Pentest Active Directory — Audit de Sécurité Complet

Un audit AD (type PingCastle) analyse la configuration et les bonnes pratiques de manière passive. Un pentest AD va plus loin : il exploite réellement les vulnérabilités pour démontrer leur impact concret. Le pentest prouve que le chemin est exploitable en conditions réelles, pas seulement théorique. Nous recommandons un audit de configuration comme première étape, suivi d'un pentest pour valider l'exploitation effective. Notre prestation inclut les deux approches.

Les techniques que nous utilisons sont ciblées et contrôlées. Nous évitons systématiquement les actions pouvant causer un déni de service (verrouillage de comptes massif, crash de DC). Chaque action à risque est validée avec votre équipe avant exécution. Les règles d'engagement définies au démarrage précisent les limites et les horaires d'intervention. En +200 pentests AD réalisés, nous n'avons jamais provoqué d'incident de production.

Comptez 10 à 20 jours ouvrés selon la taille de votre AD. Pour une PME (100-200 comptes, mono-domaine), 10 jours suffisent. Pour une ETI (500+ comptes, multi-sites, trusts), prévoyez 15-20 jours. Ce délai inclut la reconnaissance, l'exploitation, la rédaction du rapport et la restitution. Le retest à 3 mois est inclus sans surcoût.

Cela dépend du scénario choisi. En boîte noire, nous partons de zéro — simule un attaquant qui a accès au réseau (post-compromission d'un poste). En boîte grise (recommandé), vous nous fournissez un compte utilisateur standard pour maximiser la couverture. En boîte blanche, nous disposons aussi de la documentation AD. Nous recommandons la boîte grise qui offre le meilleur équilibre couverture/réalisme.

Oui, absolument. Le pentest AD répond directement aux contrôles ISO 27001 Annexe A relatifs à la gestion des accès (A.8.3), la sécurité des réseaux (A.8.20), la gestion des vulnérabilités (A.8.8) et les tests d'intrusion (A.8.34). Pour NIS2, il valide les mesures techniques de cyberhygiène et la gestion des identités. Le rapport est formaté pour servir de preuve d'audit.

Nous recommandons un pentest AD complet au moins une fois par an. L'Active Directory évolue au quotidien : nouveaux comptes, modifications de permissions, ajout de services — chaque changement peut créer de nouveaux chemins d'attaque. En complément, un scan PingCastle trimestriel permet un suivi continu entre deux pentests. Après un changement majeur (migration, fusion, nouveau trust), un pentest est également recommandé.

C'est malheureusement le scénario le plus courant. Lorsque le DA est obtenu rapidement, nous ne nous arrêtons pas là : nous continuons à identifier tous les chemins d'attaque alternatifs pour fournir une cartographie complète. Chaque chemin est documenté avec sa preuve d'exploitation. C'est précisément cette exhaustivité qui permet de prioriser la remédiation et de fermer tous les vecteurs, pas seulement le plus évident.

Si votre AD est hybride (synchronisé avec Entra ID via AD Connect), le pentest couvre également le volet cloud : évaluation de la synchronisation, recherche de chemins d'escalade on-prem → cloud et cloud → on-prem, audit des Conditional Access Policies et des configurations Entra ID. Pour un pentest Entra ID / Microsoft 365 complet et dédié, consultez notre offre Pentest Microsoft 365.