Audit Active Directory : sécuriser le cœur de votre SI
90 % des cyberattaques majeures impliquent une compromission de l'Active Directory à un moment ou un autre (source : Mandiant M-Trends 2025). Annuaire central des identités et des permissions, AD est la cible privilégiée des attaquants pour obtenir le contrôle total du système d'information. Pourtant, dans la majorité des PME, AD n'a jamais été audité depuis sa mise en place. Ce guide détaille la méthodologie, les outils et les remédiations d'un audit de sécurité Active Directory.
Pourquoi auditer son Active Directory ?
Active Directory accumule depuis sa création (souvent 10 à 20 ans) une dette technique considérable : comptes orphelins, délégations oubliées, mots de passe faibles, GPO obsolètes, configurations héritées de Windows 2003... Chacune de ces failles peut être exploitée par un attaquant ayant déjà mis le pied dans le réseau pour devenir Domain Admin en moins de 24 heures.
des attaques majeures passent par AD
pour devenir Domain Admin sur un AD non sécurisé
des AD audités ont une note PingCastle > 70/100 (critique)
Les 10 vulnérabilités AD les plus fréquentes
Kerberoasting possible
Comptes de service avec SPN et mots de passe faibles : extraction et cassage offline du TGS.
AS-REP Roasting
Comptes avec l'attribut DONT_REQ_PREAUTH activé : récupération du hash sans authentification.
Délégation Kerberos non contrainte
Permet l'usurpation de n'importe quel utilisateur, dont les Domain Admins.
Mots de passe en GPP (cpassword)
Mots de passe administrateurs locaux stockés en clair (clé AES connue) dans SYSVOL.
ADCS mal configuré (ESC1-ESC11)
Templates de certificats permettant l'élévation de privilèges immédiate.
DCSync non restreint
Comptes non-admin disposant de droits Replicating Directory Changes : extraction de tous les hashs.
Comptes administrateurs trop nombreux
Plus de 5 % du parc avec des privilèges admin = surface d'attaque énorme.
krbtgt jamais réinitialisé
Permet aux attaquants de forger des Golden Tickets valables jusqu'à 10 ans.
OS obsolètes (Windows 7/2008/2012)
Vulnérabilités non patchées et techniques d'attaque triviales (PrintNightmare, etc.).
Absence de tiering administratif
Les comptes Domain Admin se connectent sur des postes standards : exposition aux malwares.
Les outils incontournables d'audit AD
PingCastle
Outil français de référence (gratuit en version Basic). Génère un rapport HTML complet avec une note de risque /100 et des recommandations priorisées.
Idéal pour : audit annuel récurrent, suivi de remédiation
BloodHound / SharpHound
Cartographie graphique des chemins d'attaque entre tous les objets AD. Permet d'identifier les "shortest path to Domain Admin".
Idéal pour : pentest, comprendre les délégations transitives
Purple Knight (Semperis)
Scanner gratuit avec 100+ contrôles spécifiques aux indicateurs d'exposition (IoE) et de compromission (IoC).
Idéal pour : compléter PingCastle, focus IoE/IoC
ORADAD (ANSSI)
Outil officiel de l'ANSSI pour l'audit AD selon le référentiel français. Recommandé pour les entités sensibles.
Idéal pour : OIV/OSE/entités essentielles NIS2
Méthodologie d'audit en 7 étapes
Cadrage et périmètre
Définir les domaines/forêts audités, accès nécessaires (compte standard + lecture LDAP), durée d'intervention.
Collecte technique
Exécution des outils (PingCastle, SharpHound, Purple Knight) en lecture seule. Aucune modification du SI.
Analyse des indicateurs
Étude des configurations sensibles : ACL, GPO, comptes privilégiés, trusts inter-domaines, ADCS.
Cartographie des chemins d'attaque
Identification des chemins permettant à un attaquant d'élever ses privilèges depuis un compte standard.
Test de robustesse des mots de passe
Extraction des hashs (NTDS.dit) en environnement isolé et tests de cassage pour mesurer la qualité réelle.
Rapport et restitution
Document détaillé avec scoring, vulnérabilités classées par criticité et plan de remédiation chiffré.
Accompagnement à la remédiation
Plan d'action sur 6 à 12 mois avec quick wins (1 semaine), mesures court terme et chantiers structurels.
Quick wins de sécurisation AD
Avant même de lancer un audit complet, ces actions réduisent immédiatement la surface d'attaque :
Réinitialiser le mot de passe krbtgt (deux fois, avec 24h d'écart)
Activer LAPS pour les administrateurs locaux
Supprimer tous les comptes inactifs depuis > 90 jours
Réduire le groupe Domain Admins à 4 comptes maximum
Activer la protection SMB Signing et désactiver SMBv1
Mettre en place un tiering administratif (T0/T1/T2)
Bloquer les délégations Kerberos non contraintes
Implémenter une politique de mots de passe forts (14+ caractères)
Activer l'audit des événements 4624, 4672, 4688, 4769
Désactiver NTLMv1 et restreindre NTLMv2
Articles complémentaires
Évaluez la sécurité de votre Active Directory
Réservez un audit gratuit de 15 minutes pour échanger sur l'état de votre Active Directory et identifier les chantiers prioritaires de sécurisation.