Bien implanté dans les entreprises (tout comme dans les écoles ou les foyers), l’écosystème Microsoft a longtemps inspiré confiance. Les outils sont familiers et les procédures semblent rodées. Et c’est précisément là que naissent les angles morts. Derrière une apparence de stabilité se cachent des héritages techniques, des règles de délégation mal comprises et des configurations par défaut jamais réévaluées.
Ce qu’on croit maîtriser est parfois le plus vulnérable
Les environnements Microsoft sont omniprésents et cette familiarité rassure, mais elle masque souvent une complexité accumulée au fil des migrations, fusions et projets.
L’annuaire Active Directory concentre par exemple identités, groupes, droits et stratégies. Il d’une erreur de conception ou de délégation qui s’y propage silencieusement (parfois durant des années), et bim, un hacker découvre un jour un chemin d’attaque.
L’ANSSI souligne d’ailleurs que les mauvaises pratiques de configuration d’Active Directory sont un point commun à de nombreux systèmes d’information victimes de rançongiciels, facilités par des outils d’exploitation largement disponibles.
Windows dans le viseur, pourquoi les cyberattaques ciblent ces environnements
Alors pourquoi Microsoft ? Tout simplement parce que les attaquants visent ce qu’ils savent universel et rentable.
Active Directory, GPO, PowerShell, Exchange, Entra ID dans les architectures hybrides, sont autant de briques qui gouvernent l’accès à tout le reste. Une compromission d’AD transforme une intrusion ponctuelle en contrôle étendu, avec élévation de privilèges, mouvements latéraux et déploiement de rançongiciel en quelques heures.
Selon le baromètre 2025 du CESIN, 47 % des entreprises interrogées déclarent au moins une cyberattaque significative en 2024, et le phishing reste le vecteur numéro un pour 60 % des victimes.
Autrement dit, la porte d’entrée est souvent humaine, mais la cible opérationnelle demeure l’infrastructure Windows et son annuaire.
Configurations par défaut, les failles invisibles
En cause notamment, les paramètres laissés en l’état qui font partie des angles morts les plus dangereux :
- Comptes hérités,
- groupes trop larges,
- délégations excessives,
- NTLM encore actif faute d’inventaire applicatif,
- SPN associés à des comptes à privilèges qui exposent au kerberoasting,
- GPO héritées dont plus personne ne connaît l’effet réel.
Dans un document de 2021, le CERT-FR recensait déjà des classes de vulnérabilités typiques dans Active Directory et recommandait de réduire la surface d’attaque, de bannir les pratiques historiques et de privilégier Kerberos.
Ces recommandations, toujours applicables, visent des défauts discrets, cumulés avec le temps, que les scanners génériques repèrent mal si l’analyse ne va pas jusqu’au modèle de droits.
Côté bonnes pratiques, Microsoft aussi (heureusement me direz-vous !) rappelle régulièrement les principes de réduction de surface, de moindre privilège et d’hôtes d’administration dédiés. Des postes d’administration sécurisés évitent d’exposer des identifiants élevés dans des contextes à risque, ce qui limite l’escalade après un simple hameçonnage. Cette hygiène n’a rien de théorique, elle conditionne la capacité à contenir une compromission locale avant qu’elle n’atteigne le cœur de l’annuaire.
Shadow admins, délégations implicites, MFA contournable, les pièges du quotidien
Beaucoup d’organisations pensent avoir la liste complète et à jour de leurs administrateurs. Dans les faits, des « shadow admins » existent toujours par héritage ou délégation indirecte.
Un compte technique membre d’un groupe de service peut détenir, via enchaînement de droits, la capacité d’écrire sur un objet critique. Une application de sauvegarde ou de supervision mal cadrée peut disposer d’autorisations excessives au nom de la commodité.
À cela s’ajoutent des MFA mal appliqués, avec l’entreprise qui protège les comptes VIP, mais oublie ceux qui gèrent l’authentification, la messagerie ou les orchestrations DevOps.
La recommandation reste constante. Étendre l’authentification multifacteur aux comptes et rôles qui contrôlent l’infrastructure, choisir des mécanismes résistants au hameçonnage et interdire les approbations « push » sans vérification hors bande.
Reprendre le contrôle grâce à un audit ciblé
Un audit de la sécurité d’Active Directory permet souvent de découvrir des failles sous-estimées, issues de configurations par défaut ou d’erreurs d’administration accumulées au fil du temps.
Cet audit ciblé ne se contente pas d’un scan de vulnérabilités, mais il reconstitue le modèle réel des pouvoirs dans l’annuaire.
L’approche consiste à cartographier les comptes à privilèges, analyser les délégations et les héritages, examiner les GPO appliquées et leurs exceptions, inventorier les SPN, détecter les chemins d’attaque internes et les privilèges implicites.
L’audit doit aussi regarder l’administration elle-même :
- Où et comment se connectent les administrateurs ?
- Quelles stations utilisent-ils ?
- Quelles traces laissent-ils ?
Corriger sans reconstruire, vers une amélioration continue
Alors pas de panique, renforcer la sécurité d’Active Directory ne signifie pas tout refaire.
Selon nous, la plupart des organisations peuvent parfaitement améliorer leur posture en 4 étapes et de manière continue.
1. Réduire la surface d’attaque visible
Le premier levier consiste à réduire la surface d’attaque visible. Désactiver les comptes inactifs, supprimer les délégations orphelines, limiter les membres de groupes à privilèges et retirer les SPN des comptes humains.
2. La formalisation de l’administration
Il faut ensuite mettre en place des postes d’administration durcis, segmenter les réseaux d’admin, bannir l’usage des comptes élevés pour les opérations courantes et imposer un bastion pour les connexions sensibles. Cette standardisation doit évidemment s’accompagner d’une politique MFA cohérente et résistante au phishing sur tous les rôles d’infrastructure. On pense bien ici à traiter en priorité les comptes de service, souvent oubliés… et qui portent une large part du risque.
3. Gestion suivie des logs
La troisième étape porte sur les journaux et la preuve. Centraliser, signer et conserver les logs qui concernent annuaire, authentification, changements, accès à privilèges et actions administratives. Cette hygiène soutient l’enquête post-incident et donne de la crédibilité aux comités de pilotage. Elle répond en outre aux exigences croissantes des régulateurs et des donneurs d’ordres qui demandent des traces exploitables, notamment dans les filières régulées.
4. Organiser des revues périodiques
Tous les trimestres, on vérifie les groupes à privilèges, on rejoue l’inventaire des délégations critiques, on valide le durcissement des postes d’admin et on teste la restauration contrôlée de l’annuaire. À chaque itération, on ferme quelques angles morts supplémentaires. Cette discipline a un impact direct sur le risque opérationnel. Elle réduit les fenêtres d’opportunité et rend l’attaque bruyante, ce qui augmente les chances de détection avant l’étape du chiffrement.
