Quelle différence avec un pentest interne ?

Un pentest interne teste largement le réseau depuis l'intérieur. L'audit AD se concentre sur l'annuaire lui-même : escalade de privilèges, chemins vers le Domain Admin, abus de Kerberos et d'ACL. Les deux sont complémentaires ; l'audit AD va plus en profondeur sur l'annuaire, qui est souvent le vrai centre de gravité du SI.

Faut-il nous donner un accès pour auditer l'Active Directory ?

Le plus efficace est une approche en grey box : un compte standard du domaine suffit à révéler la plupart des chemins d'attaque, comme le ferait un attaquant après un phishing. Une revue de configuration avec un accès en lecture complète l'analyse. Le périmètre exact est cadré au diagnostic.

Combien de temps prend un audit Active Directory ?

Cela dépend de la taille du domaine, du nombre de comptes à privilèges et de l'étendue de la revue. Le diagnostic initial fixe le périmètre et le calendrier. Le chiffrage est ensuite établi sur devis.

L'audit AD compte-t-il pour une démarche ISO 27001 ?

Il alimente la preuve technique attendue par plusieurs contrôles technologiques de l'Annexe A (contrôle d'accès, gestion des privilèges, durcissement). Il s'articule avec l'analyse de risque et le plan de traitement de votre système de management.

Sécurité Active Directory

Audit Active Directory pour PME et ETI

Active Directory est le centre de gravité de la plupart des SI, et la cible favorite des attaquants. On cartographie les chemins qui mènent d'un simple poste au contrôle du domaine, puis on vous donne de quoi les couper.

Demander un diagnostic gratuit

Voir le modèle en tiers

Modèle

Tiering Microsoft

Cible fréquente

Domain Admin (Tier 0)

Approche

Grey box

Cadre

MITRE ATT&CK

Sortie

Plan de durcissement

Réponse directe

Qu'est-ce qu'un audit Active Directory ?

Un audit Active Directory cartographie les chemins par lesquels un attaquant pourrait passer d'un simple poste de travail au contrôle total du domaine, le Tier 0. Il combine une revue de configuration et des tests techniques sur les comptes à privilèges, les délégations Kerberos, les ACL et le modèle d'administration, puis livre un plan de durcissement priorisé. C'est souvent le test le plus rentable, car l'annuaire est le vrai centre de gravité du système d'information.

Le modèle en tiers

Du poste de travail au Domain Admin

Une attaque AD réussie, c'est une escalade : on entre en Tier 2 et on grimpe jusqu'au Tier 0. L'audit cartographie ces marches et les coupe avant qu'un attaquant ne les emprunte.

Tier 0

Contrôleurs de domaine et comptes Domain Admin

Le cœur du domaine : qui contrôle le Tier 0 contrôle tout le système d'information.

Atteint par DCSync, vol du secret krbtgt (Golden Ticket) ou compromission d'un contrôleur de domaine.

Tier 1

Serveurs et applications métier

Serveurs, bases de données et applications sensibles.

Atteint par mouvement latéral, réutilisation d'identifiants et abus de délégation Kerberos.

Tier 2

Postes de travail et utilisateurs

Le point d'entrée le plus courant, souvent après un phishing.

Premier pied dans le domaine via un compte standard ou un poste compromis.

Chemins d'attaque courants

Les techniques que l'on teste

La plupart des compromissions d'annuaire passent par un petit nombre de techniques bien connues. On vérifie lesquelles fonctionnent chez vous.

Kerberoasting

Extraction et cassage hors-ligne des mots de passe de comptes de service.

AS-REP Roasting

Ciblage des comptes sans pré-authentification Kerberos.

Pass-the-Hash et Pass-the-Ticket

Réutilisation d'empreintes ou de tickets pour se déplacer sans le mot de passe.

Délégation Kerberos non contrainte

Abus de comptes autorisés à impersonner d'autres utilisateurs.

Abus d'ACL

Droits mal configurés permettant de modifier des objets sensibles de l'annuaire.

DCSync

Réplication des secrets du domaine depuis un compte disposant de droits suffisants.

Ce que l'on audite

Comptes à privilèges et appartenance aux groupes sensibles (Domain Admins, Enterprise Admins).
Comptes de service, mots de passe faibles et exposition au Kerberoasting.
Délégations Kerberos et droits d'impersonation.
ACL et chemins de contrôle entre objets de l'annuaire.
GPO et durcissement par rapport aux recommandations.
Modèle de tiering, séparation des administrations et chemins vers le Tier 0.

Ce que vous repartez avec

Cartographie des chemins d'attaque réellement exploitables vers le Tier 0.
Quick wins de durcissement, priorisés par effort et par impact.
Plan de remédiation lisible par vos équipes IT et sécurité.
Base de preuve réutilisable pour un pentest, l'ISO 27001 ou un dossier assurance.

FAQ

Questions fréquentes

Aller plus loin

L'Active Directory au cœur de votre sécurité

Pentest expert

L'audit AD s'intègre à une mission de pentest interne plus large.

Prix pentest réseau

Fourchettes pour le pentest externe, interne, Active Directory et Wi-Fi.

Accompagnement ISO 27001

La preuve technique attendue par les contrôles d'accès de l'Annexe A.

Audit Active Directory

Coupez les chemins vers le Tier 0

Le diagnostic cadre le périmètre de l'annuaire et le type d'accès. L'audit est ensuite chiffré sur devis selon la taille du domaine.