Erreur 1 — Comptes admin permanents partagés
Dans une PME typique, le compte « Administrateur » par défaut est utilisé par tout le monde : le prestataire IT, le dirigeant qui veut « faire vite », parfois un collaborateur. Personne ne sait précisément qui s'est connecté et quand.
La règle : chaque administrateur a son propre compte nominatif. Le compte « Administrateur » par défaut est désactivé ou réservé aux situations de récupération extrême.
Erreur 2 — Aucune séparation Tier 0 / Tier 1 / Tier 2
Le « Tier model » de l'ANSSI et de Microsoft est simple :
- Tier 0 : contrôleurs de domaine, comptes Domain Admin. Cible la plus sensible.
- Tier 1 : serveurs applicatifs, serveurs de fichiers.
- Tier 2 : postes utilisateurs.
La règle d'or : jamais d'identifiant Tier 0 sur du matériel Tier 2. Un Domain Admin ne se connecte JAMAIS sur un poste utilisateur — sinon, le mot de passe est en cache LSA et un malware peut le récupérer.
En pratique, dans 9 PME sur 10, le compte Domain Admin est utilisé pour faire du dépannage utilisateur. C'est l'ouverture royale au ransomware.
Erreur 3 — GPO de sécurité de base manquantes
Sur un AD frais d'installation, les paramètres de sécurité par défaut sont insuffisants. Cinq GPO minimum à appliquer :
- Désactiver SMBv1 partout. C'est le protocole exploité par WannaCry.
- Activer LSA Protection sur les contrôleurs de domaine et les serveurs.
- Audit avancé activé (Logon, Account Management, Privilege Use).
- Restreindre les comptes locaux administrateur via LAPS (mot de passe local unique par poste, géré centralement).
- Bloquer les macros Office par défaut sauf signature, avec exception métier précise.
Microsoft fournit le « Security Compliance Toolkit » qui inclut des GPO de référence. À déployer en GPO de base.
Erreur 4 — Comptes obsolètes jamais supprimés
Dans la majorité des AD audités, on trouve :
- Des comptes d'anciens collaborateurs partis depuis 2 ans, encore actifs.
- Des comptes de service avec mot de passe hard-codé jamais changé depuis 5 ans.
- Des comptes « test », « stagiaire-2019 », « ancien-prestataire » oubliés.
La règle : revue trimestrielle des comptes inactifs (90 jours sans connexion = à désactiver). Désactivation immédiate au départ d'un collaborateur (procédure RH ↔ IT). Comptes de service avec rotation annuelle minimum.
Erreur 5 — Aucune sauvegarde système des contrôleurs de domaine
Les sauvegardes de fichiers sont en place. Les contrôleurs de domaine, eux, sont rarement sauvegardés en tant que système d'état (system state). Conséquence : en cas de corruption majeure de l'AD (panne, ransomware, erreur humaine), la reconstruction prend des jours, et les SID utilisateurs/permissions NTFS sont perdus.
La règle : sauvegarde système quotidienne des contrôleurs de domaine, restauration testée annuellement. Voir notre article Sauvegardes 3-2-1 testées.
L'outil pour mesurer son AD : PingCastle
PingCastle est un outil français gratuit (édition Community) qui audite votre AD en quelques minutes et donne un score de risque. Il révèle exactement ces 5 erreurs et bien d'autres. Téléchargeable sur pingcastle.com.
Score cible : en dessous de 50 sur 100 (plus c'est bas, mieux c'est, c'est un score de risque). La majorité des PME auditées sont entre 70 et 90 — ce qui est mauvais.
À retenir
Ce que Scryptoura fait pour vous
Notre offre Infrastructure & Systèmes inclut le durcissement complet de votre AD selon le modèle Tier ANSSI. Le Diagnostic Découverte commence systématiquement par un PingCastle de votre domaine — c'est en général le résultat le plus parlant pour un dirigeant.