Au cours du premier semestre 2024, le GCS Sara a organisé 14 sessions de formation, réunissant plus de 100 participants, principalement des administrateurs système, des architectes réseaux et des responsables de la sécurité des systèmes d’information (RSSI). Cette diversité de profils a permis d’aborder les problématiques de sécurité de l’Active Directory sous différents angles, renforçant ainsi une approche collaborative de la sécurisation des environnements critiques.

L’Active Directory est souvent une cible prioritaire des cyberattaques car il joue un rôle fondamental dans la gestion des utilisateurs, des ordinateurs et des ressources réseaux. Il centralise les droits d’accès, ce qui en fait une cible privilégiée pour les attaquants. Une compromission peut entraîner des conséquences graves comme l’escalade des privilèges, l’accès non autorisé aux ressources critiques, la propagation d’attaques sur l’ensemble du réseau.

Durant cette formation, plusieurs sujets critiques ont été abordés pour permettre à nos équipes de mieux protéger l’AD :

• Rappels sur les environnements Active Directory: les systèmes de gestion d’identité (IAM) en entreprise, rappels sur les principaux composants qui constituent l’AD de Microsoft (ADDS, ADCS, LDAP, DNS, Kerberos, etc.)
• Risques et attaques spécifiques aux environnements Active Directory: reconnaissance d’un domaine AD, Protocoles vulnérables (LLMNR, NBTNS, WPAD, etc.), attaques sur les GPOs, mots de passe et protocoles d’authentification, attaques sur les mauvaises pratiques d’administration
• Mesures de sécurisation d’une infrastructure Active Directory: importance de l’isolation réseau Désactivation des protocoles vulnérables, gestion des droits utilisateur
• Surveillance et audit: importance de l’audit (log), définition d’une politique d’audit et détection des schémas d’attaques, Sécurisation des logs
• Investigation et remédiation: analyse de traces de compromission, bonnes pratiques d’isolation, mise en place de sondes, remédiations

Ces formations ont permis de sensibiliser et de former efficacement les participants aux enjeux critiques de la sécurité de l’Active Directory.  Il est ressorti une véritable satisfaction de la part des participants avec une meilleure compréhension des techniques nécessaires pour protéger l’AD.

Les retours des participants ont mis en avant l’impact positif de cette formation, comme le montrent ces quelques témoignages :

• « Formation synthétique et très instructive, l’expérience terrain du formateur est très appréciable » : Les participants ont souligné l’efficacité de la formation, notamment grâce aux connaissances pratiques du formateur, acquises sur le terrain.
• « Compétence du formateur avec de l’expérience terrain permettant de décrire des situations réelles » : La capacité du formateur à illustrer les concepts par des exemples concrets a été largement reconnue.
• « Formation très intéressante qui devrait être appliquée à un spectre plus large que des admins, elle permet de comprendre les enjeux de la sécurisation » : Les enjeux abordés sont pertinents au-delà du cercle des administrateurs, soulignant l’importance de sensibiliser d’autres fonctions de l’organisation.
• …

Afin de pérenniser cette dynamique, de nouvelles sessions avec un programme renforcé niveau 2 composé de nouvelle thématiques seront planifiées en 2025.