Qu'est-ce que la Conformité AD & Azure ?
La Conformité AD & Azure consiste à traduire des cadres comme NIS2, ISO 27001, les CIS Controls et les recommandations ANSSI en contrôles techniques mesurables dans Active Directory et Microsoft Entra ID. Pour une équipe identité, cela couvre surtout le MFA sur les comptes privilégiés, la gouvernance des rôles, la politique de mots de passe, la journalisation d'audit, la gestion du cycle de vie des comptes et le durcissement des protocoles d'authentification.
Cet article montre comment mapper la Conformité AD & Azure à des contrôles concrets dans AD et Azure, puis comment prioriser les écarts qui créent un vrai risque d'audit ou de compromission.
ℹ️ Note : La conformité n'est pas la même chose que la sécurité. Un environnement conforme peut toujours être compromis. Mais les contrôles requis pour la conformité — correctement implémentés — réduisent significativement la surface d'attaque.
Cartographie de la Conformité AD & Azure vers NIS2, ISO 27001 et CIS
Directive NIS2 (UE, 2024)
NIS2 exige que les entités essentielles et importantes implémentent des mesures techniques appropriées pour la sécurité des identités :
| Exigence NIS2 | Contrôle AD/Azure | Vérification EtcSec |
|---|---|---|
| Authentification multifacteur | MFA pour tous les comptes privilégiés | CA_NO_MFA_REQUIREMENT, PA_GLOBAL_ADMIN_NOT_MFA |
| Politiques de contrôle d'accès | Moindre privilège, gestion des accès privilégiés | EXCESSIVE_PRIVILEGED_ACCOUNTS, PA_PIM_NOT_ENABLED |
| Politiques de mots de passe | Longueur minimale, complexité, rotation | PASSWORD_POLICY_WEAK, PASSWORD_NEVER_EXPIRES |
| Détection d'incidents | Journalisation d'audit, intégration SIEM | Vérifications catégorie Monitoring |
| Sécurité de la chaîne d'approvisionnement | Contrôles d'accès tiers et invités | GUEST_INVITATION_UNRESTRICTED |
Contrôles CIS v8
| Contrôle CIS | Exigence | Implémentation AD |
|---|---|---|
| CIS 5 | Gestion des comptes | Désactiver les comptes obsolètes, appliquer le cycle de vie |
| CIS 6 | Gestion du contrôle d'accès | Moindre privilège, PAW |
| CIS 12 | Gestion de l'infrastructure réseau | Chiffrement Kerberos, restrictions NTLM |
| CIS 17 | Gestion de la réponse aux incidents | Politique d'audit, rétention des logs |
ISO 27001:2022
| Contrôle | Description | Mapping AD |
|---|---|---|
| A.5.15 | Contrôle d'accès | Implémentation RBAC, gouvernance des groupes |
| A.5.17 | Informations d'authentification | Politique de mots de passe, MFA |
| A.8.2 | Droits d'accès privilégiés | PAW, PIM, gouvernance des comptes DA |
| A.8.5 | Authentification sécurisée | MFA, Kerberos AES, NTLMv2 uniquement |
Recommandations ANSSI
# ANSSI recommande : chiffrement Kerberos AES uniquement
Set-ADDefaultDomainPasswordPolicy -Identity corp.local -KerberosEncryptionType AES128,AES256
# ANSSI recommande : activer Protected Users pour tous les admins
Add-ADGroupMember -Identity "Protected Users" -Members (Get-ADGroupMember "Domain Admins")
Evaluation des Lacunes de Conformité
Etape 1 - Établir une Base de Référence
# Politique de mots de passe rapide
Get-ADDefaultDomainPasswordPolicy | Select-Object MinPasswordLength, ComplexityEnabled, MaxPasswordAge
# Status de la politique d'audit
auditpol /get /category:"Account Logon","DS Access","Account Management" | Select-String "Success|Failure"
Etape 2 - Cartographier les Lacunes vers les Contrôles
$verifications = @{
"Longueur min mot de passe >= 12" = (Get-ADDefaultDomainPasswordPolicy).MinPasswordLength -ge 12
"Complexité mot de passe activée" = (Get-ADDefaultDomainPasswordPolicy).ComplexityEnabled
"Durée max mot de passe <= 90j" = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days -le 90
"Audit DS Changes activé" = (auditpol /get /subcategory:"Directory Service Changes") -match "Success"
}
$verifications.GetEnumerator() | ForEach-Object {
[PSCustomObject]@{
Contrôle = $_.Key
Statut = if ($_.Value) { "CONFORME" } else { "NON CONFORME" }
}
} | Format-Table -AutoSize
Etape 3 - Prioriser par Impact sur le Risque
- Critique : MFA non appliqué, comptes DCSync capables, délégation non contrainte
- Haute : Politique de mots de passe faible, pas de journalisation d'audit, comptes privilégiés excessifs
- Moyenne : Comptes obsolètes, LAPS manquant, pas de politiques affinées
- Faible : Conventions de nommage, lacunes documentaires
Remédiation
💡 Action Rapide : Exécutez l'outil CIS-CAT Lite gratuit contre vos Contrôleurs de Domaine pour obtenir un rapport scoré avec des étapes de remédiation spécifiques.
Séquence de Remédiation Prioritaire
- Activer le MFA pour tous les comptes privilégiés
- Activer la journalisation d'audit — Politique d'Audit Avancée sur tous les DCs
- Corriger la politique de mots de passe — minimum 14 caractères, complexité, max 90 jours
- Supprimer les membres DA excessifs
- Déployer LAPS
- Désactiver les comptes obsolètes
- Activer Kerberos AES uniquement
Comment EtcSec Détecte Cela
EtcSec mappe ses 426 vérifications de vulnérabilités directement aux exigences des cadres de conformité. Chaque résultat dans un rapport EtcSec inclut :
- La mauvaise configuration spécifique détectée
- Le niveau de risque (Critique/Haute/Moyenne/Faible)
- Les cadres de conformité affectés (NIS2, CIS, ISO 27001, ANSSI)
- Des conseils de remédiation étape par étape
ℹ️ Note : EtcSec mappe tous les résultats aux cadres de conformité automatiquement. Lancez un audit gratuit pour voir votre posture de conformité NIS2, CIS Controls et ISO 27001.
Articles connexes : Supervision Sécurité AD | Sécurité Mots de Passe AD
Priorites de Revue
Conformité AD et Azure : Mapper NIS2, ISO 27001 et CIS aux Contrôles Réels doit etre traite comme une exposition reelle dans votre environnement Active Directory, pas comme un simple parametre isole. La premiere etape consiste a definir le vrai perimetre de revue : quels groupes privilegies, comptes de service, ACL, liens GPO, trusts, delegations, templates de certificats et postes d'administration sont concernes, quelles dependances metier existent, quels privileges sont exposes et quelles exceptions d'urgence ont ete ajoutees avec le temps. Ce cadrage evite une remediation superficielle, car le symptome technique est souvent plus petit que le rayon d'impact operationnel. En documentant le chemin complet entre configuration, privilege et usage reel, l'equipe peut prioriser des changements qui reduisent le risque sans bloquer l'activite.
Controles Adjacents a Revoir
Quand un attaquant arrive dans votre environnement Active Directory, il ne s'arrete presque jamais au premier point faible. Autour de Conformité AD et Azure : Mapper NIS2, ISO 27001 et CIS aux Contrôles Réels, il cherche en general a enchainer avec comptes privilegies obsoletes, imbrication dangereuse de groupes, delegations excessives, politiques de mot de passe faibles et abus d'ACL heritees. Cela signifie que la defense doit revoir non seulement la faiblesse principale, mais aussi toutes les dependances qui transforment un acces initial en persistance ou en escalation. Verifiez quelles identites, quels roles, quelles permissions et quelles hypotheses de confiance peuvent etre reutilises. Si le correctif ferme un seul objet mais laisse intactes les voies adjacentes, le risque reel change peu. Une revue des chaines d'abus est donc indispensable pour obtenir un resultat durable.
Preuves et telemetry a collecter
Une bonne reponse a Conformité AD et Azure : Mapper NIS2, ISO 27001 et CIS aux Contrôles Réels repose sur des preuves que l'ingenierie et la detection peuvent relire ensemble. Collectez Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, changements SYSVOL et activite des certificats, comparez les changements recents avec les fenetres de maintenance attendues et isolez les comptes ou objets qui ont change de comportement sans justification claire. Ces elements doivent permettre de repondre a trois questions simples : quand l'exposition est apparue, qui peut encore l'utiliser, et si des variantes similaires existent ailleurs dans votre environnement Active Directory. La collecte de preuves aide aussi a distinguer une dette technique ancienne d'un usage actif. Cette distinction est essentielle pour choisir le bon niveau d'urgence et la bonne sequence de remediation.
Faiblesses voisines a revoir
Tres peu d'environnements contiennent Conformité AD et Azure : Mapper NIS2, ISO 27001 et CIS aux Contrôles Réels seul. Dans la pratique, la meme zone du tenant ou de l'annuaire contient souvent aussi comptes privilegies obsoletes, imbrication dangereuse de groupes, delegations excessives, politiques de mot de passe faibles et abus d'ACL heritees, et ce sont ces faiblesses voisines qui determinent si l'exposition reste limitee ou devient critique. Revoyez les owners communs, les permissions heritees, les exceptions dupliquees et les raccourcis administratifs qui n'ont jamais ete retires. Verifiez si la meme logique de contournement a ete approuvee a plusieurs endroits, car cela revele souvent une faille de processus plus qu'un bug unique. Cette revue elargie donne une meilleure chance d'eliminer le chemin d'attaque complet.
Ordre de remediation recommande
Pour Conformité AD et Azure : Mapper NIS2, ISO 27001 et CIS aux Contrôles Réels, l'ordre de remediation doit privilegier la reduction de risque avant la perfection. Commencez par fermer les chemins qui augmentent le plus vite le privilege, puis verrouillez les objets ou identites a plus forte valeur, et ensuite seulement traitez les ecarts de hygiene secondaires. Utilisez tiering, nettoyage des delegations, revue ACL, hygiene des comptes de service, revue des permissions GPO et durcissement ADCS comme ensemble de controles cible. Chaque changement doit avoir un owner, une note de rollback et une etape de validation. Cette discipline evite que les programmes de correction s'arretent apres le premier gain technique. Si une refonte complete n'est pas possible tout de suite, formalisez des controles intermediaires et planifiez le travail structurel dans le prochain revue hebdomadaire des privileges et validation mensuelle des controles.
Validation apres chaque changement
Apres toute modification liee a Conformité AD et Azure : Mapper NIS2, ISO 27001 et CIS aux Contrôles Réels, validez le resultat sous deux angles : administration legitime et chemin d'attaque. Confirmez que les utilisateurs et systemes attendus continuent de fonctionner, puis prouvez que la voie dangereuse ne donne plus le meme levier. Rejouez la collecte sur Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, changements SYSVOL et activite des certificats, relisez les approbations et verifiez qu'aucun objet voisin ne conserve une voie de contournement. La validation doit aussi inclure une definition ecrite du succes, afin que tout le monde sache ce qui constitue une fermeture acceptable. Dans les equipes matures, un correctif n'est accepte que lorsque le chemin risque est ferme et que l'etat final correspond vraiment a l'objectif de durcissement.
Lectures Connexes
Pour traiter ce sujet correctement, reliez-le a Supervision Sécurité AD : Événements Clés, Mots de Passe AD : Erreurs de Configuration Critiques, Durcissement du Tenant Azure : Corriger les Configs à Risque, Azure Identity Protection : Automatiser la Réponse aux Credentials Divulgués et Failles d'Accès Conditionnel Azure : Contournement du MFA. Cet ensemble montre comment les memes erreurs d'identite, de privileges et de configuration se combinent dans une revue reelle au lieu d'apparaitre comme des constats isoles.
- Supervision Sécurité AD : Événements Clés
- Mots de Passe AD : Erreurs de Configuration Critiques
- Durcissement du Tenant Azure : Corriger les Configs à Risque
- Azure Identity Protection : Automatiser la Réponse aux Credentials Divulgués
- Failles d'Accès Conditionnel Azure : Contournement du MFA
Ces liens internes gardent la remediaton centree sur le chemin d'attaque complet et pas seulement sur un controle pris separement.
Questions a Trancher Avant la Validation Finale
Avant qu'une equipe considere un sujet identite comme vraiment traite, elle devrait pouvoir repondre a quelques questions simples avec des preuves concretes. Quel compte, quel groupe ou quel systeme reste aujourd'hui le chemin d'exception le plus sensible ? Quelle dependance operationnelle a empeche une remediation plus complete, et qui a accepte ce risque de facon explicite ? Quel controle compensatoire, quelle regle de supervision ou quelle frequence de revue couvre desormais l'exposition residuelle en production ? Ces questions comptent parce qu'une faiblesse d'identite revient souvent lorsque la note de remediaton est plus forte que la realite d'exploitation. Si l'organisation ne peut pas expliquer clairement le proprietaire, la dependance metier et la prochaine date de revue, le controle n'est generalement pas aussi stable qu'il en a l'air.
Preuves a Conserver pour la Revue Suivante
Les equipes les plus solides conservent juste assez de preuves pour rendre la revue suivante plus rapide et plus fiable. Cela inclut en general le proprietaire actuel de l'actif concerne, le changement de configuration exact qui a reduit le risque, la liste des exceptions encore acceptees et la preuve technique montrant que le nouvel etat est bien applique en production. Cette discipline est utile parce que les problemes d'identite et de privilege ne sont presque jamais des decouvertes uniques. Ils reviennent plutot via le turnover administrateur, la derive applicative ou des dependances historiques mal comprises au premier passage. En documentant a la fois la correction et la raison pour laquelle elle a ete acceptee, les equipes reduisent le risque de refaire la meme analyse a chaque cycle ou de reintroduire la meme faiblesse en corrigeant un autre sujet operationnel.
