Les équipes de réponses à incident Wavestone relèvent que 38% des attaques démarrent par une compromission d’identités (vs. 20% en 2024). Plus globalement, les attaquants exploitent fréquemment les identités on-premise pour se déplacer latéralement vers les environnements cloud (Microsoft Digital Defense Report 2025 [1]). 

Dans un contexte où l’hybridation des identités augmente une surface d’attaque déjà vaste, les entreprises doivent pouvoir en comprendre les enjeux et s’outiller efficacement. 

A travers ce nouveau panorama 2026 des outils de sécurisation Active Directory, nous vous proposons : 

1. Une cartographie actualisée des outils de sécurisation Active Directory 
2. Une lecture des grandes tendances du marché (consolidation, passage aux plateformes, hybridation cloud) 
3. Un retour d’expérience sur les difficultés d’implémentation opérationnelle et les facteurs clés de succès 

Un panorama des outils de sécurisation AD 2026 qui s’est encore enrichi 

En analysant le marché, nous avons identifié 4 cas d’usage principaux sur lesquels ces outils se positionnent : 

1. L’analyse et l’audit 
2. Le durcissement et le maintien en condition de sécurité 
3. La détection 
4. La réponse et la reconstruction 

Un recensement des éditeurs et outils proposant des fonctionnalités répondant à un ou plusieurs de ces 4 cas d’usage été effectué. Il a été réalisé avec l’objectif d’être le plus complet possible, intégrant les outils des acteurs les plus connus et utilisés du marché et ceux des acteurs moins/peu connus, les outils propriétaires et les outils open-source, les outils à large spectre de fonctionnalités et les outils proposant un panel plus limité de fonctionnalités. Tout outil pertinent a ainsi été consigné dans une liste, comportant pour chacun, diverses informations (renommée, description de l’outil et des cas d’usage couverts, hébergement…).  

Le panorama suivant recense un ensemble d’éditeurs de cette liste, sélectionnés en raison de la couverture fonctionnelle qu’ils proposent et de l’étendue de leur utilisation au sein des organisations. 

Le logo de Microsoft Entra ID est ajouté aux outils qui offrent la possibilité de l’intégrer dans leur fonctionnement en plus de la couverture de l’AD on-premise. Il s’agit d’une tendance forte sur le marché. 

1. Un marché en mouvement en pleine consolidation 

Le marché de l’Active Directory a connu un certain nombre de changements depuis 2022, avec plusieurs transactions majeures. Le but étant le plus souvent pour les éditeurs de compléter leur offre, ou de couvrir un nouveau besoin de la sécurisation Active Directory. 

On peut noter entre-autres : 

Rachat de PingCastle par Netwrix  [2] : PingCastle, reconnu pour son expertise dans l’audit de sécurité AD vient renforcer l’offre de Netwrix. Cette acquisition permet à Netwrix d’élargir son portefeuille avec un outil léger, rapide à déployer et apprécié des équipes techniques, tout en affirmant sa volonté de proposer une plateforme unifiée couvrant l’ensemble du cycle de vie de la sécurisation AD. 

Rachat de Attivo par SentinelOne  [3] : Attivo, spécialiste de la sécurité des identités et de la détection des mouvements latéraux, renforce l’offre SentinelOne en intégrant des capacités avancées de protection AD, dans une logique de plateforme unifiée alliant EDR, XDR et sécurité des identités. 

Rachat de BrainWave par Radiant Logic [4] : Radiant Logic renforce les capacités d’analyse d’identité et de gouvernance. En combinant la cartographie fine des droits de BrainWave avec la fédération d’identités de Radiant Logic, l’offre devient plus complète pour répondre aux enjeux AD. 

Intégration de Stealthbits par Netwrix  [5] : En fusionnant avec Stealthbits, Netwrix a intégré des briques historiques d’audit et de détection Active Directory (StealthAUDIT, StealthDEFEND, etc.), renforçant son offre sur la protection des identités et des données sensibles et s’orientant vers une plateforme unifiée autour de la sécurité d’AD. 

2. De l’outil spécifique à la plateforme centralisée 

En 2022, notre panorama des outils de sécurisation Active Directory mentionnait « des outils spécialisés, répondant chacun à une partie de l’équation. » [6]. En 2026, on observe l’émergence de plateformes centralisées, capables de couvrir plusieurs besoins autour d’Active Directory et, souvent, d’Entra ID. Cette dynamique est d’abord tirée par les éditeurs, qui cherchent à élargir leur proposition de valeur et à se différencier sur des plateformes complètes plutôt que par des outils spécialisés offrant des fonctionnalités spécifiques. 

Certains éditeurs construisent leurs plateformes par acquisitions successives, comme Netwrix (audit AD, protection des données, découverte de vulnérabilités, PingCastle…) ou SentinelOne (EDR/XDR renforcé par Attivo sur l’identité), tandis que d’autres enrichissent progressivement leurs offres historiques pour proposer des suites modulaires, qu’il s’agisse d’outils d’administration / surveillance comme ManageEngine ADAudit Plus ou Quest Change Auditor, qui ajoutent des briques d’audit AD, de durcissement et de détection sur l’ensemble de l’écosystème Active Directory. 

Les promesses mises en avant par les éditeurs sont claires : 

• Centralisation des données (comptes, groupes, droits, événements de sécurité) 
• Vision unifiée des chemins d’attaque entre AD et Entra ID 
• Pilotage simplifié pour les équipes sécurité, infrastructure et IAM, via des consoles et tableaux de bord consolidés 

Côté clients, les atouts sont évidents, mais la réalité peut être plus nuancée : 

• La consolidation peut réduire le nombre d’outils et simplifier les intégrations, mais elle ne supprime pas le besoin d’expertise AD ni les outils spécialisés (par exemple pour la reconstruction post-incident). 
• Les environnements restent souvent multi-éditeurs, avec un mix entre plateformes globales (XDR, CNAPP, Identity Security) et outils ciblés AD, notamment dans les grands groupes ou les organisations déjà fortement outillées. 

Dans ce contexte, l’enjeu n’est pas seulement de « choisir une plateforme », mais de composer un ensemble cohérent, en s’assurant que : 

• Le périmètre AD / Entra ID est bien couvert sur tout le cycle de vie (prévention, détection, réponse, reconstruction) 
• Les outils peuvent alimenter les processus existants (SOC, gestion de crise, PRA, IAM) 
• La dépendance à un éditeur unique est évaluée et maîtrisée. 

3. L’hybridation Cloud 

Avec l’essor d’Entra ID et des applications SaaS, l’hybridation des identités est devenue la norme : comptes et groupes AD sont synchronisés vers le cloud, les mêmes identifiants servent à accéder aux ressources on-premise et cloud. De nombreux incidents récents montrent que les attaquants exploitent ces architectures hybrides pour pivoter entre AD et Entra ID, en tirant parti de mauvaises configurations ou d’alignements trop faibles entre les deux mondes. [7] 

Cela se traduit par plusieurs besoins concrets : 

• Supervision conjointe d’AD et d’Entra ID : capacité à corréler les signaux issus de l’annuaire on-premise (changes, anomalies, tentatives de mouvement latéral) et du cloud (signaux Entra ID Protection, anomalies de connexion, accès conditionnel…).  
• Alignement des politiques de sécurité : durcissement de l’AD (configuration, délégation, comptes à privilèges) en cohérence avec les politiques d’accès conditionnel, de MFA et les exigences Zero Trust.  
• Capacités de reconstruction hybride : en cas de compromission AD, la reconstruction et la remise en service doivent intégrer les dépendances Entra ID (synchronisation, comptes de service, applications) pour éviter les effets de bord sur le cloud, et inversement. 

Les éditeurs se positionnent progressivement sur cette hybridation. Certains élargissent leurs moteurs d’audit AD pour inclure Entra ID (on-premise to cloud) et offrir une vue unifiée des vulnérabilités d’identité : Netwrix Auditor permet désormais de surveiller Entra ID en parallèle d’Active Directory avec une vue unique des menaces hybrides. Tenable Identity Exposure étend ses indicateurs d’exposition aux risques spécifiques Entra ID et Semperis Directory Services Protector corrèle les changements AD et Entra ID dans une console unique pour réduire la surface d’attaque hybride. 

D’autres outils partent du cloud (Entra ID, SaaS) et descendent vers l’AD on-premise (cloud to on-premise), dans une logique de “hybrid identity threat detection & response” : Microsoft Defender for Identity fournit un inventaire consolidé des identités AD et Entra ID et de nouvelles capacités de détection sur les composants hybrides (Entra Connect, AD FS, etc.), CrowdStrike Falcon Identity Threat Protection analyse les comptes hybrides présents à la fois dans AD et Entra ID / Azure AD. 

Une mise en œuvre opérationnelle encore perfectible 

Le marché de la sécurisation Active Directory montre une adoption croissante et structurée d’outils pointus. Dans beaucoup d’organisations, la couverture fonctionnelle est désormais correcte, voire avancée, sur les différents volets de la sécurité AD (audit, durcissement, détection, sauvegarde). 

Pour autant, la maturité technologique contraste, avec une mise en œuvre opérationnelle encore incomplète. Les plans de reprise d’activité (PRA / DRP) AD restent souvent théoriques, peu testés, ou déconnectés des outils de sauvegarde et de reconstruction déployés. Les revues régulières (revue de privilèges, de délégations, de relations d’approbations) sont encore rarement industrialisées : elles dépendent souvent de quelques experts, avec un niveau d’automatisation limité. 

L’efficacité de mise en œuvre est, de même, impactée par l’évolution constante de l’écosystème, entre plateformisation des outils et hybridation des identités. L’enjeu des prochaines années sera donc d’aligner les outils (existants et futurs) sur des processus robustes, documentés et testés : 

1. Clarifier les responsabilités entre équipes infra, IAM, sécurité et SOC, 
2. Formaliser et automatiser les contrôles récurrents (revues de droits, validation de configuration, tests de restauration). 

C’est à cette condition que les investissements dans les outils de sécurisation Active Directory, on-premise et cloud, permettront d’atteindre une résilience réelle. 

Méthodologie du panorama 

Nous identifions 4 catégories principales pour regrouper les outils : 

Analyse et audit : 

• Account and Privilege : Inventaire des comptes, groupes et droits associés pour détecter les privilèges excessifs ou non conformes. 
• AD Discovery : Exploration de la structure AD (OUs, GPOs, objets) pour déduire l’architecture, les relations et dépendances. 
• Vulnerability Discovery :  Identification des failles de sécurité (configuration, comptes obsolètes, mots de passe faibles…). 
• Attack Path Discovery : Modélisation des chemins d’attaque potentiels vers des comptes à privilèges. 

Durcissement et gestion : 

• Password Management : Gestion des politiques de mot de passe, synchronisation, audit des mots de passe (robustesse, réutilisation, compromission…). 
• Rights & Privilege Management : Délégation, contrôle des accès, gestion des rôles et des permissions. 
• GPOs Management : Création, analyse, modification des objets de stratégie de groupe. 
• Change Management : Suivi des modifications, traçabilité, gestion des changements et outils de migration. 

Surveillance : 

• Threat Detection : Détection proactive des comportements suspects, escalades de privilèges, mouvements latéraux. 
• Security Incident Detection : Identification des incidents de sécurité, alertes en temps réel, corrélation d’événements. 

Sauvegarde et Recouvrement : 

• AD Backup & Recovery : Sauvegarde partielle ou complète des objets AD, restauration rapide après sinistre. 
• Investigation & Forensics : Analyse post-incident, traçabilité des actions malveillantes, collecte de preuves. 

Pour chacun des outils ainsi classifiés, un badge (logo Microsoft Entra ID) est ajouté lorsque l’outil offre la possibilité d’intégrer Microsoft Entra ID dans son fonctionnement. 

Conclusion

Le panorama de 2026 se base sur l’analyse de 180 outils, contre 150 en 2022. Il a été construit dans une démarche similaire à celui de 2002. Il se base sur un recensement des outils du marché. Sur cette base et en lien avec les thèmes récurrents de sécurisation de l’Active Directory, une catégorisation a été établie pour en faciliter la lecture. 

La liste des outils mentionnés ne prétend pas être exhaustive, dans la mesure où la liste d’outils pouvant concourir de près ou de loin à la sécurité de l’Active Directory est vaste. Ce panorama est donc une synthèse des principaux outils existants, notamment ceux que les consultants Wavestone rencontrent le plus dans les grandes organisations (envisagés, étudiés, testés ou déployés). 

Références 

[1] Microsoft Digital Defense Report 2025 | Microsoft 

[2] Netwrix Acquires PingCastle | Netwrix 

[3] SentinelOne, Inc. – SentinelOne Completes Acquisition of Attivo Networks 

[4] Radiant Logic Signs Definitive Agreement to Acquire Brainwave GRC – Radiant Logic | Unify, Observe, and Act on ALL Identity Data 

[5] Netwrix annonce sa fusion avec Stealthbits | Netwrix 

[6] Radar des outils pour renforcer la sécurité d’Active Directory – RiskInsight 

[7] Microsoft Incident Response lessons on preventing cloud identity compromise | Microsoft Security Blog 

Cet article Panorama des outils de sécurisation Active Directory – version 2026  est apparu en premier sur RiskInsight.

 Microsoft a annoncé qu’en Q2 2024 « plus de la moitié des entreprises du classement Fortune 500 utilisent Azure OpenAI ». [1] En parallèle, AWS propose Bedrock [2], concurrent direct d’Azure OpenAI. 

Ce type de plateforme permet de créer des applications basées sur les modèles d’IA générative comme des LLM (GTP-3.5, Mistral, etc.). 

Néanmoins, l’adoption de cette technologie n’est pas sans risque : de l’assistant virtuel qui critique son entreprise [3] à la fuite de donnée [4], les exemples ne manquent pas. 

Pour soutenir les nombreux déploiements en cours, il faut donc rapidement réfléchir à sa sécurité, notamment quand des données sensibles sont utilisées. Nous vous proposons de revenir, au travers de cet article, sur les risques et remédiations liés à l’utilisation de ces plateformes. 

Quel modèle convient à votre besoin ? 

Trois types d’IA génératives peuvent être utilisées pour créer une application. La différence s’observe dans la précision des réponses apportées :  

1. Simple : modèle d’IA générique (GPT-4, Mistral, etc.) branché comme tel, avec une interface utilisateur. C’est un GPT interne. 
2. Boosté : modèle d’IA générique qui fait levier sur les données de l’entreprise, par exemple via du RAG (Retrieval Augmented Generation). Ce sont les compagnons spécialisés pour un usage, RH GPT, Opération GPT, CISO GPT…). 
3. Spécialisé : le modèle d’IA réentraîné pour une utilisation particulière. Par exemple l’Inde a réentraîné Llama 3 sur ses 22 langues officielles pour en faire un traducteur spécialisé. 

Ces trois modes de déploiement induisent des risques. Nous vous proposons dans un premier temps de décrire les différents modes. Nous verrons ensuite les risques, puis les remédiations associées. 

Modèle simple 

Ce modèle est le plus simple à déployer. Il permet aux utilisateurs d’interagir avec les modèles d’IA proposés par les plateformes. Il simplifie l’intégration d’envoi de prompt et de réception des réponses dans une application. Il s’agit d’un ChatGPT interne, l’intérêt étant de limiter la fuite de donnée sensible insérée dans un prompt, à contrario de la version web. Aussi, dans ce cas, les échanges avec les utilisateurs ne sont pas utilisés pour réentraîner et améliorer le modèle. Vos données sont protégées. Les plateformes Cloud proposées par Azure, AWS ou GCP permettent un déploiement rapide de ces solutions. 

Exemples d’utilisation : résumé de texte, assistant de développement. 

Fonctionnement du modèle simple

Modèle boosté 

Le modèle reste générique mais aura accès à des données de l’entreprise sélectionnées. L’IA pourra par exemple consulter la PSSI du groupe pour fournir la politique de mots de passes. 

Exemples d’utilisation : chatbot d’entreprise, analyse de données. 

Fonctionnement du modèle boosté

Modèle spécialisé 

L’application ne repose plus sur un modèle générique (GPT-4, Mistral, etc.). En amont de son exploitation, vous devrez entraîner votre propre modèle sur les données de votre entreprise. Il pourra toujours consulter les données de l’entreprise et en aura une meilleure compréhension pour générer sa réponse. 

Exemples d’utilisation : détection de défaut sur une ligne de production, diagnostic médical. 

 Fonctionnement du modèle spécialisé

A quels risques êtes-vous exposés ? 

Qu’importe le modèle sélectionné, il existe plusieurs risques transverses ou spécifiques. Il est important d’en tenir compte pour assurer l’intégration sécurisée de la solution. 

Détournement du modèle 

Les modèles d’IA sont exposés au risque de mauvaise utilisation. Imaginez un scénario où quelqu’un utilise cette technologie pour générer du contenu nuisible. Cela peut entraîner des conséquences réelles comme la propagation de contenu toxique. L’une des attaques connues pour cet objectif est le Prompt Injection [5]. 

 Exemple – Détournement du modèle (Prompt Injection)

Hallucination 

Lorsque l’IA affirme une information qui est fausse, elle hallucine. Pensez-y comme si l’IA « rêvassait » : si elle n’a pas la réponse, elle va « inventer » des choses pour remplir le vide. Cela peut être particulièrement problématique dans des situations où la précision est cruciale : génération de rapports, prise de décisions. Les utilisateurs pourraient propager sans le savoir ces fausses informations, ou prendre de mauvaises décisions.  

 Exemple – Hallucination du modèle

Fuite de données 

Il existe plusieurs façons de faire fuiter la donnée. Un attaquant peut injecter un prompt malicieux pour la récupérer, un employé peut se voir attribuer plus de droits que nécessaires et accéder à des informations sensibles (exemple : compte rendu stratégique d’un comité exécutif). La sécurisation de la base de données sous-jacente doit donc être proportionnelle à la donnée stockée. 

A savoir que le modèle a accès à certaines données de l’entreprise. Si ses droits sont par exemple trop importants, il pourra consulter des données confidentielles. Ces réponses incluront donc des informations sensibles n’ayant pas vocation à être communiquées. 

Exemple – Fuite de données

Vol du modèle 

Si le modèle est spécialisé, c’est désormais la propriété intellectuelle de votre entreprise. À ce titre, il pourrait attiser la convoitise de l’attaquant. Les données d’entraînement confidentielles peuvent par exemple être ciblées. La question de confiance en l’hébergeur Cloud peut aussi se poser : ne vaut-il pas mieux l’héberger en local ? 

 Exemple – Vol du modèle

Empoisonnement du modèle 

Sans prétendre voler le modèle, l’objectif de l’attaquant pourrait être de le rendre non fiable. Les réponses générées ne pourraient donc plus être exploitées par les équipes. 

L’empoisonnement peut se produire dans deux cas de figures :  

• Modèle boosté : l’attaquant accèdent au RAG et modifie les informations. Alors le modèle s’appuie sur des données empoisonnées pour fournir ses réponses.  

• Modèle spécialisé : l’attaquant empoisonne les données de réentraînement du modèle. Soit directement sur la base de données qu’il met à disposition sur une plateforme publique (type Hugging face), soit en accédant à la base de données d’entraînement hébergé dans votre système d’information. 

Exemple – Empoisonnement du modèle

Risques principaux : quelles remédiations ? 

Parmi les 5 risques présentés, 3 prédominent dans les analyses de risques effectuées par nos équipes. Nous vous proposons d’étudier les remédiations associées. 

Le caractère nouveau de la technologie offre l’opportunité de construire des bases de sécurité solide. Pour aboutir à une solution efficace et sécurisée, plusieurs itérations seront nécessaires. 

Risque #1 : Détournement du modèle 

 Détournement du modèle : clé de remédiation

Pour faire face au détournement du modèle, nous conseillons les mesures suivantes : 

#1 – Durcir la configuration suivant deux axes. Premièrement, la gestion du prompt maître (fenêtre de discussion avec le modèle). Certains mots clés peuvent par exemple être bannis afin d’éviter les dérives. Deuxièmement, le nombre de jetons et donc la taille des réponses. Un modèle moins verbeux aura moins de chance d’être détourné. D’autres paramètres peuvent être pris en compte : la température, la langue utilisée, etc. 

#2 – Filtrer les réponses en appliquant par exemple un simple algorithme filtrant les réponses. Pour aller plus loin, il est envisageable de déployer des pares-feux LLM spécialisés. Cela permettra par exemple de se prévenir de potentiels abus (on parle dans ce cas-là d’Abuse monitoring). 

#3 – Limiter les sources auxquels le modèle à accès pour générer ses réponses. Dans l’hypothèse où l’accès aux données de l’entreprise est accordé au modèle, il est possible de le limiter uniquement à ces données. Ainsi, il ne pourra pas chercher d’autres informations sur Internet par exemple.  

Risque #2 : Hallucination 

Hallucination : clé de remédiation

Pour faire face aux hallucinations, nous conseillons les mesures suivantes : 

#1 – Former et sensibiliser les utilisateurs sur le fonctionnement des modèles, leurs limites et les meilleures pratiques. Cela permet aux utilisateurs d’utiliser les Large Language Model de manière responsable et de reconnaître les utilisations abusives ou les menaces de sécurité potentielles. 

#2 – Durcir la configuration suivant deux axes. Premièrement, un ajustement du paramétrage incluant le réglage de la température du modèle (degré de créativité du modèle) et la limitation des jetons (nombre de mots par questions/réponses). Deuxièmement, l’utilisation d’un modèle plus récent (GPT-4 plutôt que GPT 3.5 par exemple). 

#3 – Optionnel – Ré-entrainer le modèle lui donne un contexte. La fiabilité des réponses sera donc positivement impactée. Utiliser un large éventail de données d’entraînement peut aider à couvrir plus de scénarios et réduire les biais, ce qui aide l’IA à mieux comprendre et générer des réponses appropriées. Il est de même important d’éliminer les erreurs et les incohérences dans les données d’entraînement peut réduire la probabilité que l’IA apprenne et répète ces mêmes erreurs. 

Risque #3 : Fuite de données 

Fuite de données : clé de remédiation

Pour faire face aux fuites de données sensibles, nous conseillons les mesures suivantes : 

#1 – Impliquer le délégué à la protection des données afin d’assurer la conformité aux lois et protocoles de protection des données en impliquant le Délégué à la Protection des Données (DPO) dans les projets accédant aux plateformes de Large Language Model est important pour protéger les données personnelles et sensibles. En adhérant à ces normes, les organisations protègent non seulement la vie privée individuelle mais renforcent également leur défense contre les violations de données et la mauvaise utilisation. 

#2 – Gérer les droits et les accès sur l’ensemble des composantes interagissant avec le modèle. Comprendre quelles données quelles données peuvent être accéder par le modèle n’est pas trivial. Auditer et recertifier ces données dans le temps permet de limiter les écarts potentiels. 

#3 – Réduire la verbosité du modèle via la limitation du nombre de jetons de sortie. Moins un modèle est verbeux, plus la probabilité qu’il partage de la donnée confidentielle par inadvertance est faible. 

#4 – Anonymiser la donnée, ou la rendre générique, si le cas d’usage le permet. L’IA pourra par exemple travailler sur les tendances d’une population sans qu’un nom explicite ne puisse être cité. En plus de réduire fortement le risque de fuite de donnée, cela réduira les normes auxquelles se conformer (exemple : RGPD). 

#5 – Limiter les données sensibles utilisées, il faut ici réfléchir aux données nécessaires et suffisantes pour que le modèle fonctionne. Un traitement préalable de la donnée peut être effectuée pour supprimer ou modifier les données sensibles et ainsi en réduire l’exposition (exemple : anonymisation de la donnée). 

Remédiations transverses 

Certaines mesures s’appliquent à tous les risques cités ci-dessus. Deux d’entre elles apparaissent comme fondamentales.  

#1 – Intégrer la sécurité aux projets via, par exemple, une analyse de sécurité contextualisée. Cela permet aux organisations peuvent identifier et atténuer préventivement les vulnérabilités potentielles, assurant ainsi que seuls les projets sécurisés et vérifiés accèdent aux applications d’IA génératives.  

#2 – Documenter chaque application afin d’établir un cadre opérationnel facilitant non seulement une supervision et une gestion plus aisées, mais réduit également le risque d’utilisation non autorisée ou malveillante.  

Le développement d’applications d’IA est accéléré par les plateformes disponibles. Cependant, la sophistication qu’il apporte n’est pas sans risque.  

Reconnaissant ces défis, la priorité est l’établissement d’une gouvernance robuste pour la plateforme. Cela implique une délimitation des rôles et responsabilités, assurant une approche structurée pour gérer et atténuer les risques. 

La gouvernance s’étend au-delà de la plateforme elle-même. Sécuriser la myriade de cas d’utilisation d’application d’IA est tout aussi important. Il s’agit de garantir que l’application de cette technologie d’IA est à la fois responsable et alignée sur les normes éthiques, se prémunissant contre la mauvaise utilisation et les conséquences non intentionnelles. 

Cela appelle à un modèle de responsabilité partagée, où tous les acteurs — développeurs, utilisateurs et organes de gouvernance — collaborent pour maintenir l’intégrité et la sécurité des applications d’IA. 

Références 

1. https://synthedia.substack.com/p/microsoft-azure-ai-users-base-rose 
2. https://www.usine-digitale.fr/article/amazon-fait-son-entree-sur-le-marche-de-l-ia-generative-avec-bedrock.N2121081  
3. https://www.theguardian.com/technology/2024/jan/20/dpd-ai-chatbot-swears-calls-itself-useless-and-criticises-firm 
4. https://openai.com/blog/march-20-chatgpt-outage 
5. https://www.riskinsight-wavestone.com/2023/10/quand-les-mots-deviennent-des-armes-prompt-injection-et-intelligence-artificielle/ 

Cet article Applications d’IA générative : risques et remédiations  est apparu en premier sur RiskInsight.

Votre entreprise est actuellement en proie à une crise ransomware conséquente. Comme dans 100% des crises de cette nature, les cybercriminels ont compromis l’Active Directory, en raison de son rôle central dans la gestion des accès, de l’authentification et des ressources réseau au sein de toute organisation.

Si les attaquants ont déclenché la charge malveillante, vos systèmes sont maintenant chiffrés. Ils peuvent sinon être isolés et hors ligne. Dans les deux cas, votre entreprise ne dispose plus des ressources nécessaires pour fonctionner correctement, et votre activité est alors à l’arrêt ou très fortement ralentie !

Dans cette situation, la confiance en votre système d’information est rompue. Vos équipes commencent à subir une pression des métiers et une question revient sans cesse : quand pourront-nous rouvrir nos services ? Votre objectif devient donc clair, il faut impérativement remettre sur pied l’Active Directory avec un niveau de confiance suffisant pour rouvrir les services.

La reconstruction d’un Active Directory est une étape complexe de la gestion d’une crise. Si elle est mal exécutée, votre organisation s’expose à deux risques majeurs : l’amplification des impacts opérationnels pour les métiers, ou une nouvelle compromission de votre environnement.

L’ANSSI vient de publier 3 guides très complets à ce sujet [1], et nous vous en conseillons la lecture.

Dans cet article nous allons revenir sur quelques points qui nous ont marqué lors de la gestion de crise. Durant leurs interventions, nos équipes ont en effet pu se confronter à de nombreux obstacles. Quels sont les principaux problèmes rencontrés ? Comment y remédier ?

De la compromission à la remise en service : les conseils pour surmonter les obstacles

Démarrez efficacement la remédiation grâce à une organisation éprouvée

La perte de temps due à une mauvaise organisation au moment de la crise peut aggraver les conséquences de la compromission d’Active Directory. Les équipes sont souvent incertaines quant à la marche à suivre, les personnes à mobiliser et les objectifs à atteindre. Une réponse ralentie augmentera les coûts associés à la remédiation, les pertes de revenus ainsi que les impacts sur la réputation de l’entreprise.

En amont de la crise…

Il est nécessaire d’identifier l’ensemble des acteurs clés à impliquer dans la reconstruction de l’Active Directory :

• Le comité exécutif pour arbitrer les questions structurantes. Par exemple, priorise-t-on une réouverture rapide des services critiques pour des questions business, ou plus lente et plus sécurisée ? Plusieurs postures sont possibles et présentent chacune leurs avantages et inconvénients [1 – Volet stratégique]. L’ensemble du plan de remédiation étant construit à partir de cette décision, il est nécessaire que le comité exécutif puisse trancher pour commencer les travaux rapidement.
• Les équipes métier pour identifier et prioriser le rétablissement des services les plus critiques. La compromission de l’Active Directory impacte la majorité des services de l’entreprise et vos équipes ne pourront traiter toutes les demandes à la fois.
• Les équipes d’intervention (techniques et sécurité) pour définir et déployer le plan de remédiation. L’expertise et les efforts humains requis pour reconstruire un Active Directory nécessitent un renfort ponctuel de vos équipes pour traiter la remédiation : maîtrise des outils de revue de configuration (PingCastle, Purple Knight, etc.), priorisation des vulnérabilités détectées, déploiement et contrôle des mesures, etc.

Afin d’optimiser le temps de réaction de chacun des acteurs, il est primordial de définir des processus et fiches réflexes. Au-delà de leur écriture, des simulations et exercices réguliers doivent être organisés pour entraîner vos équipes à réagir efficacement.

Pendant la crise…

Déployez rapidement un dispositif de suivi de projet, incluant des rapports réguliers, un suivi des actions et une coordination entre les différentes équipes impliquées. Le manque de communication et la perte d’informations engendrent trop souvent un ralentissement de la remédiation. Par exemple, il n’est pas rare de voir des administrateurs prendre des initiatives sans prendre le temps de les communiquer : ouverture de plus de ports réseaux que nécessaire, parallélisation de deux tâches du plan de remédiation, etc… Ces initiatives partant d’une bonne intention peuvent avoir des impacts significatifs sur la remédiation, allant de la complexification des travaux à une vision altérée du niveau de sécurité réel à la suite des travaux de sécurisation et donc un risque de nouvelle compromission éclair.

Assurez la résilience de vos sauvegardes en définissant une stratégie robuste

L’indisponibilité des sauvegardes (altérées ou compromises) est un défi majeur lors de la gestion d’une compromission d’Active Directory. Les attaquants prennent souvent le temps de cibler et de rendre indisponibles les sauvegardes ou de perturber les serveurs de sauvegarde. Cela a pour conséquence de rendre la restauration de l’Active Directory et la reprise des opérations plus difficiles et plus longues.

En amont de la crise …

Élaborez une stratégie de sauvegarde résiliente en tenant compte des bonnes pratiques et des recommandations (sauvegarde sur média déconnecté, immuable ou dans le cloud) [2]. Force est de constater qu’il existe aujourd’hui un écart entre l’état de l’art et les stratégies de sauvegardes (authentification des infrastructures de sauvegardes portées par l’Active Directory, sauvegardes des contrôleurs de domaine non sécurisée, etc.).

Pendant la crise …

Envisagez l’option d’assainir l’environnement Active Directory à partir d’un contrôleur de domaine compromis. Cette méthode de « double bascule » peut permettre de récupérer et de sécuriser les données essentielles afin de restaurer le service Active Directory sans sauvegarde. Un tel dispositif est à privilégier lorsque les sauvegardes sont indisponibles et que l’on ne souhaite pas reconstruire l’Active Directory de zéro.

Anticipez les problèmes techniques tels que la configuration du DNS Active Directory en entretenant votre environnement

La vaste majorité des environnements Active Directory souffre d’une dette technique accumulée au fil des années (architecture réseau complexe, rôles tel que DHCP portés par des contrôleurs de domaine plutôt que des serveurs dédiés, etc.). De plus, les environnements Active Directory sont aujourd’hui synchronisés avec Azure Active Directory, définissant de nouvelles dépendances entre les technologies pouvant complexifier la remédiation en cas de compromission de l’Active Directory (synchronisation Active Directory/Azure Active Directory). Ces deux éléments peuvent, le jour de la crise, engendrer de nombreuses problématiques techniques qui ralentiront la remédiation (perte de synchronisation avec Azure Active Directory, indisponibilité du service DHCP porté par un contrôleur de domaine devant rester éteint, etc.)

En amont de la crise …

Maintenez à jour la documentation technique et les inventaires de l’Active Directory (infrastructure, synchronisation Azure Active Directory, etc.). Il est trop souvent complexe d’obtenir une vision claire de l’environnement et du périmètre à remédier. Des inventaires à jour amélioreront grandement les travaux de remédiation et assurera la définition d’un plan de remédiation cohérent. De plus, cela vous permettra d’identifier et de remédier les mauvaises pratiques pouvant se transformer en problèmes conséquents le jour de la crise (configuration du service DNS, DHCP, etc.)

Pendant la crise …

Les services portés par Azure Active Directory pouvant être rendus indisponibles après 30 jours de désynchronisation avec l’Active Directory, cela peut engendrer un effet de bombe à retardement. Assurez-vous d’évaluer les impacts liés à la perte des services Azure Active Directory et de ne pas vous reposer sur ces services pour traiter vos activités essentielles (communication via e-mail, etc.).

De nombreux défauts techniques seront mis en lumière par la crise (rapport de configuration Active Directory via les outils d’audit, problématiques réseau, etc.). Assurez-vous de traiter uniquement les problèmes liés aux objectifs fixés par le plan de remédiation (cf. Conseil n°5 – Définissez un cap et gardez le pendant la remédiation !).

Optimisez la réinitialisation des secrets à travers des processus adaptés à votre contexte

La compromission de l’Active Directory engendre la perte de confiance dans l’ensemble de ses secrets. Une réinitialisation de ces derniers est donc requise pour atteindre le niveau de sécurité nécessaire à la réouverture des services et éviter une nouvelle compromission éclair. Pour des environnements conséquents avec plusieurs milliers d’utilisateurs et plus d’une centaine d’applications, réinitialiser un grand nombre de mots de passe d’utilisateurs et de comptes de service peut avoir des impacts opérationnels significatifs. Les travaux concernant les comptes de service nécessitent de comprendre comment l’application utilise le compte pour être en mesure de lui fournir le nouveau mot de passe. Pour les utilisateurs, il vous faudra trouver un moyen de distribuer les nouveaux mots de passe à large échelle de manière sécurisée.

En amont de la crise …

Il est nécessaire d’avoir les idées claires sur le processus de distribution de nouveaux mots de passe aux utilisateurs. Plusieurs méthodes sont possibles et dépendent de l’environnement étudié : convocation des utilisateurs avec présentation de la carte d’identité, transmission du nouvel identifiant/mot de passe via courrier physique, courriel, SMS, etc. Indépendamment de la méthode sélectionnée, il est nécessaire d’exiger de l’utilisateur qu’il réinitialise son mot de passe à la prochaine connexion. Il est aussi possible que les utilisateurs puissent réinitialiser eux-mêmes leurs mots de passe grâce à des solutions s’appuyant, par exemple, sur l’authentification à deux facteurs.

Afin d’effectuer les travaux liés aux comptes de service, il est primordial d’en dresser un inventaire en identifiant les applications associées et les méthodes de réinitialisation des mots de passe pour chacune d’entre elles. L’obtention de cet inventaire par les équipes de remédiation est souvent complexe (indisponible, non maintenu, etc.) et nécessite donc d’investir un temps non-négligeable sur des tâches pouvant être réalisées hors crise. Au-delà des travaux de remédiation, cet exercice vous sera utile au quotidien dans la gestion de vos comptes de service. L’une des bonnes pratiques étant de changer fréquemment les mots de passe de ces comptes.

Pendant la crise …

Une fois les mots de passes réinitialisés, il convient de contrôler que la mesure a été déployée sur l’ensemble de l’environnement. Cela peut se faire simplement via un script PowerShell et assure que l’attaquant n’a plus de compte valide à exploiter.

Définissez un cap et gardez le pendant la remédiation !

Lors de la reconstruction d’un Active Directory, il est souvent complexe de trouver le juste milieu entre s’exposer à des risques en rouvrant trop rapidement et engendrer des pertes financières importantes en rouvrant trop lentement. Attention à ne pas tomber dans les pièges classiques de gestion d’une crise rançongiciel. [3]

En amont de la crise …

Il est nécessaire d’effectuer un travail de réflexion sur les différentes postures de remédiation : restaurer au plus vite des services vitaux, reprendre le contrôle du système d’information ou saisir l’opportunité pour préparer une maîtrise durable du système d’information. [1]

Au-delà de la posture à définir, assurez-vous de maîtriser votre cœur de confiance Active Directory composé des actifs les plus critiques (Tier 0). Les actions de remédiations se concentrent en premier lieu sur ces composantes (contrôleurs de domaine, etc.) afin de restaurer les services vitaux l’Active Directory et d’assurer un niveau de sécurité ne permettant pas à l’attaquant de compromettre à nouveau l’entièreté de l’environnement.

Pendant la crise …

Assurez-vous que vos équipes se concentrent sur le cap défini. De nouvelles problématiques apparaîtront au fur et à mesure de l’exécution du plan de remédiation (indisponibilité du contrôleur de domaine portant l’un des rôles FSMO nécessaire à la remédiation, problématiques réseaux, etc.). Il sera nécessaire de se poser la question de la pertinence de sa remédiation à court terme par rapport aux objectifs fixés (la réponse étant fonction de la posture choisie par le comité exécutif : réouverture rapide, ou plus lente et plus sécurisée).

De plus, sachez considérer les opportunités offertes par la crise. Par exemple, si le service DHCP était géré par un contrôleur de domaine, profitez de l’occasion pour mettre en place un serveur dédié au DHCP, dissociant ainsi le service du contrôleur de domaine.

Nos enseignements

L’amélioration du processus de reconstruction en amont de la compromission d’Active Directory repose finalement sur trois axes principaux :

1. La rédaction de processus fonctionnels et fiches réflexes pour être capable de :
   1. Mobiliser les bonnes personnes en temps opportun.
   2. Se concentrer sur les objectifs principaux.
   3. L’entretien de l’environnement Active Directory, qui requiert de :
2. Définir et maintenir une architecture conforme aux bonnes pratiques.
   1. Avoir des inventaires à jour.
   2. S’assurer de la résilience des sauvegardes.
3. La réalisation de tests pour :
   1. Valider l’applicabilité des processus théoriques en conditions réelles.
   2. Améliorer la réactivité et l’efficacité de vos équipes face à une situation de crise.

Un travail adéquat sur ces trois sujets en amont permettra de réduire la complexité et le coût liés à la reconstruction de l’Active Directory en cas de compromission. Cette approche proactive contribuera à renforcer la résilience et la sécurité de l’entreprise face aux cybermenaces.

[1] https://www.ssi.gouv.fr/actualite/lanssi-publie-pour-appel-a-commentaires-un-corpus-documentaire-sur-la-remediation/

[2] https://www.riskinsight-wavestone.com/2023/02/reconstruction-dactive-directory-comment-se-donner-les-moyens-dy-parvenir/

[3] https://www.riskinsight-wavestone.com/2023/01/top-10-des-pieges-a-eviter-pour-une-gestion-de-crise-rancongiciel-reussie/

Cet article Survivre à une compromission d’Active Directory : les principaux enseignements pour améliorer le processus de reconstruction est apparu en premier sur RiskInsight.