Veille technologique

Thème choisi : Tiering Active Directory & cloisonnement des privilèges

Ma veille technologique est directement ancrée dans ma pratique professionnelle. Le thème que j'ai choisi — le Tiering Active Directory et le cloisonnement des privilèges — n'est pas un sujet théorique : c'est une problématique que j'ai rencontrée concrètement lors de mon stage de 2ème année au SIS 67, dans le cadre du déploiement du bastion Apache Guacamole. Cette veille m'a permis de comprendre les enjeux, d'anticiper les contraintes et de prendre des décisions techniques éclairées.

Section 1 — Ma démarche de veille

Comment j'organise ma veille

Mettre en place une veille technologique efficace ne se résume pas à lire des articles au hasard. J'ai structuré ma démarche autour de trois axes : des sources officielles et institutionnelles pour la fiabilité, des agrégateurs pour la régularité, et une prise de notes personnelle pour transformer l'information en connaissance exploitable.

Outils utilisés :

Feedly — agrégateur de flux RSS qui me permet de regrouper les publications de mes sources en un seul endroit et de les consulter de façon hebdomadaire sans perdre de temps à les chercher individuellement.
Newsletter ANSSI — je suis abonné aux publications du Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR), qui diffuse régulièrement des bulletins d'actualité sur les vulnérabilités et les bonnes pratiques de sécurisation des systèmes d'information.
Microsoft Learn & Microsoft Docs — la documentation officielle de Microsoft reste la référence principale pour tout ce qui concerne Active Directory, les politiques de sécurité et les recommandations d'architecture.
GitHub & blogs techniques — je consulte également des dépôts et articles de praticiens (PingCastle, Sean Metcalf / ADSecurity.org) qui publient des analyses détaillées sur la sécurisation de l'Active Directory en environnement réel.

Section 2 — Fiche thématique

Tiering Active Directory & cloisonnement des privilèges

Pourquoi ce sujet ?

L'Active Directory est le cœur de l'authentification dans la quasi-totalité des organisations utilisant des environnements Windows. Sa compromission équivaut à la prise de contrôle totale du système d'information. Au SIS 67, j'ai été confronté à cette réalité lors du déploiement de Guacamole : mon compte administratif appartenait au groupe Protected Users, ce qui bloquait l'authentification NTLM et m'a contraint à analyser en profondeur les mécanismes d'authentification Kerberos et les contraintes imposées par le modèle de Tiering en place.

Le modèle classique : ses limites

Dans un environnement sans cloisonnement, un administrateur utilise le même compte pour gérer les postes utilisateurs, les serveurs applicatifs et les contrôleurs de domaine. Cette pratique, encore courante, expose l'ensemble du SI à un risque majeur : si ce compte est compromis à n'importe quel niveau, l'attaquant obtient les clés du domaine. C'est ce que l'on appelle une attaque par pass-the-hash ou pass-the-ticket — technique qui consiste à récupérer le condensat d'un mot de passe en mémoire pour s'authentifier sans connaître le mot de passe réel.

Le modèle à 3 niveaux (Tier 0 / Tier 1 / Tier 2)

Microsoft recommande depuis plusieurs années de segmenter les privilèges administratifs en trois niveaux d'isolation stricte, chacun correspondant à un périmètre de ressources et à des comptes dédiés.

Tier 0 — Contrôle du domaine

Ce niveau regroupe les actifs les plus critiques : les contrôleurs de domaine, les serveurs d'autorité de certification (PKI), les outils de gestion de l'identité (ADFS, Azure AD Connect). Les comptes Tier 0 ne doivent jamais se connecter à des machines de niveaux inférieurs. Une compromission à ce niveau signifie la perte totale du domaine.

Tier 1 — Serveurs applicatifs et infrastructure

Ce niveau couvre les serveurs de fichiers, les serveurs applicatifs, les hyperviseurs, les équipements de supervision. Les administrateurs Tier 1 interviennent uniquement sur ces ressources, avec des comptes distincts de leurs comptes Tier 0 et de leurs comptes utilisateurs standards.

Tier 2 — Postes de travail et utilisateurs

Ce niveau correspond aux postes de travail des utilisateurs finaux et au support N1/N2. Les comptes Tier 2 n'ont aucun droit sur les ressources des niveaux supérieurs.

Le principe fondamental est simple : aucun flux d'authentification ne doit remonter vers un niveau supérieur. Un compte administrateur Tier 2 ne peut jamais être utilisé pour accéder à un serveur Tier 1 ou Tier 0. Ce cloisonnement casse les chemins d'attaque latéraux qui permettent à un attaquant de progresser dans le SI après une première compromission.

Le groupe Protected Users

Le groupe Protected Users est un groupe de sécurité introduit dans Windows Server 2012 R2 qui applique automatiquement un ensemble de restrictions de sécurité renforcées aux comptes qui en sont membres. Ces restrictions incluent notamment : l'interdiction de l'authentification NTLM, l'interdiction de délégation Kerberos non contrainte, et la réduction de la durée de vie des tickets Kerberos. C'est précisément l'appartenance de mon compte à ce groupe qui a bloqué l'authentification dans Guacamole lors du stage, la version de FreeRDP utilisée ne supportant pas encore pleinement Kerberos.

Les PAW — Privileged Access Workstations

Une PAW est un poste de travail dédié exclusivement aux tâches d'administration, physiquement et logiquement isolé du réseau utilisateur standard. Son usage est recommandé par Microsoft et l'ANSSI pour les administrateurs Tier 0 et Tier 1. Elle réduit la surface d'attaque en empêchant qu'un administrateur utilise la même machine pour naviguer sur le web, lire ses mails et gérer les contrôleurs de domaine. Au SIS 67, le projet Guacamole s'inscrivait dans cette logique : centraliser les accès d'administration depuis un bastion contrôlé, traçable et isolé, sans exposer directement les serveurs cibles.

Ce que j'en retiens

Le modèle de Tiering n'est pas une contrainte bureaucratique — c'est une architecture de défense en profondeur. Comprendre ses principes m'a permis de mieux appréhender pourquoi certaines configurations étaient bloquées en stage, de dialoguer plus efficacement avec l'équipe système, et d'anticiper les évolutions futures du projet Guacamole. C'est exactement ce type de veille — liée à une pratique réelle — qui permet de progresser techniquement.

Section 3 — Ressources consultées

Ressources consultées

Comprendre l'architecture de Tiering

Microsoft Docs — Privileged Access Model : documentation de référence sur l'architecture à 3 niveaux, les principes de cloisonnement et les flux d'authentification autorisés entre niveaux.
ANSSI — Guide de sécurisation d'Active Directory : recommandations institutionnelles françaises sur la séparation des comptes, le durcissement des GPO et la gestion des identités à privilèges.

Comprendre les mécanismes d'authentification

Microsoft Docs — Protected Users Security Group : documentation officielle sur les restrictions appliquées aux membres du groupe, notamment l'interdiction de NTLM et la réduction de la durée de vie des tickets Kerberos.
Microsoft Docs — Kerberos Authentication : fonctionnement du protocole, types de délégation, tickets TGT/TGS et cas d'usage dans un environnement Active Directory.
ADSecurity.org — Pass-the-Hash & Pass-the-Ticket : analyse des chemins d'attaque exploitant les condensats d'authentification en mémoire, et contre-mesures associées.

Sécuriser les accès d'administration

Microsoft Learn — Privileged Access Workstations (PAW) : guide de déploiement d'un poste dédié à l'administration, isolé du réseau utilisateur, recommandé pour les comptes Tier 0 et Tier 1.
ANSSI — Recommandations sur l'administration sécurisée des systèmes : guide pratique sur les bastions, les flux d'administration et la traçabilité des actions d'administration.

Auditer et mesurer le niveau de sécurité

CIS Benchmarks — Windows Server & Active Directory : référentiels de configuration sécurisée utilisés pour évaluer le durcissement d'un environnement Active Directory.
PingCastle — Documentation et rapports d'audit AD : outil open source permettant de générer un score de risque sur un domaine Active Directory et d'identifier les axes d'amélioration prioritaires.

Suivre l'actualité sécurité

CERT-FR — Bulletins de sécurité : publications régulières de l'ANSSI sur les vulnérabilités actives, les campagnes d'attaque en cours et les correctifs à appliquer en priorité.

Section 4 — Sources officielles

Sources de référence

Microsoft Docs — Privileged Access Model

Documentation officielle de l'architecture de Tiering, mise à jour régulièrement par les équipes Microsoft. Référence principale pour tout projet d'administration sécurisée sous environnement Windows.

https://learn.microsoft.com/fr-fr/security/privileged-access-workstations/privileged-access-access-model

ANSSI — Guide de sécurisation d'Active Directory

Guide publié par l'Agence Nationale de la Sécurité des Systèmes d'Information, adapté au contexte français et aux organisations publiques. Recommandations pratiques sur la segmentation des privilèges, les GPO de durcissement et la gestion des comptes sensibles.

https://cyber.gouv.fr/publications/recommandations-pour-ladministration-securisee-des-si-reposant-sur-ad

CIS Benchmarks — Windows Server & Active Directory

Référentiels de configuration sécurisée publiés par le Center for Internet Security. Utilisés comme base de comparaison pour évaluer le niveau de durcissement d'un système.

https://www.cisecurity.org/cis-benchmarks

ADSecurity.org — Sean Metcalf

Blog de référence tenu par un expert Microsoft MVP spécialisé en sécurité Active Directory. Analyses approfondies des attaques, des mécanismes d'authentification et des contre-mesures.

https://adsecurity.org