Comment réaliser un audit cybersécurité en 2026 ?
En 2026, l’audit cybersécurité est la première étape pour sécuriser son SI et se conformer à NIS2 et DORA.
Un audit Active Directory consiste à examiner la configuration, les droits et les comptes de l’annuaire pour repérer les faiblesses qu’un attaquant exploiterait afin d’en prendre le contrôle.
Les points de contrôle critiques portent sur les comptes à privilèges, les paramètres Kerberos, les droits de réplication, l’hygiène des objets, les GPO et les services de certificats.
Active Directory étant le cœur de l’authentification de la plupart des entreprises, sa compromission équivaut à la prise de contrôle de tout le système d’information.
Cet article détaille les points de contrôle à vérifier, les outils pour le faire et la méthode pour mener un audit utile.
Pourquoi l’Active Directory est-il une cible prioritaire ?
Un composant critique au cœur de l’infrastructure Windows
Active Directory gère l’authentification, les droits d’accès, les stratégies de groupe et le DNS interne de la quasi-totalité des environnements Windows. C’est précisément ce rôle central qui en fait la cible numéro un des attaquants : un domaine compromis, c’est une organisation entière sous contrôle.
Active Directory et ransomware
Les données du secteur sont éloquentes : en 2025, environ 90 % des attaques par rançongiciel ont impliqué une compromission d’Active Directory à un moment de la chaîne d’attaque, un constat partagé par l’ANSSI.
L’agence française observe par ailleurs un « manque de maturité critique et récurrent » sur la sécurité des annuaires.
Une sécurité qui se dégrade naturellement avec le temps
Le phénomène a une cause structurelle : le niveau de sécurité d’un AD se dégrade avec le temps, au fil des comptes créés puis oubliés, des droits accordés « provisoirement » et des délégations jamais nettoyées. Un annuaire en place depuis dix ans accumule des chemins d’attaque que personne n’a cartographiés.
De l’accès utilisateur au contrôle total du domaine
Le risque est systémique. Une fois des droits élevés obtenus sur l’annuaire, l’attaquant peut déployer une charge malveillante sur l’ensemble du parc, notamment via les GPO. Dans un domaine standard non durci, le trajet entre un simple compte utilisateur et le contrôle total du domaine se compte souvent en heures, et non en jours.
C’est ce qui rend l’audit régulier indispensable, même lorsqu’un EDR performant et un SOC sont déjà en place.
Comment un attaquant compromet-il un annuaire ?
Comprendre la chaîne d’attaque type aide à cibler les bons points de contrôle. Le scénario classique commence par un email de hameçonnage qui compromet le poste d’un utilisateur ordinaire.
L’attaquant extrait ensuite des identifiants en mémoire, élève ses privilèges, se déplace latéralement, puis vise les contrôleurs de domaine. Les techniques suivantes reviennent dans la plupart des tests d’intrusion internes ; elles sont répertoriées dans le référentiel MITRE ATT&CK.
La bonne nouvelle pour un décideur : la plupart de ces attaques sont évitables par des mesures de configuration, sans achat de solution supplémentaire. Encore faut-il les avoir identifiées. C’est l’objet des points de contrôle.
A lire aussi : Panorama 2026 des normes et obligations en cybersécurité et gouvernance des données
Les points de contrôle critiques d’un audit Active Directory
Face à ce risque, l’ANSSI met à disposition un recueil de points de contrôle Active Directory, organisé par niveaux de sécurité, ainsi que son service ADS (Active Directory Security) pour les opérateurs réglementés et la sphère publique. Le tableau ci-dessous synthétise les contrôles qui pèsent le plus lourd dans un audit.
Quelques contrôles méritent un développement, car ce sont eux qui font basculer un domaine.
| Point de contrôle | Risque si négligé | Bonne pratique |
| Comptes Domain Admins / Enterprise Admins | Prise de contrôle totale du domaine | Réduire au strict minimum, comptes dédiés, jamais pour un usage quotidien |
| Compte KRBTGT | Golden Ticket, accès illimité et persistant | Rotation régulière (deux fois de suite), surveillance des usages |
| Délégations Kerberos | Usurpation d’identité, élévation de privilèges | Supprimer la délégation non contrainte, préférer la délégation contrainte ou les gMSA |
| Comptes de service (SPN) | Kerberoasting | Mots de passe longs et aléatoires, comptes de service gérés (gMSA), chiffrement AES |
| Droits de réplication et ACL | DCSync, exfiltration des secrets | Auditer les ACL, restreindre les droits GetChanges / GetChangesAll |
| Comptes et objets obsolètes | Surface d’attaque, comptes oubliés réactivés | Nettoyage régulier, désactivation des comptes inactifs |
| GPO et partage SYSVOL | Déploiement de charges, mots de passe en clair (GPP) | Restreindre les droits sur les GPO, supprimer les anciens password |
| Services de certificats (ADCS) | Élévation de privilèges via certificat | Durcir les modèles de certificats, auditer les scénarios ESC1 à ESC8 |
| Cloisonnement et modèle en tiers | Mouvement latéral jusqu’au Tier 0 | Tiering, postes d’administration dédiés (PAW), LAPS pour les comptes locaux |
Les comptes à privilèges et le modèle en tiers
Chaque compte membre des groupes d’administration est une clé du royaume. L’audit recense ces comptes, vérifie qu’ils ne servent pas à des tâches courantes (lecture de courriels, navigation) et contrôle l’existence d’un modèle en tiers.
Ce cloisonnement sépare les ressources les plus sensibles (le Tier 0 : contrôleurs de domaine, comptes d’administration de l’annuaire) du reste du parc, pour qu’une compromission de poste ne remonte pas jusqu’à l’annuaire.
L’ANSSI rappelle que beaucoup d’organisations comptent à tort sur le seul cloisonnement réseau, alors que les protocoles d’AD (RPC, SMB, Kerberos) doivent rester ouverts pour fonctionner.
Le compte KRBTGT et les délégations Kerberos
Le compte KRBTGT signe tous les tickets Kerberos du domaine. Sa compromission permet de forger un Golden Ticket, c’est-à-dire un accès illimité et difficile à détecter. L’audit vérifie l’ancienneté de son mot de passe et la procédure de rotation.
Côté délégations, la délégation non contrainte reste l’une des erreurs de configuration les plus graves : tout service qui en bénéficie peut usurper n’importe quel utilisateur s’authentifiant auprès de lui, y compris un administrateur de domaine. Sa détection est rapide et sa suppression, prioritaire.
A lire aussi : NTLM vs Kerberos : quelles différences ?
Les droits, les ACL et l’hygiène de l’annuaire
Les droits de réplication mal attribués ouvrent la porte à DCSync, qui permet d’extraire l’intégralité des empreintes de mots de passe, KRBTGT compris. L’audit passe en revue les listes de contrôle d’accès (ACL) à la recherche de permissions excessives accordées à des comptes non privilégiés.
Vient enfin l’hygiène : comptes inactifs, mots de passe qui n’expirent jamais, comptes de service surdimensionnés. Ces objets « oubliés » constituent une part majeure de la surface d’attaque, et leur nettoyage est l’un des chantiers au meilleur rapport effort/impact.
Quels outils pour auditer son Active Directory ?
Un audit AD combine plusieurs outils, chacun couvrant un angle. Les principaux, largement utilisés en mission, sont les suivants :
PingCastle revendique « 80 % de la sécurité de l’AD en 20 % du temps » : son score global correspond à la pire note parmi quatre catégories (comptes à privilèges, relations d’approbation, objets obsolètes, anomalies de sécurité). Un score élevé signale un risque élevé.
Selon les praticiens, au-delà de 50, des actions de remédiation urgentes s’imposent ; au-delà de 70, la compromission du domaine par un attaquant interne devient une question de jours. Lancer PingCastle sur son domaine est l’étape la plus accessible pour un RSSI qui veut une première photographie, sans attendre un pentest complet.
Les étapes pour mener un audit Active Directory
Étape 1 : Cadrer et obtenir les accès
On définit le périmètre (un domaine, plusieurs, une forêt entière), on identifie les contrôleurs de domaine et l’on obtient un compte de lecture.
Un audit ciblé sur un domaine de moins de 500 utilisateurs demande de l’ordre d’une semaine ; un environnement multi-forêts de plusieurs milliers d’utilisateurs peut réclamer trois semaines ou davantage.
Étape 2 : Mesurer le niveau de configuration
On lance un outil de scoring comme PingCastle pour obtenir une note globale et la liste des règles en échec. Cette première passe révèle l’essentiel des mauvaises configurations en quelques minutes et sert de base de comparaison dans le temps.
Étape 3 : Cartographier les chemins d’attaque
On complète avec BloodHound, qui visualise les trajets exacts menant à un compte à privilèges ou au Tier 0. Là où le scoring dit « il y a un problème », le graphe montre « voici comment un attaquant l’exploiterait », ce qui change tout pour prioriser.
Étape 4 : Valider manuellement l’exploitabilité
Les contrôles les plus critiques (délégations, ACL de réplication, modèles de certificats) sont vérifiés à la main pour confirmer qu’ils sont réellement exploitables. C’est ce qui distingue une liste d’alertes théoriques d’un rapport actionnable.
Étape 5 : Prioriser et restituer
Le livrable comprend une synthèse pour la direction (niveau de risque, exposition) et un plan de remédiation hiérarchisé selon le rapport effort/impact. Les rapports de scoring datés constituent par ailleurs des artefacts utiles pour une certification ISO 27001.
Étape 6 : Remédier puis suivre dans le temps
Comme le niveau de sécurité d’un AD se dégrade naturellement, l’audit doit être récurrent. On rejoue le scoring après remédiation, on suit l’évolution de la note et l’on intègre les nouveaux points de contrôle à mesure qu’ils sont publiés.
Comment prioriser les actions de remédiation après un audit Active Directory ?
Quelles vulnérabilités Active Directory corriger en priorité ?
Certaines vulnérabilités ne demandent ni déploiement complexe ni validation architecturale. Elles doivent être traitées en priorité absolue :
- supprimer les délégations non contraintes inutiles ;
- désactiver les comptes inactifs ;
- retirer les anciens mots de passe en clair des GPO ;
- restreindre les droits de réplication aux seuls contrôleurs de domaine.
Les chantiers à moyen terme : plusieurs semaines de consolidation
Une fois les failles critiques colmatées, l’effort porte sur le durcissement des mécanismes d’authentification et de gestion des comptes :
- rotation du mot de passe KRBTGT selon la procédure recommandée ;
- durcissement des modèles de certificats ADCS ;
- déploiement de LAPS pour les comptes administrateurs locaux ;
- généralisation des comptes de service gérés (gMSA).
Les chantiers structurants : refondre la posture sur plusieurs mois
Ce niveau concerne l’architecture d’administration elle-même. Les actions sont plus lourdes, mais ce sont elles qui ferment durablement les chemins d’attaque :
- mise en place du modèle en tiers et cloisonnement de l’administration ;
- déploiement de postes d’administration dédiés (PAW) ;
- réduction durable du nombre de comptes à privilèges ;
- organisation de la détection : journalisation et supervision des événements Kerberos.
Rejouer l’audit après chaque vague de corrections
Chaque itération valide les progrès : la note s’améliore, les chemins d’attaque se referment. L’organisation dispose ainsi d’une preuve de progression tangible, présentable à sa direction comme à son assureur.
Pour aller plus loin : Expiration des certificats Secure Boot en 2026 : ce que vous devez faire maintenant
FAQ : Audit Active Directory
À quelle fréquence auditer son Active Directory ?
Un scoring de configuration (type PingCastle) gagne à être lancé chaque mois, car le niveau de sécurité d’un annuaire se dégrade en continu.
Un audit approfondi, avec cartographie des chemins d’attaque et validation manuelle, se justifie au moins une fois par an et après tout changement majeur (fusion, migration, incident).
Un audit Active Directory nécessite-t-il des droits d’administrateur ?
Non, pour l’essentiel. La plupart des outils fonctionnent en lecture seule avec un compte utilisateur standard. Un compte à privilèges plus élevés n’est demandé que pour certaines analyses approfondies, et les outils d’audit ne modifient pas l’environnement.
Quelle différence entre PingCastle et BloodHound ?
PingCastle attribue un score à la configuration et liste les règles en échec : il dit où sont les faiblesses. BloodHound cartographie les chemins d’attaque exacts vers un compte à privilèges : il montre comment ces faiblesses s’enchaînent. Les deux sont complémentaires.
Faut-il auditer aussi Entra ID (ex-Azure AD) ?
Oui, dès lors que l’environnement est hybride. Les chemins d’attaque entre l’AD sur site et Entra ID (synchronisation, jonctions, accès conditionnels) sont une cible croissante. Des outils comme Purple Knight couvrent ces deux périmètres.
Un EDR ne suffit-il pas à protéger l’annuaire ?
Non. Un EDR détecte des comportements malveillants sur les postes, mais un domaine mal configuré peut être compromis en quelques heures par abus de fonctionnalités légitimes (délégations, réplication, certificats) que l’EDR ne bloque pas.
L’audit de configuration reste indispensable.
