Réussir la remédiation Active Directory est un chantier à haute criticité.
L’exercice est souvent nécessaire en réponse à un incident, à des constats de compromission grave ou tout simplement à des normes, e.g. #oradad qui englobe un enjeu financier ainsi que votre image.
Cette remédiation Active Directory demande une approche rigoureuse, planifiée et coordonnée.
Selon nous, en quelques étapes clés, les points essentiels pour réussir cette remédiation sont :
1️⃣🔍 Évaluation initiale et cartographie complète
Avant d’agir, il faut comprendre l’état réel de l’environnement à l’aide d’un assessment précis :
- Cartographie des comptes privilégiés : Domain Admins, Enterprise Admins, Account Operators, DNSAdmins
- Identifier les comptes de services et leur structure
- Déterminer l’état de chaque service core, plus particulièrement le dns🤐
- État des GPO (Group Policy Objects) et des déviances / déviation.
- Audits des contrôleurs de domaine : configuration, état des correctifs, version des systèmes d’exploitation, topologie, sauvegarde, état de la réplication
- Inventaire des inter-connexions (IAM, bastion, trusts, VPN, systèmes tiers)
- Analyse des signes de compromission (IoA, IoE, IoC, comptes suspects, anomalies, déviance et ainsi de suite)
- Niveau de posture de sécurité comme la présente des protocole faibles SMBv1, NTLMv1 (parfois v2), Kerberos RC4-HMAC, LM, DES, WDigest, unsignedLDAP et cætera
🛠️ les outils utiles sont légion : BloodHound, PingCastle, Purple Knight, ADRecon, Forest Druid, ACLScanner, ORADAR, ORADAD PowerView sans oublier l’outil de base qu’est le social engineering en matière de sécurité.
2️⃣🛡️ Stabilisation et mesures immédiates
Dans le moindre doute, le confinement et/ou changement d’état, s’impose :
- Changement des mots de passe privilégiés selon un plan sécurisé,
- Mise en quarantaine des machines et comptes suspects
- Réduction temporaire des privilèges sur les comptes à risque.
- Audit renforcé sur les contrôleurs de domaine et l’ensemble des composants du T0
3️⃣🏗️ Plan de remédiation Active Directory structuré
Créer une feuille de route claire et stricte en tenant compte des éventuelles interruptions des services
Phase 1 – Hygiène de base, en somme la genèse de la remédiation Active Directory
- Mettre à jour la version des systèmes d’exploitation des contrôleurs de domaine
- Activation des logs pertinents (audit, siem, usecases)
- Changer et coffrer les mots de passe (krbtgt, rid500)
- Réduction du nombre des administrateurs à l’indispensable
Phase 2 – Sécurisation des accès :
- Appliquer/accentuer le tiering model (T0 a minima, T1 et T2)
- Implémentation de PoLP (Principle of Least Privilege), JEA (Just Enough Admin) et JIT (Just In Time) avec un PAM / PIM
- Séparation des comptes admin / usage quotidien ; pour rappel, un comte d’admin ne doit en aucun cas avoir un attribut de messagerie
Phase 3 – Surveillance et durcissement :
- Activation de l’auditing avancé (SACL, audit des GPO)
- Intégration et exploitation avancée d’un SIEM pour corrélation des alertes et les réactions ad hoc
- Mise en place de politiques de mot de passe fortes (Password Policy / Fine-Grained Password Policy), Entra ID Password Protection
4️⃣🔐 Reconstruction sécurisée si nécessaire
Si la compromission est profonde (Golden Ticket, Skeleton Key et caetera) :
- Envisager la reconstruction d’un nouveau domaine AD sain et migrer progressivement les objets légitimes (clean forest/domain build).
- Utilisation d’outils comme ADMT ou Microsoft MDI (Defender for Identity) pour surveiller les mouvements pendant la migration.
5️⃣🧠 Montée en compétences & documentation
- Former les équipes sur les bons pratiques, particulièrement la production et ceux qui pensent tout connaître sans rien réellement maîtriser de la sécurité d’active directory 😊… en d’autres termes, ceux qui improvisent dans le contexte de la remédiation Active Directory
- Documenter, c’est-à-dire ce qui a été modifié, découvert, corrigé et les futures règles
- Appliquer la gouvernance sécurité active directory (audit / revue de façon régulière des objets, revues de droits, gestion des changements)
6️⃣🔁 Tests continus et validation
- Effectuer régulièrement des pentests (#redteam, #purpleteam) / audits techniques pour valider la posture
- Utiliser les bons scénarios pour éprouver la détection, la réactivité et temps de réponse
Au-delà de ces six points, d’autres aspects méritent également une attention particulière. Autrement-dit, ces six axes ne couvrent pas l’ensemble des enjeux, d’autres points donc sont également cruciaux.
Il faut oser
Les impératifs de sécurité imposent parfois des choix difficiles, voire impopulaires ☠️
Ils peuvent temporairement affecter la productivité, exiger des changements d’habitudes, ou remettre en cause certaines pratiques établies. Pour cette raison, la conduite d’un exercice de sécurisation (remédiation Active Directory), notamment lorsqu’il s’agit d’un environnement critique, ne peut être laissée à la seule appréciation de la production ou des opérations ❗
La logique de disponibilité, bien qu’essentielle, ne peut primer systématiquement sur les exigences de sécurité. Un équilibre doit être trouvé, mais il doit être guidé par une vision claire des risques et des priorités de cybersécurité.
Gouvernance et stratégie
Il est également crucial que les responsables, techniques ou hiérarchiques, aient la posture nécessaire pour défendre la légitimité des décisions de sécurité.
Un directeur ou un manager qui minimise l’importance des enjeux de sécurité, ou qui ne dispose pas des compétences pour en saisir la portée stratégique, devient un point de blocage dans l’élévation du niveau de maturité du système d’information.
La sécurité ne peut pas reposer uniquement sur les épaules d’une équipe technique isolée ; elle doit être portée par la gouvernance et comprise à tous les niveaux décisionnels.
En bref, le mindset doit être global 👌
La technique
La technique, aussi poussée soit-elle, ne suffit pas à garantir la réussite d’un projet de sécurisation. L’expertise est indispensable, mais elle doit être accompagnée d’une vision stratégique, d’un alignement avec les objectifs métiers, et d’un certain courage politique.
Dans certaines organisations, la sécurité reste un sujet de compromis, voire de tensions internes. Pourtant, pour une fois, il faut que « la politique » serve à faire bouger les lignes dans le bon sens, 👉celui de la résilience, de l’anticipation et de la pérennité des systèmes.
Le staff
Enfin, s’entourer d’un bon architecte pragmatique n’est pas un luxe, c’est une condition de succès ✔️
Dans un exercice aussi structurant que la sécurisation d’Active Directory, en fin de compte la remédiation Active Directory, nécessaire à cause d’un relâchement à un moment ou à un autre, l’approche doit être rigoureuse, méthodique, mais aussi réaliste.
Un bon architecte saura adapter les recommandations théoriques aux contraintes terrain, prioriser les actions à fort impact, tout en évitant les pièges techniques ou les fausses bonnes idées. Il agira comme un trait d’union entre les exigences de sécurité et les impératifs opérationnels, en s’appuyant sur une gouvernance claire et un plan d’action mesurable.