendant la durée du projet
💰 ROI : Le coût d'une compromission AD majeure est estimé entre 500 000€ et 5 000 000€. Le tiering se rembourse dès qu'il évite un seul incident majeur.
Peut-on implémenter le tiering progressivement ou faut-il tout faire d'un coup ?

Réponse : L'approche progressive est non seulement possible, mais fortement recommandée !

Ordre recommandé :

  1. Phase 1 (priorité absolue) : Sécuriser le Tier 0
    • Identifier et isoler les ressources Tier 0
    • Déployer des PAW pour admins Tier 0
    • Activer Protected Users et LAPS
    • Bloquer NTLM pour comptes Tier 0
  2. Phase 2 : Implémenter Tier 1 (serveurs)
  3. Phase 3 : Renforcer Tier 2 (postes)
  4. Phase 4 : Optimisation et amélioration continue
✅ Avantage : Gains de sécurité progressifs, risque de disruption minimisé, apprentissage au fur et à mesure.

🔴 Questions sur le Tier 0

Combien de PAW Tier 0 faut-il déployer ?

Règle de base : 1 PAW par administrateur Tier 0, minimum 2 PAW au total.

Calcul recommandé :

  • 1 PAW par admin Tier 0 actif
  • +1-2 PAW de secours partagés
  • +1 PAW pour les comptes break-glass

Exemple : Pour 4 administrateurs Tier 0 → 4 PAW + 2 secours = 6 PAW au total

Alternative : Si le budget PAW est limité, commencer avec des Jump Servers Tier 0 (1-2 serveurs Windows durcis) puis migrer vers des PAW.
Peut-on virtualiser les PAW ou doivent-ils être physiques ?

Recommandation : PAW physiques pour Tier 0, virtualisation acceptable pour Tier 1.

Pourquoi physique pour Tier 0 ?

  • Évite la dépendance à l'hyperviseur (qui doit lui-même être Tier 0)
  • Meilleur isolement (pas de VM escape possible)
  • Simplicité de la gestion des droits

Exception : Si l'hyperviseur est déjà catégorisé Tier 0 et strictement sécurisé, la virtualisation est acceptable.

⚠️ Attention : Ne JAMAIS virtualiser des PAW Tier 0 sur un hyperviseur géré depuis le Tier 1 ou 2 !
Que faire si un administrateur Tier 0 a besoin d'accéder à Internet ?

Solution : Utiliser deux postes distincts ou une architecture multi-session.

Option 1 (Recommandée) : Deux postes physiques séparés

  • PC standard (Tier 2) pour email, Internet, bureautique
  • PAW Tier 0 dédié pour administration AD uniquement

Option 2 : Architecture "Local Admin on Secure Host"

  • Un seul PC physique
  • VM locale pour navigation Internet (Tier 2)
  • Système hôte = PAW Tier 0
❌ JAMAIS : Naviguer sur Internet ou consulter emails depuis un PAW Tier 0 !
Faut-il vraiment bloquer NTLM pour le Tier 0 ?

Oui, c'est fortement recommandé ! NTLM est vulnérable aux attaques Pass-the-Hash.

Approche progressive :

  1. Activer l'audit NTLM pour identifier les usages (1-2 mois)
  2. Migrer ces usages vers Kerberos (configuration SPN)
  3. Bloquer NTLM pour comptes Tier 0 via Protected Users
  4. Surveiller les tentatives bloquées
✅ Bénéfice : Blocage NTLM élimine la majorité des techniques de mouvement latéral utilisées par les attaquants.

🟢 Questions sur le Tier 1

Jump Server vs PAW pour administrer le Tier 1 : quelle différence ?

Jump Server :

  • Serveur Windows centralisé accessible en RDP
  • Partagé entre plusieurs administrateurs
  • Plus simple à déployer et gérer
  • Nécessite Remote Credential Guard
  • Coût : 1-2 serveurs pour toute l'équipe

PAW Tier 1 :

  • Poste dédié par administrateur
  • Meilleur isolement
  • Plus complexe à gérer
  • Coût : 1 poste × nombre d'admins
💡 Recommandation : Jump Servers pour Tier 1 (bon compromis coût/sécurité), PAW réservés au Tier 0.
Comment catégoriser un serveur qui héberge à la fois des apps Tier 1 et Tier 2 ?

Règle : Catégoriser au niveau le plus élevé = Tier 1 dans ce cas.

Mieux encore : Éviter cette situation !

  • Séparer les applications sur des serveurs distincts
  • Ou virtualiser pour isoler chaque tier
⚠️ Problème : Un serveur multi-tier nécessite des comptes admin Tier 1, mais est accessible depuis Tier 2, créant un chemin d'attaque potentiel.

🔵 Questions sur le Tier 2

LAPS est-il vraiment nécessaire si on a déjà des mots de passe complexes ?

Oui, absolument ! LAPS résout un problème différent.

Le problème : Même avec un mot de passe complexe "Admin@2024!", si ce mot de passe est identique sur 500 postes, un attaquant qui compromet un poste peut utiliser Pass-the-Hash pour accéder aux 499 autres.

Solution LAPS :

  • Mot de passe unique par machine
  • Rotation automatique régulière
  • Stocker sécurisé dans AD
✅ Impact : LAPS bloque 80% des mouvements latéraux dans le Tier 2.
Faut-il segmenter le Tier 2 (postes VIP, développeurs, etc.) ?

Recommandé pour certaines populations :

  • Postes VIP/Direction : Cibles de choix pour le phishing, surveillance accrue
  • Postes développeurs : Besoins spécifiques (admin local parfois), risque élevé
  • Postes finance/RH : Accès à données sensibles

Segmentation via :

  • OU dédiées dans AD
  • GPO spécifiques
  • Sous-réseaux distincts si budget permet
  • Surveillance EDR renforcée

🚀 Questions d'Implémentation

Par où commencer concrètement ?

Plan d'action premiers 30 jours :

  1. Semaine 1 : Audit de l'existant
    • Exécuter BloodHound pour identifier chemins d'attaque
    • Lister tous les comptes privilégiés
    • Identifier les ressources Tier 0
  2. Semaine 2 : Quick wins Tier 0
    • Réduire membership de Domain Admins au strict minimum
    • Activer l'audit avancé sur les DC
    • Créer comptes break-glass
  3. Semaine 3-4 : Premiers contrôles
    • Déployer LAPS
    • Créer premier PAW Tier 0 (ou Jump Server)
    • Ajouter comptes Tier 0 à Protected Users
📋 Ressource : Consultez notre Checklist de Déploiement pour le plan complet !
Comment gérer la résistance au changement des équipes ?

Stratégies éprouvées :

  1. Sponsorship exécutif : Obtenir le soutien visible de la direction
  2. Communication claire : Expliquer le "pourquoi" (protection contre ransomware, etc.)
  3. Formation : Former les admins aux nouvelles pratiques
  4. Progression douce : Commencer avec les admins volontaires
  5. Montrer les bénéfices : Démonstration d'attaque bloquée grâce au tiering
⚠️ Erreur fréquente : Imposer le changement sans explication ni formation = échec garanti !
Peut-on faire le tiering sans budget dédié ?

Oui ! Beaucoup est possible avec les outils natifs Windows.

Gratuit ou presque :

  • Protected Users (natif AD)
  • LAPS (gratuit Microsoft)
  • Silos d'authentification (natif Windows Server)
  • Credential Guard (natif Windows 10/11 Enterprise)
  • GPO pour durcissement (natif)
  • Windows Defender (antivirus natif, mode EDR basique)

Investissements recommandés si budget :

  • PAW hardware (2-3 machines : 5000€)
  • EDR commercial (meilleure détection)
  • SIEM (pour grandes organisations)
💡 Astuce : Commencer avec 100% gratuit, puis investir progressivement selon les besoins identifiés.

🛠️ Questions sur les Outils

BloodHound est-il un outil d'attaquant ou de défenseur ?

Les deux ! BloodHound est un outil à double usage (dual-use).

Usage défensif (recommandé) :

  • Identifier les chemins d'attaque avant les attaquants
  • Prioriser les actions de sécurisation
  • Valider l'efficacité du tiering
  • Audit régulier de la posture de sécurité

Précautions :

  • Exécuter SharpHound avec un compte dédié
  • Stocker les résultats de manière sécurisée
  • Ne pas laisser BloodHound accessible à tous
📊 Fréquence : Exécuter BloodHound tous les trimestres pour suivre l'évolution des chemins d'attaque.
Quel SIEM choisir pour le monitoring du tiering ?

Options selon la taille :

PME (< 500 endpoints) :

  • Microsoft Sentinel (cloud, coût par volume de logs)
  • Elastic Stack (gratuit, self-hosted)
  • Graylog (gratuit, plus simple qu'Elastic)

Entreprise moyenne :

  • Splunk (puissant mais cher)
  • Microsoft Sentinel
  • IBM QRadar

Grande entreprise :

  • Splunk Enterprise
  • IBM QRadar
  • LogRhythm
💡 Conseil : Pour le tiering, l'important est d'avoir des règles de détection pour violations inter-tiers, peu importe le SIEM choisi.

🔧 Dépannage

Les comptes du groupe Protected Users ne peuvent plus s'authentifier, que faire ?

Causes fréquentes :

  1. Tickets Kerberos expirés (4h max)
    • Solution : Re-authentification régulière automatique
    • Les sessions restent actives, seule la durée du TGT est limitée
  2. Application ne supporte pas Kerberos
    • Solution : Configurer SPN pour l'application
    • Ou sortir le compte de service de Protected Users temporairement
  3. Niveau fonctionnel domaine insuffisant
    • Vérifier : Windows Server 2012 R2 minimum requis
    • Upgrader le niveau fonctionnel si nécessaire
⚠️ Ne PAS ajouter à Protected Users : Compte Administrator intégré, comptes de service critiques sans test préalable
LAPS ne fonctionne pas, comment diagnostiquer ?

Checklist de diagnostic :

  1. Schéma AD étendu ?
    • Vérifier attributs ms-Mcs-AdmPwd présents
    • Commande : Get-ADObject "CN=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=domain,DC=com"
  2. Droits sur l'OU ?
    • Les ordinateurs doivent pouvoir écrire leur mot de passe
    • Commande: Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers"
  3. GPO appliquée ?
    • Vérifier sur le poste : gpresult /h report.html
    • Chercher "AdmPwd" dans le rapport
  4. Extension CSE installée ?
    • Client LAPS installé sur les postes ?
    • Vérifier : Get-WindowsCapability -Online | Where-Object Name -like '*LAPS*'
Comment savoir si mon tiering est vraiment efficace ?

Tests de validation :

  1. Test BloodHound :
    • Aucun chemin de Tier 2 vers Tier 0 ne doit exister
    • Query: "Shortest path from Tier 2 users to Domain Admins"
  2. Test d'authentification :
    • Essayer de logon avec compte Tier 0 sur poste Tier 2 → Doit échouer
    • Vérifier les silos d'authentification fonctionnent
  3. Test SIEM :
    • Simuler une violation (compte test Tier 0 sur Tier 2)
    • Alerte doit se déclencher en < 5 minutes
  4. Purple Team Exercise :
    • Simuler une attaque complète
    • Vérifier que le tiering bloque la progression
📊 KPI à suivre : Nombre de chemins d'attaque (objectif: 0 depuis Tier 2 vers Tier 0), temps de détection violations, % conformité checklist