Sécurité Active Directory : protéger l’annuaire de votre entreprise
Active Directory (AD) est le cœur névralgique de la plupart des systèmes d’information d’entreprise. Il gère les identités, les droits d’accès et les politiques de sécurité. C’est aussi la cible prioritaire de toute cyberattaque sophistiquée.
Pourquoi Active Directory est la cible n°1
Un attaquant qui compromet Active Directory obtient un accès total à l’ensemble du SI : tous les comptes utilisateurs, tous les serveurs, toutes les données. Les attaques de type ransomware exploitent quasi systématiquement AD pour se propager à l’ensemble du réseau.
Les techniques d’attaque courantes incluent : Kerberoasting (extraction de mots de passe via les tickets Kerberos), Pass-the-Hash (réutilisation de hashs d’authentification), DCSync (réplication malveillante de la base AD), et Golden Ticket (accès permanent indétectable).
Les failles de configuration les plus courantes
- Comptes à privilèges excessifs : trop d’utilisateurs dans le groupe Domain Admins. Chaque admin est un vecteur d’attaque potentiel
- Mots de passe faibles : politique de mots de passe insuffisante, comptes de service avec mots de passe qui n’expirent jamais
- Anciens protocoles actifs : NTLM, LLMNR, NetBIOS encore activés alors qu’ils sont vulnérables
- GPO mal configurées : politiques de groupe qui n’appliquent pas le durcissement recommandé
- Pas de tiering : les comptes administrateurs sont utilisés sur les postes de travail, exposant les identifiants privilégiés
Durcir Active Directory : les mesures prioritaires
1. Modèle de tiering : séparez les niveaux d’administration en trois tiers. Les comptes Tier 0 (contrôleurs de domaine) ne doivent jamais se connecter sur un poste utilisateur. Chaque admin a des comptes différents pour chaque niveau.
2. Réduire les privilèges : limitez drastiquement le nombre de Domain Admins (idéalement 2-3 comptes). Utilisez des groupes délégués avec les droits minimaux nécessaires.
3. LAPS (Local Administrator Password Solution) : attribuez un mot de passe administrateur local unique et aléatoire à chaque poste. Cela empêche le mouvement latéral via les comptes locaux.
4. Désactiver les protocoles obsolètes : désactivez NTLM v1, LLMNR et NetBIOS. Forcez l’utilisation de Kerberos et NTLMv2 au minimum.
5. Audit et monitoring : activez l’audit avancé des événements AD. Surveillez les événements critiques : création de comptes, ajout aux groupes privilégiés, réplication DC, modifications de GPO.
Outils de diagnostic et surveillance
PingCastle : outil gratuit d’audit AD qui attribue un score de sécurité et identifie les failles prioritaires. Indispensable pour un premier diagnostic.
BloodHound : cartographie les chemins d’attaque dans votre AD. Révèle les chaînes de compromission potentielles que les attaquants exploiteraient.
Microsoft Defender for Identity : détecte en temps réel les attaques ciblant AD (Kerberoasting, Pass-the-Hash, DCSync).
Faites auditer la sécurité de votre Active Directory par les experts Odyssix. Contactez-nous pour un diagnostic complet.
Articles connexes
Lancez PingCastle (gratuit) sur un contrôleur de domaine. Il génère un rapport avec un score de 0 à 100 et liste les vulnérabilités par criticité. Un score supérieur à 50 indique des failles sérieuses nécessitant une remédiation urgente.
Azure AD (maintenant Entra ID) offre des fonctionnalités de sécurité modernes (Conditional Access, MFA natif), mais la migration ne résout pas automatiquement les problèmes de l'AD on-premise. La plupart des entreprises fonctionnent en mode hybride, ce qui nécessite de sécuriser les deux environnements.
Les mesures urgentes (réduction des admins, LAPS, désactivation NTLM v1) peuvent être implémentées en quelques jours. Le modèle de tiering complet prend 2 à 6 mois. La surveillance continue est un processus permanent. Commencez par les quick wins à fort impact.
Besoin d'en savoir plus ?
Contactez nos experts pour une démonstration personnalisée.
