Accueil 5 News 5 Active Directory : détecter une compromission avant qu’il ne soit trop tard

Active Directory : détecter une compromission avant qu’il ne soit trop tard

par | 23 Juin 2025

Active Directory est au cœur de l’architecture informatique des entreprises. Il gère les identités, les droits d’accès, les groupes, les ressources partagées… en un mot, l’ensemble de la vie numérique interne. Et c’est précisément cette centralité qui en fait une cible prioritaire pour les cyberattaquants. Compromettre AD, c’est ouvrir la porte de tous les systèmes internes.

Mais si la menace est connue, sa détection reste largement sous-estimée. Microsoft, dans son guide « Monitoring Active Directory for Signs of Compromise », propose une cartographie précise des signaux faibles à surveiller. Et la lecture est édifiante : dans la majorité des cas, les indices sont là… mais ignorés.

Un silence qui coûte cher

Les attaques qui visent AD sont rarement bruyantes au départ. Elles commencent souvent par une prise de contrôle discrète d’un poste utilisateur. Puis viennent les élévations de privilèges, la reconnaissance interne, l’exploitation des délégations, et enfin la compromission du domaine.

Ce processus peut durer des jours, voire des semaines. L’attaquant se déplace lentement, collecte des identifiants, s’intègre aux processus internes. Et s’il n’est pas repéré à temps, il peut déployer un ransomware, voler des données sensibles, ou saboter des systèmes critiques. Le tout avec des droits légitimes.

Selon Microsoft, 84 % des attaques pourraient être détectées via les journaux d’événements Windows. Encore faut-il savoir quoi regarder.

Les événements à surveiller en priorité

Voici les signaux techniques que Microsoft recommande de placer sous surveillance. Ils ne sont pas nombreux, mais chacun est un signal faible à fort potentiel.

🔹 Désactivation des protections

  • Arrêt des services de sécurité

  • Suppression des journaux d’audit

  • Modifications des stratégies de groupe

Ces actions ne sont jamais anodines. Un utilisateur légitime ne désactive pas la sécurité sans raison. C’est souvent la première étape pour dissimuler une attaque.

🔹 Modifications suspectes de comptes

  • Ajout à des groupes à privilèges (Admins du domaine, Administrateurs locaux)

  • Création ou suppression de comptes de service critiques

  • Modification d’attributs sensibles (UPN, SID, ACLs)

Une compromission de compte est souvent suivie d’un détournement des privilèges. C’est le moment clé pour repérer une attaque en cours.

🔹 Activité anormale Kerberos

  • Kerberoasting : extraction de tickets TGS (Event ID 4769)

  • AS-REP Roasting : requêtes d’authentification sans pré-authentification (Event ID 4768)

  • Activités DCSync (Event ID 4662)

Ces attaques exploitent des failles dans la gestion des identifiants. Elles permettent d’obtenir des hachages de mots de passe à casser hors ligne.

🔹 Authentifications anormales

  • Multiples échecs de connexion (Event ID 4625)

  • Connexions en dehors des horaires habituels

  • Authentifications depuis des machines inconnues

  • Activité inhabituelle sur les contrôleurs de domaine

Le tout doit être corrélé : un échec de connexion isolé n’est pas suspect. Dix sur dix machines différentes, à 3 h du matin ? Là, si.

Exemples concrets d’attaques passées

Certaines cyberattaques ont montré comment l’absence de surveillance AD peut avoir des effets dévastateurs :

  • NotPetya (2017) : une élévation de privilège silencieuse a permis à l’attaquant de déployer un ransomware via GPO sur tout le domaine.

  • SolarWinds (2020) : une compromission AD a été utilisée pour injecter du code malveillant dans des systèmes critiques sans détection.

  • Lapsus$ (2022) : le groupe a exploité des comptes à privilèges faibles (souvent des techniciens IT) pour compromettre l’ensemble du domaine.

Dans tous ces cas, des alertes étaient théoriquement possibles via AD, mais n’ont pas été activées, ou pas interprétées.

Une méthode en trois piliers

Surveiller efficacement Active Directory repose sur trois grands principes :

1 – Centraliser les journaux

Active Directory génère des événements sur chaque contrôleur. Sans centralisation, impossible d’avoir une vision d’ensemble.

– Utiliser un SIEM (Splunk, Sentinel, LogPoint, Graylog…)

– Activer une rétention suffisante (90 à 180 jours recommandés)

– Vérifier que tous les journaux critiques sont bien collectés

2 – Corréler les événements

Un événement isolé ne suffit pas. Ce qui compte, c’est le scénario : échec de connexion, puis élévation de privilège, puis accès fichier ? Alerte.

 – Construire des règles de détection contextuelle

– Utiliser des tableaux d’alerte simples pour l’analyse manuelle

– Cartographier les comportements normaux pour identifier les anomalies

3 – Réagir rapidement

Une détection sans réaction est inutile. Il faut que les alertes soient suivies d’effet.

– Avoir un plan de réponse (désactivation de compte, isolation machine, déclaration CNIL)

– Former les équipes à intervenir sans attendre validation juridique

– Documenter les incidents pour améliorer les futures détections

Outils complémentaires

Microsoft recommande d’enrichir les logs natifs avec des outils dédiés :

  • Sysmon (System Monitor) : pour tracer les processus, connexions réseau, modifications de registre

  • Windows Defender for Identity : intégré à Microsoft 365 E5, pour surveiller les attaques AD typiques

  • BloodHound (offensif) : pour visualiser les chemins d’attaque potentiels… mais aussi vérifier les failles internes

Certaines solutions open-source permettent également une surveillance de base avec peu de moyens. L’important, c’est de commencer.

Ce que font les entreprises matures

Les organisations les plus avancées sur ce sujet adoptent plusieurs pratiques :

  • Des tableaux de bord quotidiens synthétiques, revus par le RSSI

  • Des réunions hebdomadaires DSI / sécurité pour suivre les indicateurs d’AD

  • Des revues mensuelles des privilèges attribués aux comptes sensibles

  • Une simulation d’attaque annuelle, incluant compromission AD et réponse

Ce n’est pas réservé aux grandes entreprises. Une PME peut s’en inspirer avec des outils simples et une rigueur minimale.

Ce qu’il ne faut surtout pas faire

Voici les erreurs les plus fréquentes — et les plus dangereuses :

  • Ignorer AD car « ça fonctionne bien depuis 10 ans »

  • Laisser des comptes inactifs avec des droits d’administrateur

  • Considérer les journaux comme un sujet purement technique

  • Surcharger le SIEM de règles peu utiles sans prioriser les scénarios critiques

  • Réagir dans la panique, sans processus documenté

La sécurité d’Active Directory repose autant sur la culture que sur la technique.

Une responsabilité partagée

Protéger AD ne relève pas seulement du RSSI. Le DSI, les administrateurs systèmes, les équipes réseau, les responsables conformité : tous ont un rôle.

  • Le DSI doit arbitrer les priorités de visibilité et d’audit

  • Le RSSI coordonne la détection et la réponse

  • L’équipe IT applique les mesures correctives

  • Le DPO est impliqué si des données personnelles sont en jeu

  • La direction générale doit être sensibilisée aux risques d’image, de service et de légalité

AD est au croisement de tous les métiers. C’est ce qui rend sa surveillance complexe… mais incontournable.

Surveiller l’AD !

L’Active Directory n’est plus un composant technique discret. C’est l’infrastructure invisible qui soutient toute l’activité numérique d’une organisation. Et comme toute infrastructure vitale, sa compromission n’est jamais anodine.

Microsoft ne propose pas un outil miracle, mais un guide d’action. Il permet de savoir quoi chercher, où regarder, et comment organiser la veille sur les signaux faibles. La détection devient alors possible. Et avec elle, la réaction rapide, la résilience, et la confiance restaurée.

Active Directory est une autoroute. Elle peut vous mener loin. Mais si elle est laissée sans contrôle, elle peut aussi devenir le chemin d’accès préféré des attaquants. À vous de choisir qui y circule.

Service associé

Audit AD (Active Directory)

En lien avec cette thématique

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio

Audit SSI

Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.

Audit RGPD

Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.

SOC managé

Auteurs blog

Publications Carlos BARBOSA

Publications Arnaud BASCOU

Publications CSM

Dernières publications