Audit Active Directory récurrent veut dire plus que relancer la même liste de contrôle une fois par an. Active Directory est un plan de contrôle vivant : l’appartenance aux groupes privilégiés change, les ACL dérivent, les GPO sont modifiées, les modèles de certificats évoluent et la couverture de journalisation se dégrade avec le temps. Une revue ponctuelle annuelle peut encore être utile, mais elle ne dit pas si votre annuaire est resté sûr la semaine suivante. Un meilleur modèle est un audit Active Directory récurrent : remesurer les mêmes contrôles à forte valeur sur une cadence fixe, enquêter rapidement sur les nouvelles dérives et utiliser chaque relance pour vérifier la remédiation au lieu d’attendre le prochain cycle de conseil.
Ce point est important parce que l’annuaire est conçu pour changer. Microsoft documente des événements dédiés pour les changements d’appartenance aux groupes de sécurité, pour les modifications d’objets d’annuaire et pour les changements de stratégie de domaine. Les recommandations ANSSI de 2023 pour les environnements reposant sur Microsoft Active Directory mettent l’accent sur l’administration sécurisée et le cloisonnement, tandis que le guide ANSSI sur la journalisation Active Directory couvre la collecte et la supervision. Ensemble, ils soutiennent mieux un modèle de revue récurrente qu’un rapport ponctuel rangé sur une étagère. En pratique, les organisations qui gardent un AD plus sain sont celles qui revérifient régulièrement les mêmes familles de contrôles et qui traitent la dérive de posture comme un problème d’exploitation, pas comme un achat annuel.
Ce que couvre réellement un audit Active Directory récurrent
Un audit Active Directory récurrent n’est pas la même chose qu’un SIEM, et ce n’est pas la même chose qu’un pentest. Il se situe entre la revue ponctuelle et la détection entièrement pilotée par les événements. L’objectif est de réévaluer l’état de sécurité structurel de l’annuaire selon une cadence qui correspond au rythme réel des changements dans l’environnement.
Dans Active Directory, cela veut dire revérifier au moins quatre couches :
- les identités privilégiées et l’appartenance aux groupes ;
- les délégations de droits et les chemins ACL dangereux ;
- les paramètres de sécurité du domaine et des contrôleurs de domaine ;
- les contrôles de supervision et de reprise qui déterminent si vous pouvez détecter ou encaisser le prochain incident.
Ce périmètre est plus large qu’un simple audit de hardening et plus étroit qu’une télémétrie endpoint continue. Il s’agit de remesurer régulièrement la surface d’attaque qui continue de produire de vrais chemins de compromission dans les environnements AD : droits de réplication, délégation Kerberos, posture LDAP faible, réutilisation de mots de passe d’admin local, comptes privilégiés obsolètes, chemins d’abus de certificats et angles morts dans la policy d’audit.
Pourquoi les audits AD ponctuels dérivent vite
Ce n’est pas une formule marketing. C’est une propriété du fonctionnement même de Windows et d’AD.
Microsoft documente que la gestion des groupes de sécurité produit des événements d’audit dédiés lorsque des membres sont ajoutés ou retirés. La même documentation d’audit décrit aussi les événements de modification d’objets d’annuaire et les événements de changement de stratégie de domaine. Cela suffit à montrer pourquoi un PDF exporté une fois par an ne peut pas représenter durablement l’état de l’annuaire : les objets qui définissent les privilèges et l’exposition sont censés changer.
Certains des points de dérive les plus importants sont opérationnels, pas théoriques :
- un utilisateur est ajouté à un groupe sensible pour un projet puis jamais retiré ;
- un compte de service reçoit un nouveau SPN ou une délégation trop large ;
- une GPO ou une policy par défaut est modifiée pour résoudre un problème court terme puis jamais rétablie ;
- l’application de LDAP signing ou du channel binding reste plus faible que prévu parce qu’un client legacy a bloqué le déploiement ;
- la couverture LAPS baisse parce que de nouveaux serveurs arrivent hors de l’OU gérée ou qu’une nouvelle image a été déployée sans la bonne policy ;
- des modèles AD CS ou des ACL PKI changent pendant des travaux sur les certificats ;
- d’anciens comptes d’administration restent activés parce que personne n’a rejoué la même revue de comptes privilégiés après l’audit initial.
C’est pourquoi l’argument contre les audits uniquement annuels est simple : un audit ponctuel capture l’annuaire le jour de la collecte. Il ne dit pas si les mêmes contrôles à forte valeur tiennent encore après des changements d’équipe, des projets, des migrations, des acquisitions, des travaux PKI, des modifications de GPO ou des attributions d’urgence de privilèges.
Les familles de contrôles à revérifier à chaque cycle
Le bon workflow récurrent ne réexamine pas tout avec la même urgence. Il revérifie les contrôles qui vieillissent mal.
1. Groupes privilégiés et comptes admin obsolètes
Si l’appartenance privilégiée est l’une des manières les plus fréquentes par lesquelles la posture de sécurité dérive, elle doit être l’un des premiers éléments à remesurer. Microsoft recommande d’activer l’audit de succès pour la gestion des groupes de sécurité précisément pour voir la création, les changements, les suppressions de groupes et les nouveaux membres. C’est important parce que le risque concret ressemble rarement à « Domain Admins était ouvert à tout le monde depuis le début ». Il ressemble plus souvent à « l’appartenance a changé, personne ne l’a vu, et l’exception est devenue la norme ».
La revue récurrente doit ici permettre de répondre à des questions simples :
- qui détient aujourd’hui une appartenance privilégiée directe ou indirecte ;
- quels comptes privilégiés sont obsolètes ou très peu utilisés ;
- si les comptes d’administration intégrés sont utilisés pour le travail quotidien ;
- si des utilisateurs privilégiés restent en dehors de contrôles de protection supplémentaires comme Protected Users ou des patterns d’authentification plus forts.
C’est le type de revue où Comptes obsolètes et sur-privilégiés dans AD devient un sujet opérationnel et non théorique.
2. ACL dangereuses, droits de réplication et chemins de contrôle
Un annuaire peut paraître sain au niveau des groupes tout en exposant des chemins de compromission via les ACL. Les droits de réplication, WriteDACL, WriteOwner, GenericAll, les droits d’auto-ajout à des groupes et les changements sur AdminSDHolder sont le type de problèmes qui ne devraient pas attendre l’audit de l’année suivante.
Microsoft documente le mécanisme AdminSDHolder parce que les objets protégés héritent de ce modèle de descripteur de sécurité. Cela en fait exactement le type d’objet de plan de contrôle qui mérite une revue répétée. Si un droit dangereux apparaît sur un objet sensible et y persiste pendant des mois, le fait d’avoir eu un audit propre une fois devient sans importance.
La revue récurrente doit ici se concentrer sur :
- les principaux capables de faire du DCSync et les droits de réplication hors périmètre attendu des DC ;
- les droits d’écriture dangereux sur les utilisateurs, groupes, OU, GPO et ordinateurs sensibles ;
- les écarts sur AdminSDHolder et les autres changements ACL favorables à la persistance ;
- les chemins d’escalade liés aux certificats quand AD CS est présent.
C’est aussi pourquoi Abus ACL et DCSync : chemins silencieux vers Domain Admin ne doit pas être traité comme un simple point de restitution ponctuel.
3. Délégation Kerberos, Shadow Credentials et abus de certificats
Certaines expositions AD restent discrètes jusqu’au moment où elles sont exploitées. Les paramètres de délégation Kerberos, msDS-KeyCredentialLink, les mappings de certificats et les droits sur les certificate templates en sont des exemples classiques. Si vous ne les revoyez que dans une évaluation annuelle, vous acceptez en pratique une longue durée d’exposition pour la prochaine mauvaise configuration.
Ces contrôles méritent une validation récurrente parce qu’ils sont sensibles au changement :
- délégation non contrainte, contrainte et resource-based constrained delegation ;
- exposition aux Shadow Credentials via
msDS-KeyCredentialLink; - weak certificate mapping ou certificate templates AD CS risqués ;
- nouvelles chaînes d’abus de certificats introduites par une dérive de configuration sur les templates ou l’autorité de certification.
Des analyses détaillées existent déjà dans Attaques de délégation Kerberos : de la délégation non contrainte à RBCD, Shadow Credentials : abus de msDS-KeyCredentialLink dans Active Directory, Weak Certificate Mapping dans AD CS : pourquoi l’attachement fort compte et Attaques ADCS : ESC1 à ESC8 vers Domain Admin.
4. Posture des contrôleurs de domaine et couverture de journalisation
Un workflow récurrent doit aussi revérifier si l’environnement est encore capable d’observer le prochain incident. Microsoft documente WEF comme un moyen d’acheminer des événements sélectionnés vers un collecteur et précise explicitement que WEF est passif : il ne crée pas les événements à votre place. Si la génération d’événements, les catégories d’audit, la taille des logs ou la journalisation PowerShell dérivent hors policy, votre visibilité se dégrade même si l’audit précédent était correct au moment où il a été exécuté.
Cela signifie qu’une revue récurrente doit inclure :
- la couverture de la policy d’audit sur les contrôleurs de domaine ;
- les choix de dimensionnement et de rétention du Security log ;
- la couverture de journalisation PowerShell ;
- l’application de LDAP signing et du channel binding ;
- les exigences SMB signing sur les DC ;
- la couverture WEF ou toute autre collecte centralisée pour les événements dont vous dépendez réellement.
C’est le pont concret entre Supervision sécurité AD : les événements clés et un workflow d’audit qui reste utile après le premier rapport.
5. Hygiène des mots de passe admin locaux et dérive du déploiement postes/serveurs
Certaines détections ne sont pas des problèmes « cassés pour toujours ». Elles réapparaissent parce que l’infrastructure change plus vite que le déploiement du standard prévu. Windows LAPS en est un bon exemple. Microsoft documente Windows LAPS comme une fonctionnalité Windows qui gère automatiquement et sauvegarde le mot de passe d’un compte administrateur local. Mais l’existence de la fonctionnalité ne signifie pas que tout votre parc est réellement couvert aujourd’hui.
Une revue récurrente doit donc vérifier :
- si LAPS est réellement déployé assez largement ;
- si les nouveaux systèmes arrivent bien dans le périmètre géré ;
- si l’exposition des mots de passe locaux privilégiés reste lisible trop largement ;
- si des systèmes non gérés réintroduisent un risque de mouvement latéral de type pass-the-hash.
C’est le modèle opérationnel décrit dans Windows LAPS non déployé : pourquoi les mots de passe admin locaux partagés comptent encore.
Une cadence pratique plus efficace qu’un instantané annuel
Il n’existe pas de fréquence universelle qui convienne à toutes les organisations. La bonne cadence dépend du rythme de changement, du modèle d’administration et du fait qu’AD CS, plusieurs forêts ou l’identité hybride ajoutent une complexité supplémentaire. En pratique, une cadence par niveaux fonctionne mieux qu’une seule revue annuelle.
| Cadence | Objectif | Ce qu’il faut remesurer |
|---|---|---|
| Hebdomadaire | Détecter tôt la dérive des privilèges et les changements de policy | appartenances privilégiées, comptes privilégiés nouvellement créés, créations récentes d’objets, changements récents de SIDHistory, changements de policy par défaut, changements ACL à haut risque |
| Mensuelle | Revalider l’exposition structurelle | principaux capables de faire du DCSync, délégation, LDAP/SMB signing, couverture LAPS, comptes obsolètes, hygiène des comptes de service, configuration de journalisation |
| Trimestrielle | Revoir les chemins d’attaque au niveau architecture | exposition AD CS, relations d’approbation, AdminSDHolder, machine account quota, structure des OU et des GPO, hypothèses de tiering et de chemins d’administration |
| Après chaque changement majeur | Vérifier la qualité de la remédiation et des déploiements | fusions, travaux PKI, refonte GPO, nouveaux outils d’administration, nouvelle baseline serveur, changements de tiering, nettoyages de rôles privilégiés |
Le but n’est pas de créer plus de réunions. Le but est de réduire le délai entre le changement, la mesure et la vérification.
Comment transformer cela en surveillance continue de posture avec EtcSec
C’est là que le modèle devient plus utile qu’un livrable annuel de conseil.
Le catalogue AD actuellement publié par ETC Collector recense 340 détections sur 14 catégories, avec une couverture qui inclut les comptes privilégiés, Kerberos, les permissions, les GPO, les trusts, la supervision et la conformité, plus des contrôles ADCS et des chemins d’attaque en Pro. C’est important parce qu’un workflow récurrent ne fonctionne que si le même jeu de détecteurs peut être rejoué de façon cohérente et sans transformer chaque revue en nouvelle mission de conseil.
Surtout, le modèle de déploiement correspond bien au workflow :
- le collecteur audite AD en mode lecture seule via LDAP/LDAPS et SMB pour SYSVOL ;
- aucune modification n’est apportée à l’annuaire ;
- aucun agent n’a besoin d’être déployé sur les contrôleurs de domaine ;
- en mode daemon, le collecteur fonctionne comme un service persistant, interroge la plateforme SaaS toutes les 30 secondes pour recevoir des commandes, exécute les audits localement et remonte les résultats à distance ;
- l’API expose l’état du dernier audit et prend en charge des relances synchrones ou asynchrones, ce qui correspond exactement aux besoins d’un workflow récurrent.
Cela rend le produit plus adapté à un modèle de posture continue qu’à un PDF annuel. Le sujet n’est pas la « détection temps réel » au sens SIEM. Le sujet est que les mêmes familles de contrôles peuvent être remesurées encore et encore avec peu de friction, et que la remédiation peut être validée en relançant l’audit au lieu d’attendre le budget de l’année suivante.
Les contrôles EtcSec les plus utiles dans un workflow récurrent
Un workflow récurrent n’est crédible que s’il correspond à des contrôles concrets. Sur la base du catalogue actuel de vulnérabilités ETC, les détections suivantes se prêtent particulièrement bien à une revue répétée de posture :
| Zone de revue | Contrôles EtcSec à revérifier régulièrement | Pourquoi ils vieillissent mal |
|---|---|---|
| Dérive des privilèges | PRIVILEGED_ACCOUNT_STALE, PRIVILEGED_GROUP_MEMBER_CHANGES, RECENT_PRIVILEGED_CREATION, ADMIN_NATIVE_RECENT_LOGON, GROUP_EVERYONE_IN_PRIVILEGED, GROUP_AUTHENTICATED_USERS_PRIVILEGED | les appartenances et les exceptions s’accumulent en silence |
| ACL et chemins de réplication | DCSYNC_CAPABLE, ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ADMIN_SD_HOLDER_MODIFIED, ADMINSDHOLDER_BACKDOOR | un seul droit délégué peut survivre longtemps au changement qui l’a créé |
| Kerberos et abus d’identifiants | UNCONSTRAINED_DELEGATION, CONSTRAINED_DELEGATION, RBCD_ABUSE, SHADOW_CREDENTIALS, KERBEROASTING_RISK, ASREP_ROASTING_RISK | ces paramètres changent pendant les déploiements de services, les migrations et les exceptions admin |
| Posture LDAP et relay | LDAP_SIGNING_DISABLED, LDAP_CHANNEL_BINDING_DISABLED, SMB_SIGNING_DISABLED, NTLM_RELAY_OPPORTUNITY | les travaux de compatibilité affaiblissent souvent ces contrôles avec le temps |
| LAPS et hygiène endpoint | LAPS_NOT_DEPLOYED, LAPS_DOMAIN_COVERAGE_LOW, LAPS_PASSWORD_READABLE, COMPUTER_NO_LAPS | les nouveaux systèmes et les nouvelles OU ratent souvent la baseline attendue |
| Niveau de préparation de la supervision | AUDIT_POLICY_WEAK, POWERSHELL_LOGGING_DISABLED, AUDIT_LOGON_EVENTS_DISABLED, AUDIT_ACCOUNT_MGMT_DISABLED, AUDIT_POLICY_CHANGE_DISABLED, SECURITY_LOG_SIZE_SMALL, DC_AUDIT_POLICY_INCOMPLETE | la qualité de la journalisation dérive à mesure que les GPO évoluent et que les équipes serveurs ajoutent des exceptions |
| AD CS et chemins liés aux certificats (Pro) | ESC1-ESC11, ADCS_WEAK_PERMISSIONS, ESC6_EDITF_ATTRIBUTESUBJECTALTNAME2, PATH_CERTIFICATE_ESC | les services de certificats changent pendant les travaux sur les templates, la PKI et la délivrance |
Cette liste est ce qui transforme un audit en workflow. Au lieu de payer pour redécouvrir chaque année les mêmes familles de contrôles, l’équipe peut continuer à revérifier celles qui sont les plus susceptibles de dériver d’abord.
Validation après chaque cycle de remédiation
La revue récurrente ne fonctionne que si chaque remédiation se termine par une vérification. Sinon, le workflow retombe dans un simple suivi de tickets sans remesure.
Après chaque fenêtre de changement, vous devez pouvoir répondre à des questions simples :
- est-ce que le finding ciblé a disparu du prochain audit ;
- est-ce que le risque s’est simplement déplacé ailleurs, par exemple d’un problème d’appartenance de groupe vers un problème d’ACL ;
- est-ce que la remédiation a affaibli la supervision, par exemple via des changements de GPO qui affectent la journalisation ou l’application des policies ;
- est-ce qu’une exception supposée isolée a créé un nouveau chemin via la délégation, les droits de réplication ou la configuration des certificats ;
- est-ce que le score de sécurité s’est amélioré pour la bonne raison, c’est-à-dire avec moins de constats utiles, et non simplement moins d’objets scannés.
C’est là qu’un workflow récurrent dépasse une évaluation annuelle. Vous n’avez pas besoin d’attendre des mois pour vérifier si un nettoyage des privilèges, un déploiement LAPS, un projet LDAP signing ou un durcissement AD CS tient réellement dans le temps.
Là où le modèle de conseil annuel garde sa place
Cela ne signifie pas que les revues externes ponctuelles n’ont plus de valeur. Elles restent utiles pour les revues d’architecture profondes, la réponse à incident, la validation red team et les jalons de gouvernance. Mais elles ne remplacent pas une mesure récurrente de l’annuaire lui-même.
Un modèle mature ressemble généralement à ceci :
- une revue externe approfondie quand l’architecture, les frontières de confiance ou le contexte d’incident le justifient ;
- une mesure récurrente de posture pilotée par le collecteur pour les contrôles qui dérivent le plus entre-temps ;
- un suivi ciblé quand de nouveaux constats apparaissent ou que la remédiation s’enlise.
C’est une meilleure histoire que d’acheter un audit coûteux, classer le rapport, puis espérer que l’annuaire reste dans le même état pendant que les admins, les projets et les correctifs d’urgence continuent de le remodeler.
Comment EtcSec fait la différence entre un rapport et un workflow
EtcSec est le plus utile lorsqu’il sert à transformer la revue de sécurité AD en rythme opérationnel :
- rejouer régulièrement le même jeu de détecteurs ;
- faire remonter rapidement les nouvelles dérives de privilèges ;
- vérifier les changements de durcissement après chaque déploiement ;
- garder ADCS, Kerberos, les ACL et la posture de supervision dans la même boucle de revue ;
- piloter le processus depuis le SaaS tout en laissant la collecte sur le réseau du client.
C’est la différence importante. Un audit Active Directory récurrent ne veut pas simplement dire « auditer plus souvent ». Cela veut dire passer d’une assurance occasionnelle à une surveillance continue de posture fondée sur une remesure répétée à faible friction.
Références primaires
- Microsoft Learn - Audit Security Group Management
- Microsoft Learn - Event 5136: A directory service object was modified
- Microsoft Learn - Event 4739: Domain Policy was changed
- Microsoft Learn - LDAP signing for Active Directory Domain Services on Windows Server
- Microsoft Learn - Windows LAPS overview
- Microsoft Learn - AdminSDHolder (MS-ADTS)
- Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
- ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD
- ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory
