Si vous avez un réseau Windows avec des postes joints à un domaine, vous avez Active Directory (AD). Et si votre AD est compromis lors d'une cyberattaque, l'attaquant a le contrôle total de votre réseau.

C'est pourquoi la sécurisation de l'Active Directory est l'une des priorités que nous recommandons à nos clients.

Qu'est-ce que l'Active Directory ?

Active Directory est le service Microsoft qui centralise :

  • Les comptes utilisateurs et leurs mots de passe
  • Les ordinateurs du réseau
  • Les groupes et leurs permissions
  • Les politiques de sécurité appliquées aux postes (Group Policy)

En pratique : c'est ce qui fait que vous vous connectez avec le même identifiant sur tous vos postes, que vous accédez aux partages réseau selon vos droits, et que les règles de sécurité s'appliquent uniformément.

Pourquoi l'AD est la cible principale des attaquants

Si un attaquant compromet un compte administrateur de domaine, il peut :

  • Accéder à tous les postes et serveurs du réseau
  • Créer de nouveaux comptes administrateurs discrets
  • Déployer un ransomware sur toutes les machines simultanément
  • Exfiltrer toutes les données auxquelles l'entreprise a accès
  • Désactiver les antivirus sur tous les postes

C'est exactement ce que font les ransomwares modernes (Ryuk, LockBit, BlackCat) : ils s'introduisent, passent des semaines à escalader les privilèges jusqu'à obtenir les droits d'administrateur de domaine, puis déclenchent l'attaque en quelques minutes.

Les erreurs classiques de configuration AD en PME

  • Comptes admin utilisés au quotidien : l'administrateur qui utilise son compte admin pour naviguer sur Internet, si ce compte est compromis, c'est game over
  • Trop de comptes avec des droits admin : principe du moindre privilège non respecté
  • Mots de passe de comptes de service jamais changés : certains datent de l'installation initiale, parfois 10 ans plus tôt
  • Kerberoasting non protégé : une technique d'attaque qui permet de récupérer les mots de passe des comptes de service
  • Pas de surveillance des changements sensibles : qui a créé ce compte admin la nuit dernière ?

Ce que nous recommandons

  1. Audit de l'AD : inventaire des comptes, des droits, des GPO
  2. Séparation des comptes admin des comptes utilisateurs courants
  3. Activation de Microsoft Defender for Identity pour surveiller l'AD
  4. Mise en place d'alertes sur les actions sensibles
  5. Vérification des mots de passe des comptes de service

Leader System réalise des audits Active Directory dans le cadre de ses prestations de sécurité.