Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • Portefeuille de solutions de cybersécurité basées sur l’IA
      Référence en matière de sécurité alimentée par l’IA
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity || Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud || Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity || Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Identity Security
    • Singularity Identity
      Détection des menaces et réponse à l'identité
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      Analyses forensiques, IRR et préparation aux incidents.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Évaluation de la sécurité Active Directory – Guide facile 101
Cybersecurity 101/Sécurité de l'identité/Évaluation de la sécurité d'Active Directory

Évaluation de la sécurité Active Directory – Guide facile 101

Bénéficiez d'une meilleure visibilité sur la sécurité de votre Active Directory grâce à des évaluations et à l'analyse des chemins d'attaque, qui identifient les vulnérabilités, les erreurs de configuration et les vecteurs d'attaque potentiels. Découvrez comment mettre en place des mesures correctives proactives et renforcer les défenses de votre organisation contre les menaces avancées.

CS-101_Identity.svg
Sommaire

Articles similaires

  • Qu'est-ce que le RBAC (contrôle d'accès basé sur les rôles) ?
  • Qu'est-ce que la gestion de la sécurité des identités (ISPM) ?
  • LDAP vs Active Directory : 18 différences essentielles
  • Qu'est-ce que l'architecture Zero Trust (ZTA) ?
Auteur: SentinelOne
Mis à jour: July 30, 2025

Active Directory (AD) est devenu la cible principale des pirates informatiques qui lancent des attaques centrées sur l'identité. Heureusement, plusieurs outils sont disponibles pour aider les équipes de sécurité des entreprises à obtenir une visibilité plus claire sur leurs instances Active Directory et à corriger les vulnérabilités qu'elles découvrent.

L'un des outils les plus utilisés par les analystes est le graphique Attack Path, qui permet de montrer les chemins possibles qu'un pirate peut emprunter pour passer d'un utilisateur standard à un compte hautement privilégié, tel qu'un administrateur de domaine très convoité.

Bien que ce type de visualisation puisse être utile, il ne remplace pas un outil d'évaluation Active Directory qui non seulement comble les vulnérabilités, mais encourage également les meilleures pratiques. Pour illustrer la différence, dans cet article, nous comparerons les deux approches à travers deux scénarios types qui représentent des situations courantes dans l'entreprise.

Étude de cas : élévation de privilèges de base

Dans le premier scénario, nous examinerons un chemin d'attaque simple et le comparerons aux résultats d'une évaluation de la sécurité AD pour le même problème.

Dans notre premier exemple, un utilisateur standard compromis, " Bob ", est membre d'un groupe d'ingénierie plus large, qui est un sous-ensemble d'un groupe d'outils de CAO. En raison d'une mauvaise configuration et d'une séparation insuffisante des privilèges, ce groupe est également membre d'un groupe d'installateurs de services, qui est lui-même membre du groupe des administrateurs de domaine.

De toute évidence, même si Bob est censé ne disposer que des privilèges d'utilisateur standard, cet ensemble de relations imbriquées permet à un pirate qui compromet le compte de Bob d'obtenir les droits d'administrateur de domaine.

À ce stade, examinons le contexte qu'un outil d'évaluation de la sécurité AD peut fournir dans une situation comme celle-ci, et comment les administrateurs pourraient utiliser ces informations pour atténuer ce problème et empêcher qu'il ne se reproduise.

Un outil d'évaluation de la sécurité AD fournira :

  • Une liste de tous les utilisateurs disposant d'un accès privilégié. Cela comprend tous les membres des groupes imbriqués de tous les groupes privilégiés.
  • Une liste des groupes imbriqués dans le groupe privilégié à supprimer. Il s'agit du raccourci dont l'administrateur a besoin pour atténuer le problème.
  • La meilleure pratique consiste à ne pas imbriquer de groupes dans des groupes privilégiés. Cela élimine les points d'étranglement, de sorte qu'il est plus difficile pour les membres d'obtenir un accès privilégié involontaire. Il s'agit de la recommandation que l'administrateur doit suivre pour prévenir le problème.

Les deuxième et troisième points sont les plus importants. Si nous supprimions simplement le groupe Service Installers du groupe Domain Admins (ainsi que tous les autres groupes qui pourraient également être imbriqués), le compte utilisateur standard compromis ne serait plus un administrateur de domaine. En remédiant à la vulnérabilité et en suivant les meilleures pratiques, les administrateurs n'auraient plus à examiner les graphiques et à déterminer où supprimer des membres du groupe, rendant ainsi le graphique inutile.

Étude de cas : piratage d'identifiants

Examinons un autre chemin d'attaque simple.

Dans le scénario d'attaque ci-dessus, l'ordinateur d'un utilisateur (ORDINATEUR 1) a été compromis. À partir de là, un pirate informatique parvient à pirater les identifiants du compte administrateur local de l'ordinateur. Il utilise ensuite le mot de passe de ce compte administrateur local pour se connecter à un autre ordinateur (ORDINATEUR 2), qui a été (mal) configuré pour faciliter l'administration avec les mêmes identifiants. Sur ORDINATEUR 2, le pirate informatique a piraté le hachage du compte administrateur de domaine, réussissant ainsi à élever son niveau d'accès.

Un outil d'évaluation de la sécurité Active Directory peut rapidement atténuer ce risque en transmettant les informations suivantes à un analyste :

  • LAPS (Local Administrator Password Solution) n'a pas été détecté comme étant configuré dans Active Directory. Si tel avait été le cas, cela aurait empêché l'attaquant de passer de l'ORDINATEUR 1 à l'ORDINATEUR 2 en utilisant le même mot de passe d'administrateur local. Il est recommandé de s'assurer que chaque compte d'administrateur local dispose d'un mot de passe différent et renouvelé régulièrement. LAPS répondrait à ce besoin.
  • Un compte d'administrateur de domaine s'était connecté à un poste de travail dans le passé, laissant derrière lui un hachage que l'attaquant pouvait utiliser. La meilleure pratique recommandée ici consiste à n'utiliser les comptes d'administrateur de domaine que pour se connecter aux contrôleurs de domaine et à effacer tous les hachages sur les postes de travail et les serveurs membres.

En suivant les mesures d'atténuation et les recommandations de bonnes pratiques d'un outil d'évaluation de la sécurité AD, un administrateur peut éliminer le chemin d'attaque potentiel d'un pirate et l'empêcher d'exploiter ces erreurs de configuration et ces vulnérabilités.

Risques Active Directory que les chemins d'attaque ne détectent pas

Les chemins d'attaque sont conçus pour montrer les attaques connues, tandis que la suppression des vulnérabilités élimine à la fois celles-ci et, souvent, les vecteurs inconnus. Par conséquent, il est plus important d'éradiquer les vulnérabilités et de suivre les meilleures pratiques.

Les images que les chemins d'attaque dépeignent sont une représentation incomplète de la situation réelle en matière de sécurité Active Directory. Les graphiques montrant comment l'organisation pourrait être vulnérable ne sont pas aussi efficaces que les outils qui peuvent garantir que l'infrastructure AD n'est pas exposée et ne le sera pas à l'avenir.

Vous trouverez ci-dessous quelques exemples d'attaques qui ne se prêtent pas à l'élaboration de graphiques de chemins d'attaque, mais qu'il est essentiel de détecter dans le cadre d'une évaluation de la sécurité AD.

  • Attaques par force brute sur les mots de passe – Une évaluation doit détecter les identifiants qui utilisent des mots de passe courants, des mots du dictionnaire ou qui tentent toutes les combinaisons de caractères possibles jusqu'à ce que le mot de passe soit " deviné ".
  • Expositions liées à une délégation non contrainte – Lorsqu'un objet utilisateur ou ordinateur AD a été délégué à un service utilisant Kerberos. En cas de compromission, cela peut permettre à l'attaquant d'usurper l'identité du compte authentifié auprès de n'importe quel service.
  • Protéger votre Active Directory contre les attaques AdminSDHolder – Ajouter des utilisateurs ou des groupes au modèle AdminSDHolder dans Active Directory qui est " estampillé " sur chaque ACL d'utilisateur et de groupe privilégié, leur donnant des droits sur ces comptes.

Singularity™ Identity Posture Management analyse l'environnement Active Directory à la recherche de vulnérabilités telles que celles-ci et bien d'autres, guide les administrateurs sur la manière de les atténuer et garantit les meilleures pratiques pour les prévenir à l'avenir.

Réduire les risques liés à l'identité dans l'ensemble de votre organisation

Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.

Obtenir une démonstration

Conclusion

Si les chemins d'attaque sont des graphiques intéressants qui peuvent éclairer les administrateurs sur la manière dont des attaques potentielles peuvent se produire sur le réseau, ils ne remplacent pas une approche proactive qui élimine les vulnérabilités connues et applique les meilleures pratiques. Singularity Identity Posture Management détecte les vulnérabilités et guide les administrateurs pour les corriger et les maintenir corrigées.

"

FAQ sur l'évaluation de la sécurité Active Directory

Une évaluation de la sécurité AD consiste en un examen détaillé de la configuration, des autorisations, des stratégies de groupe et des paramètres de compte de votre domaine afin d'identifier les faiblesses. Elle examine la structure des utilisateurs, des ordinateurs et des groupes, vérifie les droits inappropriés ou les objets obsolètes et simule des scénarios d'attaque. Vous pouvez utiliser ses conclusions pour renforcer l'AD avant que des pirates n'exploitent ses failles.

Une évaluation de la sécurité AD vise à mettre au jour les erreurs de configuration et les autorisations à risque qui pourraient permettre aux pirates de se déplacer latéralement, d'escalader les privilèges ou de récolter des identifiants. En cartographiant les relations de confiance, en évaluant les listes de contrôle d'accès (ACL) et en testant les chemins d'attaque, vous pouvez hiérarchiser les corrections et réduire la surface d'attaque de votre organisation avant que de réelles menaces n'apparaissent.

Les graphiques des chemins d'attaque visualisent les itinéraires potentiels qu'un attaquant pourrait emprunter via AD en fonction des autorisations actuelles. Une évaluation de la sécurité AD va plus loin : elle audite les paramètres de configuration, vérifie la conformité avec les normes de sécurité et teste ces chemins dans la pratique. Elle combine une analyse statique et des tests pratiques pour valider les chemins d'attaque réellement exploitables.

Le simple fait de voir les chemins d'attaque possibles ne vous dit pas si des contrôles tels que les ACE " deny " ou les alertes de surveillance les bloquent. Une évaluation AD teste les configurations dans votre environnement réel, signale les paramètres obsolètes et vérifie quels chemins fonctionnent réellement.

Cette preuve pratique vous aide à vous concentrer sur les changements qui permettront d'arrêter les exploits réels au lieu de courir après tous les risques théoriques.

Dans un cas, une évaluation a révélé un compte de service oublié avec des privilèges d'administrateur de domaine liés à une liste de contrôle d'accès (ACL) obsolète. La suppression de ce lien a empêché un attaquant de pivoter. Dans un autre cas, des contrôles d'audit ont révélé l'existence de groupes imbriqués accordant des droits étendus à des sous-traitants. La suppression de ces adhésions a permis de fermer les voies d'escalade des privilèges qu'un adversaire avait prévu d'exploiter.

Les évaluations AD détectent les ACL trop permissives, les délégations sans contrainte, les comptes obsolètes ou à privilèges élevés, les tickets de service exposés, les paramètres Kerberos faibles et les lacunes dans la sécurité des stratégies de groupe. Elles repèrent également les lacunes dans la gestion des correctifs sur les contrôleurs de domaine, les configurations LDAPS/TLS faibles et les liens de réplication non surveillés que les attaquants utilisent souvent pour accéder discrètement au réseau.

Les outils d'évaluation peuvent extraire les identifiants hachés de LSASS, simuler le Kerberoasting pour demander des tickets de service et tester les clés Kerberos faibles. Ils mettent en évidence les comptes qui utilisent un chiffrement réversible ou qui ne disposent pas de principes de service renforcés. En identifiant ces cibles, vous pouvez réinitialiser les mots de passe, exiger un chiffrement plus fort et bloquer les demandes de tickets qui alimentent le piratage hors ligne.

AD est au cœur du modèle de confiance de votre réseau. S'il est compromis, les attaquants obtiennent un accès étendu. La visibilité sur chaque liste de contrôle d'accès (ACL), chaque paramètre de délégation et chaque configuration de contrôleur de domaine vous permet de voir où une élévation de privilèges ou un mouvement latéral pourrait se produire. Sans cette image claire, vous ne pouvez que deviner les risques et vous risquez de passer à côté de voies d'attaque cachées jusqu'à ce qu'il soit trop tard.

Vous devez effectuer des évaluations complètes de la sécurité AD au moins une fois par trimestre ou après des changements majeurs tels que des migrations, des mises à niveau de contrôleurs de domaine ou des fusions. Entre-temps, vérifiez chaque mois les domaines clés : appartenance à des groupes privilégiés, modifications des GPO et journaux d'audit. Une cadence régulière permet de détecter les nouvelles erreurs de configuration avant que les pirates ne les découvrent.

Mettez régulièrement à jour vos données de vulnérabilité et utilisez des outils avancés d'automatisation de la sécurité. Activez la surveillance continue des menaces, la surveillance basée sur des graphiques, et identifiez et hiérarchisez vos actifs les plus critiques. Utilisez des cadres de renseignements sur les menaces et améliorez la visibilité dans les environnements multicloud en utilisant les solutions de sécurité basées sur l'IA de SentinelOne.

En savoir plus sur Sécurité de l'identité

Zero Trust ou SASE : lequel adopter pour la cybersécurité ?Sécurité de l'identité

Zero Trust ou SASE : lequel adopter pour la cybersécurité ?

Le Zero Trust et le SASE sont des cadres de cybersécurité essentiels pour les entreprises modernes. Découvrez leurs différences et comment vous pouvez les mettre en œuvre de manière transparente pour bénéficier d'une protection complète.

En savoir plus
Les 4 meilleures solutions de gestion des identités et des accès (IAM)Sécurité de l'identité

Les 4 meilleures solutions de gestion des identités et des accès (IAM)

Dans cet article, nous aborderons la gestion des identités et des accès, expliquerons pourquoi vous en avez besoin, citerons les meilleures solutions de gestion des identités et des accès, vous conseillerons sur les critères à prendre en compte et vous recommanderons les meilleures solutions.

En savoir plus
Qu'est-ce que la sécurité des identités ?Sécurité de l'identité

Qu'est-ce que la sécurité des identités ?

La sécurité des identités est cruciale dans le paysage numérique actuel. Découvrez des stratégies pour protéger les identités et empêcher les accès non autorisés.

En savoir plus
Qu'est-ce que la sécurité des mots de passe ? Importance et conseilsSécurité de l'identité

Qu'est-ce que la sécurité des mots de passe ? Importance et conseils

La sécurité des mots de passe est essentielle pour protéger les informations sensibles. Découvrez les meilleures pratiques pour renforcer les politiques en matière de mots de passe dans votre organisation.

En savoir plus
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Français
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2025 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation