Retour aux actualités
    Guide

    Audit Active Directory : sécuriser le cœur de votre SI

    90 % des cyberattaques majeures impliquent une compromission de l'Active Directory à un moment ou un autre (source : Mandiant M-Trends 2025). Annuaire central des identités et des permissions, AD est la cible privilégiée des attaquants pour obtenir le contrôle total du système d'information. Pourtant, dans la majorité des PME, AD n'a jamais été audité depuis sa mise en place. Ce guide détaille la méthodologie, les outils et les remédiations d'un audit de sécurité Active Directory.

    Pourquoi auditer son Active Directory ?

    Active Directory accumule depuis sa création (souvent 10 à 20 ans) une dette technique considérable : comptes orphelins, délégations oubliées, mots de passe faibles, GPO obsolètes, configurations héritées de Windows 2003... Chacune de ces failles peut être exploitée par un attaquant ayant déjà mis le pied dans le réseau pour devenir Domain Admin en moins de 24 heures.

    90 %

    des attaques majeures passent par AD

    < 24h

    pour devenir Domain Admin sur un AD non sécurisé

    73 %

    des AD audités ont une note PingCastle > 70/100 (critique)

    Les 10 vulnérabilités AD les plus fréquentes

    1

    Kerberoasting possible

    Comptes de service avec SPN et mots de passe faibles : extraction et cassage offline du TGS.

    2

    AS-REP Roasting

    Comptes avec l'attribut DONT_REQ_PREAUTH activé : récupération du hash sans authentification.

    3

    Délégation Kerberos non contrainte

    Permet l'usurpation de n'importe quel utilisateur, dont les Domain Admins.

    4

    Mots de passe en GPP (cpassword)

    Mots de passe administrateurs locaux stockés en clair (clé AES connue) dans SYSVOL.

    5

    ADCS mal configuré (ESC1-ESC11)

    Templates de certificats permettant l'élévation de privilèges immédiate.

    6

    DCSync non restreint

    Comptes non-admin disposant de droits Replicating Directory Changes : extraction de tous les hashs.

    7

    Comptes administrateurs trop nombreux

    Plus de 5 % du parc avec des privilèges admin = surface d'attaque énorme.

    8

    krbtgt jamais réinitialisé

    Permet aux attaquants de forger des Golden Tickets valables jusqu'à 10 ans.

    9

    OS obsolètes (Windows 7/2008/2012)

    Vulnérabilités non patchées et techniques d'attaque triviales (PrintNightmare, etc.).

    10

    Absence de tiering administratif

    Les comptes Domain Admin se connectent sur des postes standards : exposition aux malwares.

    Les outils incontournables d'audit AD

    PingCastle

    Outil français de référence (gratuit en version Basic). Génère un rapport HTML complet avec une note de risque /100 et des recommandations priorisées.

    Idéal pour : audit annuel récurrent, suivi de remédiation

    BloodHound / SharpHound

    Cartographie graphique des chemins d'attaque entre tous les objets AD. Permet d'identifier les "shortest path to Domain Admin".

    Idéal pour : pentest, comprendre les délégations transitives

    Purple Knight (Semperis)

    Scanner gratuit avec 100+ contrôles spécifiques aux indicateurs d'exposition (IoE) et de compromission (IoC).

    Idéal pour : compléter PingCastle, focus IoE/IoC

    ORADAD (ANSSI)

    Outil officiel de l'ANSSI pour l'audit AD selon le référentiel français. Recommandé pour les entités sensibles.

    Idéal pour : OIV/OSE/entités essentielles NIS2

    Méthodologie d'audit en 7 étapes

    1

    Cadrage et périmètre

    Définir les domaines/forêts audités, accès nécessaires (compte standard + lecture LDAP), durée d'intervention.

    2

    Collecte technique

    Exécution des outils (PingCastle, SharpHound, Purple Knight) en lecture seule. Aucune modification du SI.

    3

    Analyse des indicateurs

    Étude des configurations sensibles : ACL, GPO, comptes privilégiés, trusts inter-domaines, ADCS.

    4

    Cartographie des chemins d'attaque

    Identification des chemins permettant à un attaquant d'élever ses privilèges depuis un compte standard.

    5

    Test de robustesse des mots de passe

    Extraction des hashs (NTDS.dit) en environnement isolé et tests de cassage pour mesurer la qualité réelle.

    6

    Rapport et restitution

    Document détaillé avec scoring, vulnérabilités classées par criticité et plan de remédiation chiffré.

    7

    Accompagnement à la remédiation

    Plan d'action sur 6 à 12 mois avec quick wins (1 semaine), mesures court terme et chantiers structurels.

    Quick wins de sécurisation AD

    Avant même de lancer un audit complet, ces actions réduisent immédiatement la surface d'attaque :

    Réinitialiser le mot de passe krbtgt (deux fois, avec 24h d'écart)

    Activer LAPS pour les administrateurs locaux

    Supprimer tous les comptes inactifs depuis > 90 jours

    Réduire le groupe Domain Admins à 4 comptes maximum

    Activer la protection SMB Signing et désactiver SMBv1

    Mettre en place un tiering administratif (T0/T1/T2)

    Bloquer les délégations Kerberos non contraintes

    Implémenter une politique de mots de passe forts (14+ caractères)

    Activer l'audit des événements 4624, 4672, 4688, 4769

    Désactiver NTLMv1 et restreindre NTLMv2

    Articles complémentaires

    Évaluez la sécurité de votre Active Directory

    Réservez un audit gratuit de 15 minutes pour échanger sur l'état de votre Active Directory et identifier les chantiers prioritaires de sécurisation.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.