Le cluster guide anssi active directory renvoie souvent à une mauvaise attente : il n'existe pas un unique PDF ANSSI qui suffirait, à lui seul, à "mettre Active Directory en conformité". Pour un environnement AD moderne, le socle utile est un corpus de guides complémentaires. Le document principal est le guide ANSSI du 18 octobre 2023 sur l'administration sécurisée des systèmes d'information reposant sur Active Directory. Mais il doit être lu avec le guide ANSSI de 2021 sur l'administration sécurisée des SI, avec le guide de 2022 sur la journalisation Windows en environnement Active Directory, et avec le guide de décembre 2023 sur la remédiation du Tier 0 lorsque la question n'est plus le durcissement, mais la reprise de contrôle après compromission.
Cette distinction change la façon de travailler. Le guide AD 2023 ne traite pas tout. Il rappelle explicitement que les sujets cloud et Microsoft Entra ID sont hors périmètre, et il renvoie au guide d'administration sécurisée pour ce qui concerne les postes d'administration eux-mêmes : accès Internet, durcissement, chiffrement et limitation des usages. Chercher "le guide ANSSI Active Directory" est donc utile, à condition de comprendre quel document sert à quoi avant de le transformer en contrôle technique.
Note importante : les publications ANSSI citées ici sont des guides techniques. Elles servent de référence méthodologique et architecturale, mais ne constituent pas à elles seules une obligation légale automatique, ni une "certification ANSSI Active Directory". Si votre projet s'inscrit aussi dans une trajectoire NIS2, ISO 27001 ou autre, il faut distinguer le texte réglementaire des mesures techniques choisies pour y répondre.
Qu'est-ce que couvre le guide ANSSI Active Directory ?
Le guide ANSSI de 2023 sur l'administration sécurisée des SI reposant sur AD couvre le problème central que beaucoup d'équipes sous-estiment : dans un SI adossé à Active Directory, la compromission de l'annuaire n'arrive pas seulement par un "mauvais paramètre AD", mais souvent par une combinaison de mauvaises pratiques d'administration, d'absence de cloisonnement logique et de chemins de contrôle laissés ouverts depuis d'autres briques du SI.
Le texte traite donc moins d'une checklist de cases à cocher que d'un modèle de confiance. Il explique comment raisonner en zones de confiance, comment identifier le Tier 0, comment réduire les chemins de contrôle vers l'annuaire, pourquoi les usages de NTLM et de Kerberos ont un impact direct sur le cloisonnement, et pourquoi la détection doit être pensée comme un composant normal de l'architecture AD, pas comme une couche ajoutée en fin de projet.
Ce guide ne doit pas être lu comme un remplaçant des autres documents ANSSI. Il les complète. Il n'a pas non plus vocation à couvrir toute la partie cloud, ni la gouvernance juridique, ni les détails d'un poste d'administration sécurisé. C'est précisément pour cela qu'un lecteur technique qui veut vraiment "appliquer l'ANSSI à AD" doit partir d'un ensemble de documents, pas d'une seule publication.
Quels documents ANSSI font autorité aujourd'hui
Le tableau ci-dessous est la grille de lecture la plus utile en pratique :
| Document | Date | Rôle réel dans un projet AD |
|---|---|---|
| Recommandations pour l'administration sécurisée des SI reposant sur AD | 18 octobre 2023 | Document principal pour le cloisonnement logique, le Tier 0, les chemins de contrôle AD, les risques liés aux secrets d'authentification et les principes de détection dans un SI reposant sur AD. |
| Recommandations relatives à l'administration sécurisée des SI | 11 mai 2021 | Base méthodologique pour l'architecture d'administration : comptes dédiés, postes d'administration, accès Internet, réseau d'administration, bastion et séparation des usages. |
| Sécuriser la journalisation dans un environnement Microsoft Active Directory | 28 janvier 2022 | Guide opérationnel pour la journalisation Windows/AD : politiques d'audit, collecte centralisée, WEF/WEC, sélection d'événements, Sysmon et cloisonnement des serveurs de collecte. |
| Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory | version 1.0, décembre 2023 | Référence à utiliser quand l'objectif n'est plus seulement de durcir, mais de reprendre le contrôle d'un AD compromis, de traiter les chemins de persistance et de reconstruire la confiance sur le cœur de confiance. |
| Recommandations de sécurité relatives à Active Directory | 29 août 2014 | Référence historique obsolète. Elle reste utile pour comprendre l'évolution du sujet, mais ne doit plus être traitée comme le socle principal pour un AD actuel. |
Le point important est simple : le guide AD 2014 est désormais obsolète dans le corpus public ANSSI. Le socle utile aujourd'hui est donc le guide 2023, complété selon le besoin par les guides 2021, 2022 et 2023 remédiation.
Les principes ANSSI qui structurent un Active Directory durci
La logique ANSSI n'est pas "durcir des GPO une par une". Elle commence par une question plus structurante : quelles ressources ont un niveau de confiance, de sensibilité et d'exposition comparable, et comment éviter qu'une compromission locale permette de remonter vers l'annuaire ou le Tier 0 ?
Dans cette approche, le cloisonnement n'est pas un schéma réseau abstrait. C'est une combinaison de mesures :
- identifier les ressources les plus sensibles ;
- analyser les chemins d'attaque et les chemins de contrôle vers ces ressources ;
- catégoriser les actifs en niveaux ou Tiers ;
- appliquer des pratiques d'administration compatibles avec cette catégorisation ;
- réduire l'exposition de chaque Tier ;
- durcir les systèmes et les logiciels qui portent l'administration ;
- journaliser et détecter de manière cohérente avec cette architecture.
Ce point est essentiel pour Active Directory, car le périmètre de risque ne se limite pas aux contrôleurs de domaine. Le guide AD 2023 insiste sur le fait que d'autres briques du SI peuvent devenir des chemins de contrôle vers l'annuaire : virtualisation, stockage, sauvegarde, outillage d'administration, relations d'approbation, comptes intégrés, conteneurs de configuration, ou tout système capable de récupérer ou de rejouer des secrets d'authentification.
En pratique, un AD "durci" selon l'esprit ANSSI n'est pas seulement un annuaire avec de bons paramètres. C'est un environnement où les relations de confiance sont explicites, où les privilèges sont séparés, et où l'on peut prouver qu'un administrateur ou une machine d'un niveau inférieur ne dispose pas d'un chemin simple vers le cœur de confiance.
Cloisonnement, zones de confiance et administration dédiée
Le mot-clé ici est zone de confiance. Dans le guide AD 2023, l'ANSSI s'appuie sur cette logique pour structurer le cloisonnement du SI. L'idée n'est pas de tout isoler de façon uniforme, mais de regrouper logiquement les ressources qui partagent un niveau de sensibilité et d'exposition comparable, puis d'empêcher qu'une compromission locale s'étende librement vers les zones les plus critiques.
Sur le terrain, cela oblige à traiter l'administration comme une activité à part. Le guide ANSSI de 2021 sur l'administration sécurisée des SI est très clair sur plusieurs points :
- les comptes d'administration doivent être réservés aux seules actions d'administration ;
- ils ne doivent pas servir à la bureautique ou à l'ouverture de session sur des postes non réservés à l'administration ;
- les comptes natifs built-in ne doivent pas servir de socle de fonctionnement courant ;
- des comptes individuels d'administration doivent être privilégiés pour garantir la traçabilité et la ségrégation des droits ;
- le poste d'administration doit être maîtrisé comme un actif sensible ;
- l'accès à Internet et à la messagerie électronique connectée à Internet ne doit pas être ouvert depuis cet environnement.
Si vos comptes privilégiés se connectent encore sur des postes de bureautique classiques, si les secrets administrateur transitent sur des postes polyvalents, ou si les rebonds d'administration passent par des environnements moins fiables, votre architecture contredit déjà le modèle ANSSI, même si vos GPO et vos ACL paraissent propres.
Le bastion peut faire partie de la réponse, mais l'ANSSI le traite comme un cas d'architecture, pas comme une solution magique. Les postes d'administration dédiés n'ont d'intérêt que si les usages suivent : pas de navigation Web, pas de messagerie, pas d'installation non nécessaire, pas de mélange entre exploitation et bureautique.
Si vous voulez traduire ces principes en contrôles concrets, la bonne approche n'est pas de partir des outils. Elle consiste d'abord à vérifier qui administre quoi, depuis quelle machine, avec quel compte, via quel chemin réseau, et vers quelle zone de confiance. Une checklist d'audit de sécurité Active Directory devient utile à ce stade, parce qu'elle permet de transformer les principes ANSSI en vérifications observables.
Tier 0, comptes privilégiés et chemins d'administration
Le guide AD 2023 reprend la logique historique de segmentation en Tiers et rappelle que le Tier 0 représente le cœur de confiance de l'organisation. Les ressources de ce niveau permettent, directement ou indirectement, d'octroyer des privilèges sur les autres Tiers et donc de contrôler l'annuaire.
L'erreur classique consiste à réduire le Tier 0 aux seuls contrôleurs de domaine. L'ANSSI va plus loin. Dans la logique de cloisonnement comme dans la logique de remédiation, il faut aussi regarder les objets privilégiés, les relations d'approbation, les conteneurs système et de configuration, les comptes intégrés, les secrets d'authentification, et les machines sur lesquelles ces secrets peuvent être exposés. Le guide de remédiation du Tier 0 insiste d'ailleurs sur un point très concret : les postes d'administration sécurisés et les machines pouvant contenir des secrets de comptes privilégiés font partie du problème, car un attaquant qui conserve un point d'appui sur ces machines peut souvent retrouver des moyens de retour vers le cœur de confiance.
Autre point technique important : dans le cadre de la remédiation, l'ANSSI rappelle que la limite de sécurité est la forêt, et non le domaine. Les objectifs techniques ne sont donc considérés comme atteints que lorsqu'ils ont été réalisés sur l'ensemble des domaines d'une forêt compromise, et en parallèle, afin d'éviter qu'un domaine déjà traité soit de nouveau compromis depuis un domaine qui ne l'est pas encore.
Cette vision oblige à sortir d'un audit trop "objet par objet". Sur un AD réel, il faut analyser :
- les groupes et comptes privilégiés encore actifs ;
- les délégations trop larges ;
- les chemins de contrôle non documentés ;
- les secrets privilégiés présents hors du Tier 0 ;
- les dépendances techniques vers la sauvegarde, la virtualisation, la PKI ou d'autres briques capables de récupérer des droits AD ;
- les comptes anciens ou sur-privilégiés qui n'ont plus de justification claire.
Cette lecture recoupe directement des sujets comme les comptes obsolètes et sur-privilégiés dans AD, les attaques ADCS de ESC1 à ESC8 ou encore la délégation Kerberos de la non contrainte à la RBCD. Le point ANSSI n'est pas d'empiler les alertes. Il est de réduire, documenter puis surveiller les chemins réels qui permettent de reprendre le contrôle de l'annuaire.
Journalisation et capacité de détection en environnement AD
Un autre contresens fréquent consiste à traiter la détection comme une surcouche SIEM, indépendante du projet Active Directory. Le guide ANSSI de 2022 sur la journalisation en environnement Microsoft Active Directory montre l'inverse : la journalisation utile est une question d'architecture.
Le document couvre la mise en œuvre des stratégies d'audit Windows, le stockage local et la rotation des journaux, la collecte centralisée des événements, la sélection des journaux utiles, l'usage de Sysmon pour la journalisation avancée, et une collecte basée sur Windows Event Forwarding (WEF) et Windows Event Collector (WEC). Le message n'est pas "activez tout". Il est plutôt le suivant : choisissez les journaux qui soutiennent la détection et l'investigation, centralisez-les dans un périmètre cohérent, et cloisonnez aussi vos serveurs de collecte.
Ce guide est par ailleurs opérationnel. Il ne se contente pas de dire qu'il faut journaliser ; il descend sur les mécanismes Windows et l'organisation de la collecte. Il rappelle aussi une limite utile : son périmètre vise les systèmes connectés de manière régulière. Les systèmes isolés ou très faiblement connectés demandent donc des mécanismes adaptés.
Pour un AD durci selon l'esprit ANSSI, la détection doit pouvoir répondre à des questions concrètes :
- quelles actions d'administration privilégiée ont eu lieu ;
- depuis quels postes et avec quels comptes ;
- quels changements touchent les objets privilégiés, les GPO et les chemins de contrôle ;
- quels secrets peuvent encore circuler hors des environnements de confiance ;
- quels événements critiques arrivent effectivement jusqu'aux collecteurs ;
- quelle profondeur d'analyse est possible si un incident touche le Tier 0.
L'objectif n'est pas de remplacer tout l'écosystème de détection. Il est d'établir une base de journalisation suffisante pour surveiller l'administration, l'authentification, les modifications structurantes de l'annuaire et la santé des actifs critiques. C'est aussi l'endroit où des sujets comme la signature LDAP désactivée ou le Kerberoasting sur les comptes de service deviennent utiles : ils montrent le type d'exposition qui doit apparaître soit dans les contrôles préventifs, soit dans la capacité de détection.
Comment appliquer ces recommandations dans un AD réel
La bonne méthode n'est pas de convertir un guide ANSSI en mille tâches atomiques. Sur un annuaire réel, mieux vaut avancer en sept étapes.
1. Figer le corpus de référence
Décidez quel guide sert à quelle décision. Le guide AD 2023 pour le cloisonnement et le Tier 0. Le guide Administration 2021 pour les comptes, postes et réseaux d'administration. Le guide Journalisation 2022 pour la collecte et la rétention. Le guide Tier 0 Remediation 2023 pour les situations post-compromission.
2. Cartographier les zones de confiance et les Tiers
Listez les ressources qui contrôlent l'annuaire ou peuvent l'influencer : contrôleurs de domaine, PKI, sauvegarde, hyperviseurs, outils d'administration, comptes privilégiés, GPO critiques, relations d'approbation, machines d'administration. Une vue comparative des outils d'audit de sécurité Active Directory devient pertinente si vous devez objectiver ces chemins de contrôle à l'échelle.
3. Documenter les chemins d'administration
Un administrateur Tier 0 se connecte-t-il depuis un poste dédié ? Depuis quel réseau ? Avec quel compte individuel ? Existe-t-il encore des usages mixtes entre bureautique et administration ? Les comptes privilégiés restent-ils bloqués sur leur périmètre, ou retrouve-t-on leurs secrets sur des machines d'un niveau inférieur ?
4. Revoir les protocoles et mécanismes qui cassent le cloisonnement
Le guide AD 2023 consacre un chapitre entier aux dangers de NTLM et de Kerberos pour le cloisonnement. Il faut donc vérifier les mécanismes qui permettent la réutilisation de secrets, la diffusion large d'identifiants ou des délégations trop ouvertes. C'est le moment de recouper vos contrôles avec des sujets comme la délégation Kerberos, la conformité AD & Azure sur NIS2, ISO 27001 et CIS ou les expositions ADCS si votre PKI joue un rôle dans les chemins de contrôle.
5. Construire une journalisation soutenable
Activez les journaux utiles, centralisez-les, sécurisez les collecteurs et synchronisez les horloges. N'essayez pas de "tout voir" le premier jour. Cherchez d'abord à rendre visibles les actions d'administration, les changements critiques et les activités susceptibles d'affecter le cœur de confiance.
6. Produire un backlog de remédiation structuré
Toutes les non-conformités ne se valent pas. Un compte admin ancien mais encore actif, une délégation excessive sur un objet privilégié, une machine d'administration non dédiée, une relation de confiance mal maîtrisée, ou une collecte de journaux inopérante n'ont pas le même impact. Le bon backlog n'est pas trié par type de technologie, mais par impact sur le cloisonnement et le Tier 0.
7. Savoir quand sortir du mode "durcissement" pour entrer en "remédiation"
Si vous détectez déjà des chemins de compromission actifs, des persistances sur des actifs privilégiés ou une perte de confiance dans le cœur de confiance, il faut changer de cadre. Le guide de remédiation du Tier 0 devient alors plus pertinent qu'une simple checklist de hardening.
Validation après durcissement
Un AD n'est pas "aligné ANSSI" parce qu'un dossier documentaire existe. Il faut pouvoir répondre à des questions de validation précises.
Sur le cloisonnement
- Peut-on encore atteindre le Tier 0 depuis un poste, un compte ou un outil d'un niveau inférieur ?
- Les ressources de sauvegarde, de virtualisation, de PKI ou d'administration tierce ouvrent-elles un chemin de contrôle vers l'annuaire ?
- Les relations d'approbation et les délégations ont-elles été revues avec une logique de confiance, pas seulement de fonctionnalité ?
Sur l'administration
- Les comptes privilégiés sont-ils individuels et réservés aux seules actions d'administration ?
- Les postes d'administration sont-ils dédiés, maîtrisés et sans accès Internet ou messagerie connectée à Internet ?
- Les secrets des comptes privilégiés peuvent-ils encore se retrouver dans la mémoire de machines qui ne font pas partie du cœur de confiance ?
Sur la détection
- Les journaux critiques sont-ils bien activés et centralisés ?
- Les serveurs de collecte sont-ils eux-mêmes cloisonnés et surveillés ?
- Une investigation sur une modification d'objet privilégié, une administration anormale ou une compromission potentielle du Tier 0 est-elle possible avec les données disponibles ?
Sur la doctrine
- Les équipes savent-elles quel guide ANSSI utiliser pour quel sujet ?
- Le guide de 2014 a-t-il bien été sorti du socle de référence ?
- Les exigences NIS2 ou ISO sont-elles traitées comme des sujets connexes, sans faire dire au guide ANSSI AD ce qu'il ne dit pas ?
Comment EtcSec aide à vérifier ces écarts
EtcSec n'a pas vocation à transformer un guide technique en label marketing. L'intérêt d'un audit spécialisé est ailleurs : rendre visibles les écarts que les textes ANSSI décrivent, mais que les équipes ont souvent du mal à objectiver à l'échelle d'un environnement réel.
Concrètement, un audit aligné avec cette approche doit permettre de :
- cartographier les chemins de contrôle vers le Tier 0 et les objets privilégiés ;
- inventorier les comptes privilégiés, les droits délégués et les expositions qui n'ont plus de justification claire ;
- mettre en évidence les zones où le cloisonnement logique est contredit par les usages réels ;
- vérifier si la journalisation et la collecte permettent vraiment la détection et l'investigation ;
- prioriser les remédiations qui réduisent le risque de reprise de contrôle de l'annuaire.
Dans cette logique, EtcSec aide à vérifier des écarts techniques. Il ne remplace ni les choix d'architecture, ni la gouvernance interne, ni le travail de remédiation post-incident lorsque le cœur de confiance est déjà perdu.
Références primaires
- ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD (18 octobre 2023)
- ANSSI - Recommandations relatives à l'administration sécurisée des SI (11 mai 2021)
- ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory (28 janvier 2022)
- ANSSI - Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory (version 1.0, décembre 2023)
- ANSSI - Recommandations de sécurité relatives à Active Directory (29 août 2014, obsolète)
- Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn - Sysmon Overview
Continue Reading
Audit Active Directory récurrent : pourquoi les audits annuels deviennent obsolètes et comment surveiller la posture en continu
Shadow Credentials : abus de msDS-KeyCredentialLink dans Active Directory
