Aller au contenu principal
Votre parc informatique, maintenu sans contrat d'engagement — au forfait ou à la demande.Un interlocuteur unique pour vos postes, vos serveurs et votre sécurité.Sécuriser votre SI ? Découvrez le Forfait Audit SécuritéModerniser vos postes Windows ? Le Pack Modernisation dès 3 900 € net de TVAPrestation ponctuelle ou forfait mensuel — au plus près de vos besoins.
Cybersécurité CybersécuritéAuditActive Directory

Audit Active Directory : les risques courants en PME

Microsoft

L’angle mort de la sécurité en PME

Quand on pense cybersécurité, on pense pare-feu, antivirus, sauvegardes. L’Active Directory (AD), lui, reste souvent dans l’ombre : il fonctionne, les utilisateurs se connectent, donc on considère qu’il n’y a rien à vérifier. C’est précisément ce raisonnement qui en fait une cible privilégiée.

Les chiffres du secteur le confirment sans ambiguïté : l’Active Directory est impliqué dans environ 9 attaques par ransomware sur 10, et 87 % de ces attaques causent une perturbation significative (perte de données, arrêt d’activité). Pourtant, seules 27 % des organisations disposent d’une solution de reprise dédiée à leur infrastructure d’identité, ce qui révèle un vrai décalage entre l’exposition réelle et la préparation.

L’AD centralise l’authentification de toute l’entreprise : comptes, mots de passe, droits d’accès, délégations entre serveurs. Un seul risque de configuration mal repéré peut donner à un attaquant les clés de l’ensemble du système d’information, pas seulement d’un poste isolé.

Contrairement à un pare-feu ou un antivirus, l’AD ne signale pas ses propres faiblesses : un compte avec des droits excessifs, une délégation oubliée depuis cinq ans ou une stratégie de groupe (GPO) mal configurée continuent de fonctionner silencieusement, sans jamais déclencher d’alerte. C’est tout l’intérêt d’un audit dédié : il révèle ce qui ne se voit pas au quotidien.

Comment les attaquants entrent, concrètement

Comprendre l’AD comme cible suppose de comprendre comment les attaquants y accèdent en premier lieu. Sur les attaques par ransomware récentes, la répartition des points d’entrée initiaux est la suivante :

Vecteur d’accès initialPart des attaques
Exploitation de vulnérabilités non corrigées32 %
Identifiants compromis (vol, réutilisation, faible robustesse)23 %
E-mail malveillant (pièce jointe, lien)19 %
Hameçonnage (phishing)18 %

Ce tableau explique pourquoi un audit AD ne se limite jamais à l’annuaire seul : la porte d’entrée est souvent un poste mal patché ou un compte avec un mot de passe faible, et la gravité vient ensuite de ce que l’attaquant peut atteindre une fois à l’intérieur, via l’AD.

Les risques de configuration les plus fréquents

Comptes à privilèges mal maîtrisés

Avec le temps, le nombre de comptes administrateurs a tendance à augmenter sans jamais être réduit : un projet ponctuel, un prestataire de passage, un test resté en place. Chaque compte à privilèges oublié est une porte d’entrée potentielle, d’autant plus dangereuse qu’elle est rarement surveillée.

Délégations excessives

L’AD permet de déléguer des droits d’administration ciblés (par exemple réinitialiser les mots de passe d’un groupe précis). Mal configurées, ces délégations peuvent involontairement donner bien plus de pouvoir que prévu, parfois jusqu’à un contrôle total du domaine, sans que personne ne s’en aperçoive.

Mots de passe faibles ou anciens

Politique de mot de passe trop permissive, comptes de service avec un mot de passe qui n’a jamais changé depuis leur création, comptes désactivés mais jamais nettoyés : ce sont des classiques qui se retrouvent dans la quasi-totalité des audits, quelle que soit la taille de l’entreprise.

Stratégies de groupe (GPO) mal configurées

Les GPO pilotent une grande partie de la sécurité des postes et des serveurs. Une GPO héritée d’une configuration ancienne, jamais revue depuis, peut désactiver sans le savoir une protection que l’on pensait active.

Comptes obsolètes

Anciens collaborateurs, anciens prestataires, comptes de test : ces comptes inactifs mais toujours valides restent une cible facile, car ils sont rarement surveillés activement.

Ce qu’un audit révèle concrètement

Un audit structuré de l’AD ne se contente pas de lister des points sensibles isolés : il produit un score de risque global, une cartographie des vulnérabilités et un plan d’action priorisé, des correctifs les plus critiques aux ajustements secondaires. L’objectif n’est pas de tout corriger d’un coup, mais de savoir précisément où porter l’effort en premier.

Point important : cette analyse se fait en lecture uniquement. Elle n’effectue aucune action sur votre annuaire et ne présente donc aucun risque pour votre production, contrairement à un test d’intrusion, qui cherche activement à exploiter les failles trouvées.

Des outils qui mettent des chiffres sur le risque

Un audit sérieux ne repose pas sur une simple inspection à l’œil. Il s’appuie sur des outils spécialisés qui passent l’annuaire au crible et attribuent un score de risque objectif, en repérant automatiquement les configurations dangereuses : comptes à privilèges trop nombreux, délégations risquées, mots de passe qui n’expirent jamais, relations de confiance douteuses. Des outils reconnus du secteur, comme PingCastle, sont devenus une référence pour ce type de diagnostic, y compris dans les audits menés en environnement PME.

Ces outils ont un double mérite. Ils objectivent d’abord le diagnostic : plutôt qu’un avis subjectif, ils fournissent un score chiffré et des constats reproductibles, que l’on peut comparer d’un audit à l’autre pour mesurer les progrès accomplis. Ils le rendent ensuite rapide, ce qui compte pour une PME : là où une revue entièrement manuelle prendrait des semaines, un audit outillé livre l’essentiel de ses constats en quelques jours, restitution et plan d’action compris.

Exemple de plan d’action type après audit

Sur une PME de taille standard (un domaine AD, quelques dizaines à quelques centaines de comptes), un plan d’action issu d’audit suit généralement cette logique de priorisation :

  1. Urgent (sous 7 jours) : comptes administrateurs orphelins ou inutilisés, mots de passe de comptes de service jamais changés, comptes désactivés mais toujours actifs dans des groupes à privilèges.
  2. Court terme (sous 30 jours) : délégations excessives à corriger, GPO de sécurité obsolètes à revoir, politique de mot de passe à durcir.
  3. Moyen terme (sous 90 jours) : mise en place d’un tiering des comptes à privilèges (voir notre guide sur le tiering Active Directory), révision des groupes d’administration délégués.
  4. Continu : revue périodique des comptes obsolètes, journalisation et supervision des actions à privilèges.

Pourquoi les PME sont particulièrement exposées

Les grandes entreprises disposent généralement d’une équipe sécurité qui surveille l’AD en continu. Les PME, elles, s’appuient souvent sur un prestataire généraliste ou un administrateur système polyvalent, dont l’AD n’est qu’une tâche parmi beaucoup d’autres. Ce n’est pas un problème de compétence, mais de temps disponible : personne ne relit l’historique des délégations ou la liste des comptes à privilèges tous les mois quand il faut aussi gérer les postes, les sauvegardes et les demandes du quotidien.

C’est cet écart qui rend l’audit ponctuel particulièrement pertinent pour une PME : il apporte, à un instant donné, le regard structuré qu’une équipe interne n’a pas le temps de porter en continu.

Après l’audit, la remédiation à votre rythme

Une fois le rapport en main, la correction des points identifiés (remédiation) se fait à votre rythme, en fonction de leur criticité réelle et de vos contraintes opérationnelles. Certaines actions sont triviales (désactiver un compte obsolète), d’autres demandent plus de précaution (revoir une délégation utilisée par une application métier), d’où l’intérêt de chiffrer cette étape séparément, une fois le diagnostic posé plutôt qu’à l’aveugle.

Voir ce qui ne se voit pas au quotidien

L’Active Directory a cette particularité dangereuse de fonctionner aussi bien quand il est sain que quand il est vulnérable. Rien, dans son usage quotidien, ne trahit une délégation oubliée ou un compte à privilèges de trop : les utilisateurs se connectent, les applications tournent, et le risque reste invisible jusqu’au jour où quelqu’un cherche à l’exploiter. C’est exactement ce que révèle un audit dédié, non pas des pannes visibles, mais des faiblesses silencieuses que personne n’a le temps de traquer en interne, et qui font toute la différence le jour d’une attaque.

Nous proposons un audit Active Directory en lecture seule, avec un rapport vulgarisé et un plan d’action priorisé, sans aucune action sur votre production. À lire aussi, notre checklist d’audit de sécurité PME et notre guide sur le tiering Active Directory. Contactez-nous pour en discuter.

Sources : Petri IT Knowledgebase, Active Directory Ransomware Report · SOCRadar, Top Ransomware Statistics 2025

Évaluer vos priorités de sécurité

Identifiez les risques concrets et les premières mesures adaptées à votre environnement.