Sécurité AD : maîtriser vos risques d’identité grâce au Risk Assessment
Active Directory (AD) reste la colonne vertébrale des accès en entreprise. Cette centralité en fait aussi une cible idéale : privilèges trop larges, GPO permissives, comptes orphelins, délégations héritées… Autant de failles dans la sécurité pour les privilèges et les mouvements latéraux.
La réponse efficace n’est pas d'ajouter plus d’outils, mais de mesurer en continu pour prioriser ce qui compte : c’est exactement le rôle de l’évaluation des risques liés à l’identité.
Qu’est-ce qu’une évaluation des risques?
Il s'agit d'un processus structuré qui identifie, mesure, priorise et corrige les risques liés aux identités et configurations AD. Il transforme la sécurité d'AD en un cycle mesurable :
Découvrir → Noter → Prioriser → Remédier → Vérifier.
Les résultats attendus sont les suivants :
Visibilité sur les actifs de niveau 0 (contrôleurs de domaine, comptes administrateurs, GPO sensibles).
Détection des mauvaises configurations (ACL/GPO trop larges, délégations non maîtrisées).
Réduction du temps d’exposition (comptes inactifs, mots de passe de service, SPN à risque).
Alignement sur les objectifs commerciaux : les efforts sont concentrés sur les impacts majeurs.
Pourquoi c’est vital pour AD
À mesure que l’environnement grandit (hybride, multi-apps), la complexité explose et les contrôles s’érodent. Sans métriques, la sécurité devient déclarative.
Le risk assessment apporte :
Des preuves (scores, tendances) pour arbitrer.
De la vitesse (priorisation par impact).
De la résilience (boucle d’amélioration continue).
Trois approches pour évaluer les risques d’identité
• Asset-based : protéger ce qui compte
Cartographier les actifs stratégiques (Tier 0), comprendre leur rôle et mesurer les conséquences d’une compromission.
• Vulnerability-based : traquer les failles techniques
Scanner configurations, logiciels et GPO pour identifier ce qui pourrait être exploité.
• Threat-based : penser comme un attaquant
Analyser les scénarios possibles (phishing, pass-the-hash, Kerberoasting) et renforcer les contrôles avant qu’ils ne soient testés.
En combinant ces trois angles, l’organisation obtient une vue 360° sur la sécurité de ses identités.
Les méthodologies et standards incontournables
Le risk assessment n’est pas une formule unique ; il existe plusieurs cadres selon les besoins.
Quantitative : attribue des valeurs chiffrées (probabilité, impact, coût). Idéal pour le board.
Qualitative : classe les risques (faible, moyen, élevé). Simple, mais plus subjective.
Semi-quantitative : combine les deux : la plus pragmatique pour l’AD.
Côté standards :
DREAD : évalue chaque risque selon Damage, Reproducibility, Exploitability, Affected Users, Discoverability.
CVSS : score de 0 à 10 pour la sévérité des vulnérabilités.
OWASP : formule simple = Risque = Probabilité × Impact.
NIST SP 800-30 : la référence complète pour cartographier menaces et contrôles.
Le bon réflexe ? Adapter le modèle à la culture et aux contraintes de l’entreprise.
Passer à l’action : une démarche en 6 étapes
Cartographier : domaines, comptes à privilèges, dépendances critiques.
Identifier : failles, configurations faibles, chemins d’escalade.
Évaluer : score de risque (semi-quantitatif) et lien avec l’impact métier.
Prioriser : cibler les risques à fort impact (Tier 0 d’abord).
Remédier : corrections techniques, rotation d’identifiants, durcissement GPO.
Suivre : indicateurs trimestriels pour mesurer les progrès (temps moyen de correction, réduction des comptes inactifs, etc.).
Conclusion: Mesurer, corriger… et recommencer
La sécurité d’Active Directory n’est pas un projet ponctuel, c’est un processus vivant.
Le risk assessment devient alors un outil de pilotage continu : il éclaire les décisions, prouve la valeur des efforts de sécurité et renforce la confiance des directions métier.
Active Directory est le cœur de la sécurité d’entreprise. Le risk assessment en est le stéthoscope.