Sécurisation Active Directory : Le guide pour protéger le cœur de votre SI

Pourquoi Active Directory est la cible n°1 des cyberattaques

Active Directory (AD) est le cœur du système d'information de la grande majorité des entreprises utilisant un environnement Microsoft. Il gère l'authentification, les droits d'accès, les politiques de sécurité et les ressources réseau de tous les utilisateurs et machines. Compromettre AD, c'est obtenir les clés de tout le royaume.

Les chiffres sont sans appel : selon le rapport Semperis 2024, Active Directory est la cible de 9 attaques de ransomware sur 10. Le Verizon DBIR 2025 confirme que les identifiants compromis restent le vecteur d'accès initial n°1 (22 % des violations) et que 88 % des attaques contre les applications web utilisent des identifiants volés. Or, dans la plupart des entreprises, ces identifiants sont gérés par Active Directory.

Sources : Semperis 2024 Ransomware Risk Report — Verizon DBIR 2025

En savoir plus sur nos prestations de sécurité de l'infrastructure informatique →

‍

Les 5 failles Active Directory les plus exploitées

1. Comptes administrateurs de domaine trop nombreux

Un AD mal géré accumule les comptes à privilèges élevés. Chaque compte Domain Admin est une cible de choix pour les attaquants. La bonne pratique : limiter les Domain Admins au strict minimum (2-3 comptes), utiliser des comptes dédiés à l'administration (pas de navigation web), et implémenter le modèle de tiering Microsoft (Tier 0/1/2).

‍

Cas type — Cabinet d'avocats, 65 collaborateurs

Lors d'un audit, nous découvrons 14 comptes Domain Admin dans un cabinet d'avocats parisien. Le responsable informatique a attribué ces droits au fil des ans pour "dépanner" des associés ou des prestataires externes. Trois de ces comptes appartenaient à un ancien prestataire de maintenance qui n'intervenait plus depuis 18 mois. Après remédiation, le cabinet est passé à 2 comptes DA dédiés, avec des comptes nominatifs pour l'administration courante.

‍

2. Mot de passe du compte KRBTGT jamais changé

Le compte KRBTGT est utilisé pour chiffrer les tickets Kerberos. Si un attaquant en obtient le hash, il peut forger un Golden Ticket et accéder à n'importe quelle ressource du domaine de façon invisible et persistante. Ce mot de passe doit être changé deux fois consécutivement (pour invalider l'historique) au moins une fois par an, et immédiatement après tout incident.

‍

3. Absence de LAPS (Local Administrator Password Solution)

Sans LAPS, le mot de passe administrateur local est identique sur tous les postes du domaine. Un seul poste compromis donne accès admin à l'ensemble du parc (mouvement latéral instantané). Microsoft LAPS génère un mot de passe unique par machine, stocké dans AD et roté automatiquement.

‍

4. GPO de sécurité insuffisantes ou inexistantes

Les stratégies de groupe (GPO) sont le levier principal pour durcir l'environnement AD : politique de mots de passe, verrouillage de comptes, restriction des connexions administrateurs, audit avancé. Sans GPO de sécurité, AD fonctionne avec ses paramètres par défaut, qui sont conçus pour la compatibilité, pas pour la sécurité.

‍ Cas type — Société de conseil RH, 75 salariés

Audit GPO : politique de mots de passe à 6 caractères sans complexité, pas de verrouillage après échecs de connexion, aucune restriction sur les connexions administrateurs. En pratique, un brute force sur n'importe quel compte était réalisable en quelques minutes. La remédiation a pris 2 jours, sans aucune interruption de service.

Découvrez notre approche de protection des postes de travail et appareils mobiles, le complément indispensable au durcissement Active Directory. →

5. Journalisation insuffisante

Sans audit avancé des événements AD (connexions, modifications de groupes, changements de politiques), les attaques passent inaperçues. Selon IBM (Cost of a Data Breach 2025), le cycle de vie moyen d'une violation est de 241 jours, le plus bas en 9 ans, mais encore largement trop long. La journalisation AD permet de détecter les comportements suspects (DCSync, DCShadow, pass-the-hash) avant qu'ils ne causent des dommages irréversibles.

Source : IBM Cost of a Data Breach Report 2025

‍

Les 10 mesures de durcissement Active Directory prioritaires

‍

1. Limiter les comptes Domain Admin au strict minimum et dédier des comptes à l'administration.
2. Implémenter le modèle de tiering Microsoft (séparation Tier 0/1/2).
3. Changer le mot de passe KRBTGT deux fois consécutivement au moins annuellement.
4. Déployer LAPS sur l'ensemble du parc.
5. Configurer des GPO de mot de passe conformes aux recommandations ANSSI (12 caractères minimum, pas d'expiration mais détection des mots de passe compromis).
6. Activer l'audit avancé des événements AD (4624, 4625, 4672, 4728, 4732, 4756).
7. Désactiver les protocoles obsolètes (NTLM v1, LDAP non signé, SMBv1).
8. Restreindre la délégation Kerberos (pas de délégation non contrainte).
9. Sécuriser les contrôleurs de domaine physiquement et logiquement.
10. Mettre en place un plan de sauvegarde et de restauration AD testé régulièrement.

‍

Estimation terrain IT Systèmes : Pour une PME de 50 à 150 postes, le déploiement des mesures prioritaires (points 1 à 6) représente 2 à 3 semaines de travail, sans interruption de production. L'audit AD initial prend 3 à 5 jours. Le retour sur investissement est immédiat : ces 6 premières mesures neutralisent plus de 80 % des vecteurs d'attaque AD les plus courants.

‍

Le lien entre hardening AD et hardening des postes

La sécurisation Active Directory et le durcissement des postes de travail sont indissociables. Active Directory déploie les GPO de hardening sur les postes, et inversement, un poste compromis peut servir de point d'entrée vers AD. L'approche doit être globale : durcir AD pour protéger le cœur du SI, et durcir les postes pour protéger les extrémités. C'est cette approche que déploie IT Systèmes dans ses prestations de sécurisation d'infrastructure.

‍

Découvrez comment nous durcissons et protégeons les postes de travail et appareils mobiles de nos clients →

‍

Faq - Sécurisation Active Directory

Pourquoi Active Directory est-il la cible n 1 des cyberattaques ?

Active Directory gere l'authentification, les droits d'accès et les politiques de securite de tous les utilisateurs et machines d'un environnement Microsoft. Compromettre AD donne acces a l'ensemble du SI. Selon Semperis 2024, Active Directory est cible dans 9 attaques de ransomware sur 10.

Comment sécuriser Active Directory ?

Les mesures prioritaires : limiter les comptes Domain Admin au strict minimum (2-3), deployer LAPS pour des mots de passe uniques par machine, changer le mot de passe KRBTGT deux fois par an, activer l'audit avance des evenements AD, desactiver les protocoles obsoletes (NTLMv1, SMBv1), et implementer le modele de tiering Microsoft Tier 0/1/2.

Qu'est-ce que LAPS et pourquoi le deployer ?

LAPS (Local Administrator Password Solution) est une solution Microsoft gratuite qui genere un mot de passe administrateur local unique par machine, stocke dans AD et renouvele automatiquement. Sans LAPS, le meme mot de passe admin local est utilise sur tout le parc : un seul poste compromis donne acces a tous les autres.

Qu'est-ce qu'une attaque Golden Ticket sur Active Directory ?

Un Golden Ticket est un faux ticket Kerberos forge à partir du hash du compte KRBTGT. Il donne à l'attaquant un acces illimité et invisible à toutes les ressources du domaine. Pour s'en protéger, il faut changer le mot de passe KRBTGT deux fois consécutivement au moins une fois par an, et immédiatement après tout incident.

Combien de temps faut-il pour securiser un Active Directory ?‍

Un audit AD initial prend 3 a 5 jours. Le déploiement des mesures de durcissement prioritaires (LAPS, tiering, GPO de sécurité, audit avance) s'étale sur 2 a 6 semaines selon la taille du parc. C'est un investissement qui réduit drastiquement la surface d'attaque sans achat de logiciel supplémentaire.

‍

‍