Selon le Microsoft Digital Defense Report 2024, l’authentification multifacteur bloque 99,9 % de toutes les attaques automatisées contre les identités. La moitié des incidents de ransomware commence par une identité AD compromise. Cinq mesures concrètes permettent de réduire immédiatement la surface d’attaque, sans nécessiter de projets s’étalant sur des mois.
Active Directory gère les identités, les droits d’accès et les stratégies de groupe dans plus de 90 % des environnements d’entreprise à travers le monde. Celui qui contrôle AD contrôle le réseau. C’est exactement ce que savent des groupes d’attaquants comme BlackCat, LockBit et Cl0p, qui exploitent délibérément des vulnérabilités dans l’authentification Kerberos, les configurations LDAP et les comptes privilégiés.
Le problème : de nombreuses installations AD datent d’une époque où la sécurité passait après la fonctionnalité. Des comptes de service fonctionnent avec des droits d’administrateur de domaine, le mot de passe KRBTGT n’a pas été modifié depuis l’installation initiale, et la surveillance se limite à des vérifications occasionnelles des journaux d’événements. Cette dette technique transforme chaque environnement en une invitation ouverte pour les opérateurs de ransomware.
78%
de tous les cas de ransomware exploitent des failles AD (Mandiant 2025)
99,9%
des attaques bloquées par MFA (Microsoft Digital Defense Report 2024)
Mesure 1 : Mettre en œuvre l’administration hiérarchisée
Le modèle d’administration hiérarchisée de Microsoft divise l’environnement AD en trois zones de sécurité : Tier 0 (contrôleurs de domaine et infrastructure AD), Tier 1 (serveurs et applications) et Tier 2 (terminaux et utilisateurs). Un compte administrateur du Tier 2 ne doit jamais pouvoir se connecter à un système du Tier 0. Cela semble simple, mais est rarement appliqué en pratique.
La mise en œuvre commence par un inventaire : quels comptes disposent de droits d’administrateur de domaine, et en ont-ils réellement besoin ? Dans la plupart des environnements, le nombre de comptes privilégiés est de trois à cinq fois supérieur au strict minimum nécessaire. Chaque compte privilégié superflu constitue un point d’entrée potentiel.
Immédiatement applicable : Créez des comptes administrateurs dédiés par niveau. Bloquez les connexions croisées entre niveaux via une stratégie de groupe (User Rights Assignment). Désactivez le compte d’administrateur intégré et remplacez-le par des comptes nommés avec une traçabilité d’audit claire.
Mesure 2 : Bloquer Kerberoasting en imposant AES
Kerberoasting fait partie des techniques d’attaque les plus efficaces contre Active Directory. Les attaquants demandent, avec un compte utilisateur standard, des tickets de service pour des noms principaux de service (SPNs), puis craquent les tickets chiffrés en RC4 hors ligne par force brute. Comme cette attaque ne génère aucun événement suspect dans le journal de sécurité, elle passe inaperçue dans la plupart des environnements.
La contre-mesure est claire : imposez le chiffrement AES-256 pour tous les tickets Kerberos et désactivez RC4. Les tickets chiffrés en AES ne peuvent pratiquement pas être craqués dans un délai raisonnable avec du matériel actuel. Parallèlement, tous les comptes de service doivent utiliser des mots de passe d’au moins 25 caractères. Encore mieux : les comptes de service gérés par groupe (gMSA), qui tournent automatiquement des mots de passe de 120 caractères.
« Active Directory est la colonne vertébrale de l’IT d’entreprise. S’il tombe, tout s’effondre. Neuf attaques de ransomware sur dix compromettent Active Directory comme vecteur central. »
Semperis Identity Security Research, 2024
Contre-argument : Certaines équipes IT évitent l’imposition d’AES par crainte de problèmes de compatibilité avec d’anciennes applications. Cette crainte est justifiée, mais résoluble. Testez d’abord la migration en mode audit : activez la journalisation Kerberos (ID d’événement 4769) et identifiez les systèmes qui demandent encore RC4. En général, ils sont moins nombreux que prévu.
Mesure 3 : Faire tourner le mot de passe KRBTGT
Le compte KRBTGT signe chaque ticket Kerberos dans l’ensemble du domaine. Celui qui connaît le mot de passe KRBTGT peut créer des « Golden Tickets » et s’authentifier illimitément en tant que n’importe quel utilisateur. Cette attaque survit aux réinitialisations de mot de passe individuelles, voire aux réinstallations de serveurs. Seule une double rotation du mot de passe KRBTGT ferme cette porte dérobée.
Microsoft recommande une rotation régulière, mais en pratique, de nombreuses entreprises ne modifient jamais ce mot de passe. Une double rotation est nécessaire car Active Directory stocke deux versions du mot de passe : la version actuelle et la précédente. Ce n’est que lorsque les deux versions ont été remplacées que les hachages volés deviennent invalides.
Immédiatement applicable : Changez le mot de passe KRBTGT deux fois, avec un intervalle d’au moins 12 heures (durée de vie maximale d’un ticket). Planifiez cette rotation trimestriellement. À chaque départ d’un employé ayant un accès Tier 0 : rotation immédiate et exceptionnelle.
« Si vous ne savez pas quand votre mot de passe KRBTGT a été modifié pour la dernière fois, partez du principe qu’un attaquant le connaît. »
Microsoft Compromise Recovery Security Practice (CRSP)
Mesure 4 : Mettre en place des postes de travail d’accès privilégié (PAW)
Les postes de travail d’accès privilégié sont des appareils dédiés utilisés exclusivement pour les tâches administratives sur les systèmes Tier 0 et Tier 1. Aucun client de messagerie, aucun navigateur, aucune suite bureautique. L’idée est la suivante : si un administrateur effectue son travail quotidien et ses tâches administratives privilégiées sur le même poste, un seul clic de phishing suffit à récupérer les identifiants d’administrateur de domaine.
Le coût d’un PAW varie entre 1 500 et 3 000 Euro par poste, selon l’équipement. Cela peut sembler élevé, mais cette somme est rapidement relativisée : selon une étude de Sophos de 2024, le coût moyen de remédiation d’un incident de ransomware s’élève à 2,73 millions de dollars américains. Quelques postes renforcés représentent alors une simple différence d’arrondi.
Immédiatement applicable : Commencez par un seul PAW pour l’administrateur de domaine le plus critique. Configurez-le comme une machine Windows 11 avec Credential Guard, Device Guard et AppLocker. Autorisez uniquement les connexions RDP vers les contrôleurs de domaine. Aucune connectivité Internet, aucun accès USB.
Mesure 5 : Mettre en place une sauvegarde et une récupération spécifiques à AD
Une sauvegarde régulière de serveur sauvegarde les fichiers et bases de données, mais pas un Active Directory fonctionnel. La base de données AD (NTDS.dit), SYSVOL, le registre système et la configuration de démarrage doivent être sauvegardés de manière cohérente et conjointe. Une NTDS.dit sans l’état SYSVOL correspondant est inutilisable pour une restauration.
Semperis, un spécialiste de la sécurité AD, indique dans son étude Identity Security Study que 68 % des entreprises interrogées n’ont pas de plan de récupération AD dédié. Ces organisations mettraient des jours, voire des semaines, à restaurer leur infrastructure d’identité en cas de panne totale d’AD. Pendant ce temps, l’ensemble de l’entreprise serait à l’arrêt.
Immédiatement applicable : Implémentez Windows Server Backup avec System State sur au moins deux contrôleurs de domaine. Stockez les sauvegardes hors ligne et en dehors du domaine. Testez la restauration trimestriellement dans un environnement de test isolé. Documentez la procédure de récupération de manière à ce qu’un prestataire externe puisse également l’exécuter.
Surveillance : la sixième mesure qui lie le tout
Renforcer sans surveillance revient à poser une serrure sans alarme. Même avec les cinq mesures mises en œuvre, les entreprises doivent surveiller en continu les activités suspectes dans AD. Trois ID d’événement méritent une attention particulière : 4769 (demandes de tickets de service Kerberos, indicateur de Kerberoasting), 4672 (attribution de privilèges spéciaux, détecte l’utilisation de Golden Ticket) et 4728/4756 (modifications des groupes privilégiés).
Des outils comme BloodHound visualisent les chemins d’attaque dans AD et révèlent des chaînes d’autorisations inattendues. Un scan hebdomadaire avec BloodHound permet de détecter l’apparition de nouveaux chemins risqués. Complété par un SIEM doté de règles de détection spécifiques à AD, cela constitue un système d’alerte précoce capable d’identifier les attaques avant qu’elles n’entraînent un arrêt total.
Checklist : Renforcement d’Active Directory en 30 jours
✅ Semaine 1 : Inventaire des comptes privilégiés, suppression des droits d’administrateur de domaine superflus
✅ Semaine 2 : Activation de l’imposition d’AES, double rotation du mot de passe KRBTGT
✅ Semaine 3 : Mise en place du premier PAW, application de l’administration hiérarchisée via GPO
✅ Semaine 4 : Configuration de la sauvegarde AD avec System State, test de récupération, activation des règles de surveillance
Conclusion : Le renforcement n’est pas un projet, mais un état opérationnel
Renforcer Active Directory n’est pas un projet ponctuel avec rapport final et validation. C’est un état opérationnel continu qui exige des rotations régulières du mot de passe KRBTGT, une surveillance permanente et un nettoyage constant des comptes privilégiés. Les cinq mesures immédiates décrites dans cet article réduisent drastiquement la surface d’attaque en 30 jours. La sécurité parfaite n’existe pas, mais chaque mesure appliquée augmente exponentiellement le coût pour les attaquants.
Celui qui commence dès maintenant à sécuriser son niveau Tier 0 prend une longueur d’avance sur la plupart des entreprises. Le meilleur moment était il y a cinq ans. Le deuxième meilleur, c’est aujourd’hui.
Questions fréquentes
Notre AD fonctionne sans problème depuis 10 ans. Pourquoi le renforcer maintenant ?
Parce que la stabilité n’équivaut pas à la sécurité. 78 % des attaques de ransomware utilisent Active Directory comme point d’entrée. La plupart des environnements AD ont accumulé au fil des ans des configurations qui étaient acceptables en 2015, mais qui constituent en 2026 une porte ouverte : chiffrement RC4, mots de passe KRBTGT non tournés, absence de séparation entre niveaux.
Peut-on renforcer AD sans temps d’arrêt ?
Oui, à condition d’agir progressivement. L’administration hiérarchisée et les PAW peuvent être déployées en production. L’imposition d’AES et la rotation KRBTGT nécessitent une planification, mais peuvent être réalisées en heures de travail. Seul le test de sauvegarde AD, qui exige un basculement contrôlé, est critique. Prévoyez une fenêtre de maintenance pour cela.
Microsoft Defender for Identity suffit-il comme surveillance AD ?
Comme base, oui, mais il présente des zones aveugles face à certaines variantes de Kerberoasting et aux attaques Pass-the-Hash. Pour les entreprises disposant de plus de 500 objets AD, les experts recommandent une combinaison : Defender for Identity comme fondement, complété par une solution spécialisée comme Semperis Directory Services Protector ou CrowdStrike Falcon Identity Protection.
Quel est le coût d’un renforcement AD pour une entreprise de 1 000 utilisateurs ?
Les coûts logiciels sont maîtrisés : les outils intégrés de Microsoft couvrent 60 % des besoins. Prévoyez 2 à 4 semaines de travail pour un spécialiste AD (interne ou externe, 8 000 à 15 000 Euro). Ajoutez-y 2 à 4 heures par semaine pour la surveillance et la maintenance. L’alternative : un incident de ransomware coûte en moyenne 4,9 millions de dollars américains, selon IBM.
Devons-nous mettre en œuvre les 5 mesures simultanément ?
Non. Priorisez selon le risque : rotation KRBTGT et imposition d’AES en premier (1 à 2 jours de travail, effet immédiat maximal). Puis l’administration hiérarchisée (1 à 2 semaines). Enfin, PAW et sauvegarde/récupération AD (2 à 4 semaines). La checklist de 30 jours dans cet article fournit un plan concret.
Articles complémentaires
Source de l’image principale : Pexels / Brett Sayles
