{"id":6910,"date":"2026-03-11T09:15:00","date_gmt":"2026-03-11T09:15:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5351\/"},"modified":"2026-05-10T19:08:29","modified_gmt":"2026-05-10T19:08:29","slug":"renforcer-active-directory-5-mesures-immediates-contre-les-attaques-par-usurpation-didentite","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/03\/11\/renforcer-active-directory-5-mesures-immediates-contre-les-attaques-par-usurpation-didentite\/","title":{"rendered":"Renforcer Active Directory : 5 mesures imm\u00e9diates contre les attaques par usurpation d’identit\u00e9"},"content":{"rendered":"

\u23f1 9 minutes de lecture<\/p>\n

Un Active Directory compromis signifie dans la plupart des cas : dommages totaux. Les attaquants se d\u00e9placent lat\u00e9ralement dans le r\u00e9seau, escaladent les privil\u00e8ges et chiffrent l’ensemble de l’infrastructure en quelques heures. Pourtant, AD tourne encore dans de nombreuses entreprises avec des configurations datant de l’\u00e9poque Windows Server 2008. La raison ? Personne n’ose toucher aux services d’annuaire en production. Or, c’est pr\u00e9cis\u00e9ment cette h\u00e9sitation qui rend les organisations vuln\u00e9rables.<\/strong><\/p>\n

L’essentiel en bref<\/h2>\n

\ud83d\udd12 Kerberoasting et les attaques par Golden Ticket touchent 90 % des environnements AD configur\u00e9s par d\u00e9faut<\/p>\n

\ud83d\udee1 L’administration hi\u00e9rarchis\u00e9e s\u00e9pare les comptes administrateurs selon leur criticit\u00e9 et bloque les d\u00e9placements lat\u00e9raux<\/p>\n

\u2699 La rotation du mot de passe KRBTGT et l’imposition d’AES \u00e9liminent deux des classes d’attaque les plus dangereuses<\/p>\n

\ud83d\udcca Les postes de travail d’acc\u00e8s privil\u00e9gi\u00e9 (PAW) co\u00fbtent moins cher qu’un seul incident de ransomware<\/p>\n

\ud83c\udfaf Des donn\u00e9es de Semperis montrent que 68 % des entreprises n’ont pas de sauvegarde sp\u00e9cifique \u00e0 AD<\/p>\n<\/div>\n

Pourquoi Active Directory reste la cible principale<\/h2>\n

Selon le Microsoft Digital Defense Report 2024, l’authentification multifacteur bloque 99,9 % de toutes les attaques automatis\u00e9es contre les identit\u00e9s. La moiti\u00e9 des incidents de ransomware commence par une identit\u00e9 AD compromise. Cinq mesures concr\u00e8tes permettent de r\u00e9duire imm\u00e9diatement la surface d’attaque, sans n\u00e9cessiter de projets s’\u00e9talant sur des mois.<\/p>\n

\n

Active Directory g\u00e8re les identit\u00e9s, les droits d’acc\u00e8s et les strat\u00e9gies de groupe dans plus de 90 % des environnements d’entreprise \u00e0 travers le monde. Celui qui contr\u00f4le AD contr\u00f4le le r\u00e9seau. C’est exactement ce que savent des groupes d’attaquants comme BlackCat, LockBit et Cl0p, qui exploitent d\u00e9lib\u00e9r\u00e9ment des vuln\u00e9rabilit\u00e9s dans l’authentification Kerberos, les configurations LDAP et les comptes privil\u00e9gi\u00e9s.<\/p>\n

Le probl\u00e8me : de nombreuses installations AD datent d’une \u00e9poque o\u00f9 la s\u00e9curit\u00e9 passait apr\u00e8s la fonctionnalit\u00e9. Des comptes de service fonctionnent avec des droits d’administrateur de domaine, le mot de passe KRBTGT n’a pas \u00e9t\u00e9 modifi\u00e9 depuis l’installation initiale, et la surveillance se limite \u00e0 des v\u00e9rifications occasionnelles des journaux d’\u00e9v\u00e9nements. Cette dette technique transforme chaque environnement en une invitation ouverte pour les op\u00e9rateurs de ransomware.<\/p>\n

\n
\n
<\/div>\n
78%<\/div>\n
de tous les cas de ransomware exploitent des failles AD (Mandiant 2025)<\/div>\n<\/div>\n
\n
<\/div>\n
99,9%<\/div>\n
des attaques bloqu\u00e9es par MFA (Microsoft Digital Defense Report 2024)<\/div>\n<\/div>\n<\/div>\n

Mesure 1 : Mettre en \u0153uvre l’administration hi\u00e9rarchis\u00e9e<\/h2>\n

Le mod\u00e8le d’administration hi\u00e9rarchis\u00e9e de Microsoft divise l’environnement AD en trois zones de s\u00e9curit\u00e9 : Tier 0 (contr\u00f4leurs de domaine et infrastructure AD), Tier 1 (serveurs et applications) et Tier 2 (terminaux et utilisateurs). Un compte administrateur du Tier 2 ne doit jamais pouvoir se connecter \u00e0 un syst\u00e8me du Tier 0. Cela semble simple, mais est rarement appliqu\u00e9 en pratique.<\/p>\n

La mise en \u0153uvre commence par un inventaire : quels comptes disposent de droits d’administrateur de domaine, et en ont-ils r\u00e9ellement besoin ? Dans la plupart des environnements, le nombre de comptes privil\u00e9gi\u00e9s est de trois \u00e0 cinq fois sup\u00e9rieur au strict minimum n\u00e9cessaire. Chaque compte privil\u00e9gi\u00e9 superflu constitue un point d’entr\u00e9e potentiel.<\/p>\n

Imm\u00e9diatement applicable :<\/strong> Cr\u00e9ez des comptes administrateurs d\u00e9di\u00e9s par niveau. Bloquez les connexions crois\u00e9es entre niveaux via une strat\u00e9gie de groupe (User Rights Assignment). D\u00e9sactivez le compte d’administrateur int\u00e9gr\u00e9 et remplacez-le par des comptes nomm\u00e9s avec une tra\u00e7abilit\u00e9 d’audit claire.<\/p>\n

Mesure 2 : Bloquer Kerberoasting en imposant AES<\/h2>\n

Kerberoasting fait partie des techniques d’attaque les plus efficaces contre Active Directory. Les attaquants demandent, avec un compte utilisateur standard, des tickets de service pour des noms principaux de service (SPNs), puis craquent les tickets chiffr\u00e9s en RC4 hors ligne par force brute. Comme cette attaque ne g\u00e9n\u00e8re aucun \u00e9v\u00e9nement suspect dans le journal de s\u00e9curit\u00e9, elle passe inaper\u00e7ue dans la plupart des environnements.<\/p>\n

La contre-mesure est claire : imposez le chiffrement AES-256 pour tous les tickets Kerberos et d\u00e9sactivez RC4. Les tickets chiffr\u00e9s en AES ne peuvent pratiquement pas \u00eatre craqu\u00e9s dans un d\u00e9lai raisonnable avec du mat\u00e9riel actuel. Parall\u00e8lement, tous les comptes de service doivent utiliser des mots de passe d’au moins 25 caract\u00e8res. Encore mieux : les comptes de service g\u00e9r\u00e9s par groupe (gMSA), qui tournent automatiquement des mots de passe de 120 caract\u00e8res.<\/p>\n

\n

\u00ab Active Directory est la colonne vert\u00e9brale de l’IT d’entreprise. S\u2019il tombe, tout s\u2019effondre. Neuf attaques de ransomware sur dix compromettent Active Directory comme vecteur central. \u00bb<\/p>\n

Semperis Identity Security Research, 2024<\/cite>\n<\/p>\n<\/blockquote>\n

Contre-argument :<\/strong> Certaines \u00e9quipes IT \u00e9vitent l’imposition d’AES par crainte de probl\u00e8mes de compatibilit\u00e9 avec d’anciennes applications. Cette crainte est justifi\u00e9e, mais r\u00e9soluble. Testez d’abord la migration en mode audit : activez la journalisation Kerberos (ID d’\u00e9v\u00e9nement 4769) et identifiez les syst\u00e8mes qui demandent encore RC4. En g\u00e9n\u00e9ral, ils sont moins nombreux que pr\u00e9vu.<\/p>\n

Mesure 3 : Faire tourner le mot de passe KRBTGT<\/h2>\n

Le compte KRBTGT signe chaque ticket Kerberos dans l’ensemble du domaine. Celui qui conna\u00eet le mot de passe KRBTGT peut cr\u00e9er des \u00ab Golden Tickets \u00bb et s’authentifier illimit\u00e9ment en tant que n’importe quel utilisateur. Cette attaque survit aux r\u00e9initialisations de mot de passe individuelles, voire aux r\u00e9installations de serveurs. Seule une double rotation du mot de passe KRBTGT ferme cette porte d\u00e9rob\u00e9e.<\/p>\n

Microsoft recommande une rotation r\u00e9guli\u00e8re, mais en pratique, de nombreuses entreprises ne modifient jamais ce mot de passe. Une double rotation est n\u00e9cessaire car Active Directory stocke deux versions du mot de passe : la version actuelle et la pr\u00e9c\u00e9dente. Ce n’est que lorsque les deux versions ont \u00e9t\u00e9 remplac\u00e9es que les hachages vol\u00e9s deviennent invalides.<\/p>\n

Imm\u00e9diatement applicable :<\/strong> Changez le mot de passe KRBTGT deux fois, avec un intervalle d’au moins 12 heures (dur\u00e9e de vie maximale d’un ticket). Planifiez cette rotation trimestriellement. \u00c0 chaque d\u00e9part d’un employ\u00e9 ayant un acc\u00e8s Tier 0 : rotation imm\u00e9diate et exceptionnelle.<\/p>\n

\n

\u00ab Si vous ne savez pas quand votre mot de passe KRBTGT a \u00e9t\u00e9 modifi\u00e9 pour la derni\u00e8re fois, partez du principe qu\u2019un attaquant le conna\u00eet. \u00bb<\/p>\n

Microsoft Compromise Recovery Security Practice (CRSP)<\/p>\n<\/div>\n

Mesure 4 : Mettre en place des postes de travail d’acc\u00e8s privil\u00e9gi\u00e9 (PAW)<\/h2>\n

Les postes de travail d’acc\u00e8s privil\u00e9gi\u00e9 sont des appareils d\u00e9di\u00e9s utilis\u00e9s exclusivement pour les t\u00e2ches administratives sur les syst\u00e8mes Tier 0 et Tier 1. Aucun client de messagerie, aucun navigateur, aucune suite bureautique. L’id\u00e9e est la suivante : si un administrateur effectue son travail quotidien et ses t\u00e2ches administratives privil\u00e9gi\u00e9es sur le m\u00eame poste, un seul clic de phishing suffit \u00e0 r\u00e9cup\u00e9rer les identifiants d’administrateur de domaine.<\/p>\n

Le co\u00fbt d\u2019un PAW varie entre 1 500 et 3 000 Euro par poste, selon l\u2019\u00e9quipement. Cela peut sembler \u00e9lev\u00e9, mais cette somme est rapidement relativis\u00e9e : selon une \u00e9tude de Sophos de 2024, le co\u00fbt moyen de rem\u00e9diation d\u2019un incident de ransomware s\u2019\u00e9l\u00e8ve \u00e0 2,73 millions de dollars am\u00e9ricains. Quelques postes renforc\u00e9s repr\u00e9sentent alors une simple diff\u00e9rence d\u2019arrondi.<\/p>\n

Imm\u00e9diatement applicable :<\/strong> Commencez par un seul PAW pour l’administrateur de domaine le plus critique. Configurez-le comme une machine Windows 11 avec Credential Guard, Device Guard et AppLocker. Autorisez uniquement les connexions RDP vers les contr\u00f4leurs de domaine. Aucune connectivit\u00e9 Internet, aucun acc\u00e8s USB.<\/p>\n

Mesure 5 : Mettre en place une sauvegarde et une r\u00e9cup\u00e9ration sp\u00e9cifiques \u00e0 AD<\/h2>\n

Une sauvegarde r\u00e9guli\u00e8re de serveur sauvegarde les fichiers et bases de donn\u00e9es, mais pas un Active Directory fonctionnel. La base de donn\u00e9es AD (NTDS.dit), SYSVOL, le registre syst\u00e8me et la configuration de d\u00e9marrage doivent \u00eatre sauvegard\u00e9s de mani\u00e8re coh\u00e9rente et conjointe. Une NTDS.dit sans l’\u00e9tat SYSVOL correspondant est inutilisable pour une restauration.<\/p>\n

Semperis, un sp\u00e9cialiste de la s\u00e9curit\u00e9 AD, indique dans son \u00e9tude Identity Security Study que 68 % des entreprises interrog\u00e9es n’ont pas de plan de r\u00e9cup\u00e9ration AD d\u00e9di\u00e9. Ces organisations mettraient des jours, voire des semaines, \u00e0 restaurer leur infrastructure d’identit\u00e9 en cas de panne totale d’AD. Pendant ce temps, l’ensemble de l’entreprise serait \u00e0 l’arr\u00eat.<\/p>\n

Imm\u00e9diatement applicable :<\/strong> Impl\u00e9mentez Windows Server Backup avec System State sur au moins deux contr\u00f4leurs de domaine. Stockez les sauvegardes hors ligne et en dehors du domaine. Testez la restauration trimestriellement dans un environnement de test isol\u00e9. Documentez la proc\u00e9dure de r\u00e9cup\u00e9ration de mani\u00e8re \u00e0 ce qu\u2019un prestataire externe puisse \u00e9galement l\u2019ex\u00e9cuter.<\/p>\n

Surveillance : la sixi\u00e8me mesure qui lie le tout<\/h2>\n

Renforcer sans surveillance revient \u00e0 poser une serrure sans alarme. M\u00eame avec les cinq mesures mises en \u0153uvre, les entreprises doivent surveiller en continu les activit\u00e9s suspectes dans AD. Trois ID d’\u00e9v\u00e9nement m\u00e9ritent une attention particuli\u00e8re : 4769 (demandes de tickets de service Kerberos, indicateur de Kerberoasting), 4672 (attribution de privil\u00e8ges sp\u00e9ciaux, d\u00e9tecte l’utilisation de Golden Ticket) et 4728\/4756 (modifications des groupes privil\u00e9gi\u00e9s).<\/p>\n

Des outils comme BloodHound<\/a> visualisent les chemins d’attaque dans AD et r\u00e9v\u00e8lent des cha\u00eenes d’autorisations inattendues. Un scan hebdomadaire avec BloodHound permet de d\u00e9tecter l’apparition de nouveaux chemins risqu\u00e9s. Compl\u00e9t\u00e9 par un SIEM dot\u00e9 de r\u00e8gles de d\u00e9tection sp\u00e9cifiques \u00e0 AD, cela constitue un syst\u00e8me d’alerte pr\u00e9coce capable d’identifier les attaques avant qu’elles n’entra\u00eenent un arr\u00eat total.<\/p>\n

Checklist : Renforcement d’Active Directory en 30 jours<\/h2>\n

\u2705 Semaine 1 :<\/strong> Inventaire des comptes privil\u00e9gi\u00e9s, suppression des droits d’administrateur de domaine superflus<\/p>\n

\u2705 Semaine 2 :<\/strong> Activation de l’imposition d’AES, double rotation du mot de passe KRBTGT<\/p>\n

\u2705 Semaine 3 :<\/strong> Mise en place du premier PAW, application de l’administration hi\u00e9rarchis\u00e9e via GPO<\/p>\n

\u2705 Semaine 4 :<\/strong> Configuration de la sauvegarde AD avec System State, test de r\u00e9cup\u00e9ration, activation des r\u00e8gles de surveillance<\/p>\n

Conclusion : Le renforcement n’est pas un projet, mais un \u00e9tat op\u00e9rationnel<\/h2>\n

Renforcer Active Directory n’est pas un projet ponctuel avec rapport final et validation. C’est un \u00e9tat op\u00e9rationnel continu qui exige des rotations r\u00e9guli\u00e8res du mot de passe KRBTGT, une surveillance permanente et un nettoyage constant des comptes privil\u00e9gi\u00e9s. Les cinq mesures imm\u00e9diates d\u00e9crites dans cet article r\u00e9duisent drastiquement la surface d’attaque en 30 jours. La s\u00e9curit\u00e9 parfaite n’existe pas, mais chaque mesure appliqu\u00e9e augmente exponentiellement le co\u00fbt pour les attaquants.<\/p>\n

Celui qui commence d\u00e8s maintenant \u00e0 s\u00e9curiser son niveau Tier 0 prend une longueur d’avance sur la plupart des entreprises. Le meilleur moment \u00e9tait il y a cinq ans. Le deuxi\u00e8me meilleur, c’est aujourd’hui.<\/p>\n

Questions fr\u00e9quentes<\/h2>\n

Notre AD fonctionne sans probl\u00e8me depuis 10 ans. Pourquoi le renforcer maintenant ?<\/h3>\n

Parce que la stabilit\u00e9 n’\u00e9quivaut pas \u00e0 la s\u00e9curit\u00e9. 78 % des attaques de ransomware utilisent Active Directory comme point d’entr\u00e9e. La plupart des environnements AD ont accumul\u00e9 au fil des ans des configurations qui \u00e9taient acceptables en 2015, mais qui constituent en 2026 une porte ouverte : chiffrement RC4, mots de passe KRBTGT non tourn\u00e9s, absence de s\u00e9paration entre niveaux.<\/p>\n

Peut-on renforcer AD sans temps d’arr\u00eat ?<\/h3>\n

Oui, \u00e0 condition d’agir progressivement. L’administration hi\u00e9rarchis\u00e9e et les PAW peuvent \u00eatre d\u00e9ploy\u00e9es en production. L’imposition d’AES et la rotation KRBTGT n\u00e9cessitent une planification, mais peuvent \u00eatre r\u00e9alis\u00e9es en heures de travail. Seul le test de sauvegarde AD, qui exige un basculement contr\u00f4l\u00e9, est critique. Pr\u00e9voyez une fen\u00eatre de maintenance pour cela.<\/p>\n

Microsoft Defender for Identity suffit-il comme surveillance AD ?<\/h3>\n

Comme base, oui, mais il pr\u00e9sente des zones aveugles face \u00e0 certaines variantes de Kerberoasting et aux attaques Pass-the-Hash. Pour les entreprises disposant de plus de 500 objets AD, les experts recommandent une combinaison : Defender for Identity comme fondement, compl\u00e9t\u00e9 par une solution sp\u00e9cialis\u00e9e comme Semperis Directory Services Protector ou CrowdStrike Falcon Identity Protection.<\/p>\n

Quel est le co\u00fbt d\u2019un renforcement AD pour une entreprise de 1 000 utilisateurs ?<\/h3>\n

Les co\u00fbts logiciels sont ma\u00eetris\u00e9s : les outils int\u00e9gr\u00e9s de Microsoft couvrent 60 % des besoins. Pr\u00e9voyez 2 \u00e0 4 semaines de travail pour un sp\u00e9cialiste AD (interne ou externe, 8 000 \u00e0 15 000 Euro). Ajoutez-y 2 \u00e0 4 heures par semaine pour la surveillance et la maintenance. L’alternative : un incident de ransomware co\u00fbte en moyenne 4,9 millions de dollars am\u00e9ricains, selon IBM.<\/p>\n

Devons-nous mettre en \u0153uvre les 5 mesures simultan\u00e9ment ?<\/h3>\n

Non. Priorisez selon le risque : rotation KRBTGT et imposition d\u2019AES en premier (1 \u00e0 2 jours de travail, effet imm\u00e9diat maximal). Puis l\u2019administration hi\u00e9rarchis\u00e9e (1 \u00e0 2 semaines). Enfin, PAW et sauvegarde\/r\u00e9cup\u00e9ration AD (2 \u00e0 4 semaines). La checklist de 30 jours dans cet article fournit un plan concret.<\/p>\n

Articles compl\u00e9mentaires<\/h2>\n