Offre · Audit Active Directory

Audit Active Directory — comptes privilégiés, durcissement, plan de remédiation.

L'AD reste, en 2026, la cible n°1 dans 80% des incidents post-intrusion. Audit complet de votre annuaire : comptes privilégiés, contrôleurs de domaine, GPO, kerberoasting, ASREProast, alignement avec le référentiel ANSSI ADS. Plan d'action priorisé sur 6-12 mois.

Réserver une scope-call de 20 min

Pourquoi l'AD reste la cible n°1

Dans la majorité des incidents post-intrusion 2024-2026 que nous voyons en France, l'attaquant pivote vers l'Active Directory dans les premières heures. Du coup, l'AD concentre les enjeux : compromettre l'AD, c'est compromettre l'organisation entière.

Les vecteurs récurrents :

  • Kerberoasting sur des comptes de service avec des SPN exposés et des mots de passe faibles.
  • ASREProast sur des comptes sans pré-authentification.
  • Comptes admin actifs depuis 2008 avec des privilèges accumulés sur 15 ans.
  • Pas de tier model : les comptes Tier 0 (DA) accèdent à des postes Tier 2 (workstations utilisateurs), ce qui propage le credential theft.
  • GPO mal configurées : SeDebugPrivilege à des groupes trop larges, Restricted Groups permissifs, AllowReversiblePasswordEncryption activé sur des OU.
  • DCSync attribué à des comptes hors Domain Admins (oversight classique).

Un audit AD bien mené remonte typiquement 30 à 80 findings par environnement de taille moyenne (PME 100-500 postes). Les findings critiques se chiffrent à 5-15.

Périmètre d'audit WeeSec

L'audit couvre 7 axes alignés sur le référentiel ANSSI ADS (Active Directory Security) et le tier model Microsoft :

Axe 1 — Comptes privilégiés. Inventaire des comptes admin (Domain Admins, Enterprise Admins, Schema Admins, Account Operators, Server Operators, Backup Operators, Print Operators), comptes Tier 0/1/2, comptes de service, dormant accounts, comptes avec adminSDHolder.

Axe 2 — Contrôleurs de domaine. Hardening OS, DNS, NTP, audit log, RDP exposé, services superflus, comptes locaux, BitLocker, Defender for Identity / Sentinel.

Axe 3 — GPO et politiques. Mots de passe, lockout, audit, privileges, fine-grained password policies, Restricted Groups, scripts logon, GPO obsolètes.

Axe 4 — Tier model et LAPS. Implémentation effective du tier model, séparation Tier 0/1/2, LAPS sur tous les postes, PAW (Privileged Access Workstations) pour les admins.

Axe 5 — Délégations et ACL. AdminSDHolder, ACL non-standard, GenericAll/GenericWrite/WriteDACL/WriteOwner, propriétaires d'objets, héritages d'autorisations.

Axe 6 — Tests post-exploitation contrôlés. Kerberoasting, ASREProast, énumération SPN, énumération des comptes admins potentiels, vérification BloodHound (avec votre accord, sans modification de l'environnement).

Axe 7 — Hygiène et processus. Procédures de provisioning, de offboarding, de rotation des mots de passe service, gestion des certificats, audit log centralisé, tests de continuité (restauration AD).

Méthode et outillage

L'audit s'appuie sur des outils éprouvés en environnement client réel :

  • PingCastle (Vincent Le Toux) — référence audit AD, scoring complet, exécution non-intrusive.
  • PurpleKnight (Semperis) — alternative complémentaire.
  • BloodHound (en mode read-only avec votre accord) — cartographie des paths d'attaque.
  • Active Directory Risk Assessment (ANSSI ADS) si vous y êtes éligible.
  • Group Policy Settings Reference + outils PowerShell custom pour la revue GPO fine.
  • Microsoft Defender for Identity revue, si déjà en place.

Pas d'agent persistant. Pas de modification de l'environnement. Lecture seule sauf accord explicite et tracé pour les tests post-exploitation contrôlés.

Livrables

À l'issue de l'audit (3 à 5 semaines selon ampleur) :

  • Rapport d'audit (50-100 pages) : findings classifiés par criticité (Critique / Élevé / Moyen / Faible), preuves concrètes (captures, extraits de configuration, paths d'attaque BloodHound).
  • Plan d'action 6-12 mois : 30 à 60 actions priorisées avec effort, dépendances, indicateurs de succès. Aligné sur le tier model Microsoft et le référentiel ANSSI ADS.
  • Architecture cible documentée : tier model implémentable, PAW, LAPS, segmentation, monitoring.
  • Restitution exécutive (slides 15-20 pages) pour COMEX/Board.
  • Atelier de transfert d'une demi-journée avec votre équipe sysadmin/sécurité.

Combien ça coûte ?

Audit AD standard (PME 100-500 postes, 1 forêt, 1-3 domaines) : 12 à 22 K€ HT, 3-5 semaines.

Audit AD étendu (multi-forêts, multi-domaines, M&A, intégration Azure AD / Entra ID) : 22 à 50 K€ HT, 5-8 semaines.

Audit éclair (PingCastle + revue privilégiée + plan d'action 1 semaine) : 5 à 8 K€ HT.

Audit + accompagnement remédiation (audit + 3 mois de mise en œuvre) : 35 à 80 K€ HT.

Une scope-call gratuite de 20 minutes pour cadrer le périmètre exact et fournir un devis ferme.

Articulation avec ISO 27001, NIS2 et CRA

Un AD durci sert directement plusieurs référentiels :

  • ISO 27001 Annexe A 2022 : contrôles A.5.15 (gestion des accès), A.8.2 (privilèges), A.8.5 (authentification sécurisée), A.5.16 (gestion des identités). Un audit AD couvre 70% de ces exigences.
  • NIS2 Article 21 : gestion des accès, MFA renforcé, gestion des comptes privilégiés. Élément du tronc commun obligatoire pour EE/EI.
  • CRA : indirect — un AD compromis = supply chain compromise.

Du coup, un audit AD bien mené est un investissement leveraged sur 2-3 référentiels en parallèle.

Cadrage direct, sans engagement.

Une scope-call de 20 minutes pour qualifier votre besoin et vous fournir un devis ferme.

Réserver un échange Calendly

Articles connexes

Cybersécurité PMECybersécurité PME : 7 priorités avant un RSSI Cybersécurité PMEPhishing résistant : passer à passkeys en 90 jours DevSecOpsMercedes-Benz fuite token GitHub : leçons Cybersécurité PMEGérer un incident cyber en 7 étapes
FAQ

Questions fréquentes.

Combien coûte un audit Active Directory pour une PME ?

Pour une PME de 100-500 postes (1 forêt, 1-3 domaines), comptez 12-22 K€ HT pour un audit complet sur 3-5 semaines. Audit éclair (PingCastle + revue privilégiée) : 5-8 K€ HT. Audit étendu multi-forêts ou avec Azure AD / Entra ID : 22-50 K€ HT.

Qu'est-ce que le tier model Active Directory ?

Le tier model Microsoft sépare les comptes en 3 niveaux : Tier 0 (Domain Controllers, comptes admins de domaine, schema admins), Tier 1 (serveurs métier, applications), Tier 2 (postes utilisateurs). Un compte Tier 0 ne doit jamais se connecter à un poste Tier 2, sinon credential theft propagé. C'est l'un des contrôles les plus structurants en hygiène AD.

Quelle différence entre PingCastle et BloodHound ?

PingCastle est un audit défensif global qui produit un rapport scoring sur 5 catégories (anomalies de privilèges, comptes obsolètes, conformité, tier model, hygiène). BloodHound est un outil offensif qui cartographie les chemins d'attaque (qui peut compromettre Domain Admins via quel chaînage d'accès). Les deux sont complémentaires — WeeSec utilise les deux en mode read-only.

Le service ANSSI ADS s'applique-t-il à mon entité ?

Active Directory Security (ADS) est un service de l'ANSSI réservé aux entités essentielles NIS2, OIV, OSE, et certaines entités du secteur public. Si vous êtes éligible, c'est gratuit et un excellent point de départ. Pour les autres entités (PME privée, scale-up SaaS), un audit prestataire WeeSec couvre le même référentiel sans la contrainte d'éligibilité.

Combien de temps prend un audit AD ?

3 à 5 semaines pour un audit standard sur PME 100-500 postes. Décomposition : kick-off et accès (3 jours), collecte automatisée (2-3 jours), analyse approfondie et tests post-exploitation contrôlés (10-15 jours), rédaction et restitution (5 jours).

Que se passe-t-il après l'audit ?

Trois options : (1) vous opérationnalisez le plan d'action en interne avec un suivi mensuel WeeSec ; (2) WeeSec accompagne la mise en œuvre directement (3-6 mois sur le hardening prioritaire — tier model, LAPS, PAW) ; (3) audit annuel récurrent pour suivre la dérive (recommandé pour environnements critiques).

À propos

Aroua Biri — fondatrice WeeSec, ingénieure docteure en cybersécurité

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt