Comment protéger l’Active Directory contre les ransomwares

Les attaques par ransomware ont connu un pic d'une rare intensité début 2025. Elles sont de plus en plus fréquentes, sophistiquées et menaçantes. Cette hausse inquiétante s’explique notamment par le recours massif à des plateformes de ransomware en tant que service (RaaS- Ransomware-as-a-Service). Par ailleurs, les cybercriminels exploitent de plus en plus souvent les vulnérabilités des composants clés du réseau comme Active Directory (AD).

Une forte majorité des entreprises s’appuient sur un AD pour gérer les accès et les autorisations internes de leurs collaborateurs. Cette omniprésence dans les environnements professionnels fait de cet annuaire une cible de choix pour les attaques par ransomware.

La mise en place de protocoles robustes et de processus spécifiques autour de l’AD et d’autres composants réseau critiques empêche les cybercriminels de les exploiter pour mener ce type d’attaques. Dans cette optique, les responsables informatiques peuvent commencer par identifier et corriger les failles, déployer l’authentification multifacteur (ou MFA) et adopter un modèle de sécurité Zero Trust. Toutes ces mesures réduisent fortement la surface d’attaque et les vulnérabilités au niveau de l’AD.

Si l’Active Directory (AD) est une cible privilégiée par les attaquants, c’est parce que cet annuaire joue un rôle central dans la gestion du réseau. On décrit souvent l’AD comme une passerelle permettant d’accéder au reste de votre réseau. Par nature, il contrôle la sécurité des accès utilisateur.

C’est la raison pour laquelle ce maillon essentiel du SI intéresse particulièrement les cybercriminels : quand ces derniers parviennent à prendre votre AD en otage, ils paralysent l’accès des utilisateurs à un grand nombre de ressources réseau. Cette technique entraîne évidemment d’énormes perturbations opérationnelles et peut avoir des impacts financiers majeurs.

Bien entendu, les ransomwares ne sont pas capables de chiffrer l’environnement Active Directory directement. Les attaquants se servent plutôt de l’Active Directory pour accéder aux hôtes connectés et aux systèmes joints à des domaines en vue de les chiffrer. LockBit 2.0 et BlackMatter sont deux familles de ransomwares populaires qui passent par un AD.

Les attaquants prennent immédiatement l’avantage s’ils profitent d’une faille au niveau de l’AD. Les ransomwares ont une très courte durée de vie entre la faille initiale et l’impact. Sachant le manque de visibilité et de contexte proposé par l’AD, qui sont autant d’éléments essentiels à une détection précoce, les pirates ont suffisamment de temps pour déployer leur ransomware.

La surveillance manuelle de l’AD n’est pas seulement une opération longue, elle est aussi difficile d’un point de vue pratique : à cause de la latence liée à la surveillance en temps réel, il est souvent trop tard quand les équipes informatiques ou de sécurité découvrent une violation.

La mise en place d’une protection de l’AD contre les ransomwares est donc indispensable. Les ransomwares peuvent avoir des conséquences dramatiques, qui mettent à nu les vulnérabilités des entreprises. Certaines sont parfois inconnues en raison de la complexité croissante deb l’AD au fil du temps.

Pour protéger un Active Directory des ransomwares, les simples mesures techniques ne suffisent pas. Il est donc vital d’instaurer une sensibilisation à la cybersécurité afin que les utilisateurs comprennent l’importance de protocoles de sécurité stricts.

Les attaques par ransomware visant l’Active Directory sont des opérations complexes, car elles visent à compromettre les hôtes connectés et les systèmes joints aux domaines. La protection de l’Active Directory contre ces codes malveillants passe d’abord par une bonne compréhension de ces attaques.

Analysons un peu plus en détail les principales techniques employées pour s’introduire dans un AD :

• Exploitations de vulnérabilités : les attaquants cherchent souvent à profiter de failles connues dans l’AD. Par exemple, la vulnérabilité CVE-2022-26925 permet l’exécution de code arbitraire sur les serveurs AD, ce qui crée une grave lacune de sécurité.

• Collecte d’identifiants et attaques par force brute : les attaquants ciblent les utilisateurs, qui représentent le maillon le plus faible du réseau. Ils s’appuient pour cela sur différentes méthodes : e-mails de phishing, déploiement d’un keylogger ou attaque par force brute. Toutes ces techniques ont pour but de voler des identifiants légitimes, ce qui compromet la sécurité des accès utilisateur dans Active Directory. Une fois ces identifiants récupérés, les attaquants disposent d’un accès non autorisé aux données sensibles d’un AD.

• Désactivation de Microsoft Defender : cette tactique implique de désactiver l’antivirus intégré aux systèmes Windows. En le désactivant, les acteurs malveillants peuvent interagir librement avec le réseau et compromettre l’environnement AD en échappant à toute détection.

• Kerberoasting : cette technique sophistiquée exploite le protocole Kerberos. Les attaquants demandent des tickets d’assistance pour des comptes de service. Une fois déchiffrés, ces tickets peuvent divulguer des mots de passe en clair. Cette approche est particulièrement dangereuse, car beaucoup de comptes de service disposent de privilèges élevés et utilisent des mots de passe statiques.

• Exploitation des permissions d’objets AD : les attaquants exploitent de façon opportune les erreurs de configuration des autorisations liées aux objets AD. Ils peuvent ainsi modifier les objets AD pour s’octroyer des droits élevés ou compromettre la totalité de l’environnement AD.

• Déplacement latéral et élévation des privilèges : les attaquants infiltrés dans le réseau tentent de pivoter pour trouver de nouvelles vulnérabilités et élever leur niveau de privilège. Les techniques comme Golden Ticket ou Silver Ticket exploitent les tickets Kerberos afin d’obtenir un contrôle complet sur tout le domaine.

• Ransomware-as-a-Service (RaaS) : grâce au RaaS, tout le monde est en mesure de lancer des attaques par ransomware, sans expertise technique. Ces kits incluent des outils qui simplifient l’ensemble du processus d’attaque, comme du code d’exploitation ou des modèles d’e-mails de phishing.

Dans une attaque classique par ransomware sur l’Active Directory, les cybercriminels tentent d’obtenir un accès au réseau. Pour cela, ils mettent en œuvre différentes techniques :

• Phishing en vue de récupérer des identifiants

• Élévation des privilèges

• Remontée vers le réseau du serveur

De manière générale, l’attaquant cherche avant tout à obtenir des droits d’accès administrateur pour compromettre un contrôleur de domaine.

Quelles sont les implications pratiques ? Ces menaces montrent surtout à quel point il est important de mettre au point une stratégie de prévention des ransomwares visant un Active Directory, en incluant une protection contre les ransomwares pour les serveurs Windows et le stockage cloud.

Face à la montée en puissance des menaces par ransomware, les entreprises doivent adopter une stratégie de consolidation de leur infrastructure Active Directory. Elles doivent pour cela affiner leur compréhension des vulnérabilités AD, en particulier les erreurs de communications courantes souvent exploitées par les attaquants.

La mise au point de stratégies globales de sécurité pour l’Active Directory aide les entreprises à mieux renforcer leurs défenses.

Voyons ensemble les mesures à mettre en place et les bonnes pratiques à adopter pour améliorer la protection de l’Active Directory contre les ransomwares, renforcer la sécurité des accès utilisateur et empêcher l’infiltration de ces codes malveillants dans votre environnement.

Pour mieux protéger l’Active Directory, commencez par investir dans des sessions régulières de sensibilisation à la cybersécurité. La cybersécurité comporte inévitablement une dimension humaine, et il en va de même pour la protection de l’Active Directory contre les ransomwares.

• Identifiez les tentatives de phishing : formez vos collaborateurs à reconnaître les e-mails de phishing, vecteur d’entrée très courant pour les ransomwares. Apprenez à vos collaborateurs à analyser les e-mails pour y détecter les indices d’une activité malveillante : adresse expéditeur inhabituelle, pièce jointe étrange, ou toute demande sortant de l’ordinaire.

• Imposez l’utilisation de mots de passe forts : informez vos équipes sur l’importance d’utiliser des mots de passe robustes et uniques afin de renforcer la sécurité des accès dans Active Directory. Aidez vos collaborateurs à comprendre les risques liés aux mots de passe faibles et les avantages liés à l’utilisation d’identifiants robustes et uniques.

• Expliquez les protocoles à déployer en cas de soupçon de faille : assurez-vous que votre équipe maîtrise les protocoles à mettre en œuvre en cas de violation de sécurité. Naturellement, il est essentiel de signaler immédiatement l’incident aux équipes informatiques ou de sécurité afin de réduire au maximum le délai d’intervention. Cette simple démarche peut éviter qu’un incident mineur ne se transforme en une attaque de grande ampleur.

• Donnez à chaque membre de votre équipe les moyens d’agir : la sensibilisation à la cybersécurité ne doit pas se cantonner au seul service informatique. Chaque collaboratrice, chaque collaborateur a un rôle à jouer dans la protection de l’entreprise. Tous les métiers sont concernés par l’hygiène numérique. L’organisation de sessions de formation régulières permet de développer une culture dans laquelle la cybersécurité est une responsabilité partagée.

• Simulez des scénarios réels : effectuez des simulations pratiques, en envoyant par exemple de faux e-mails de phishing. Ces exercices préparent vos collaborateurs à remettre en question l’authenticité des pièces jointes ou des e-mails suspects. In fine, ces exercices aident vos équipes à reconnaître les menaces et à réagir de façon adéquate.

En un mot, la sensibilisation à la cybersécurité représente un élément majeur d’une stratégie de sécurité exhaustive (qui gère de façon harmonieuse les personnes, les processus et les technologies). Donnez à vos collaborateurs les moyens d’agir en tant que première ligne de défense contre les cybermenaces, et ils joueront un rôle vital pour renforcer la posture de sécurité globale de votre entreprise.

La mise à jour régulière de votre environnement Active Directory est essentielle pour le protéger des attaques par ransomware. Microsoft publie fréquemment des correctifs de sécurité spécifiques à AD. Installez ces mises à jour sans attendre pour réduire le risque d’exploitation par des attaquants.

En effet, ces derniers concentrent souvent leurs efforts sur les vulnérabilités identifiées dans les logiciels obsolètes.

Ainsi, en vérifiant que l’ensemble de vos systèmes sont à jour, y compris ceux associés à l’AD, vous faites un grand pas en avant vers l’amélioration de la sécurité des accès utilisateur. L’adoption d’une routine de gestion des correctifs vous aide aussi à garder une longueur d’avance sur les menaces.

On pourrait croire qu’il s’agit d’un détail, mais se tenir informé des dernières mises à jour de sécurité publiées contribue à préserver la fonctionnalité et la sécurité de votre environnement AD. Une approche proactive des mises à jour rend votre écosystème plus difficile à atteindre pour les cybercriminels, ce qui renforce naturellement la protection de l’Active Directory contre les ransomwares.

L’intégration de la Threat Intelligence (renseignements sur les menaces) aux pratiques de sécurité d’Active Directory vous aide à détecter plus rapidement les ransomwares potentiels. Cette approche se concentre sur l’analyse et la surveillance des cybermenaces en temps réel. À mesure que les menaces évoluent, l’accès à des renseignements à jour vous permet d’adapter vos mécanismes de défense de façon efficace et rapide.

Grâce à la Threat Intelligence, les équipes informatiques accèdent à des renseignements détaillés sur les modèles d’activités inhabituelles susceptibles de survenir dans Active Directory. De plus, si vous êtes en mesure d’identifier les indicateurs de compromission clé, vous pouvez éviter un incident.

Avec cette visibilité accrue, les administrateurs gèrent plus efficacement la sécurité des accès utilisateur, identifient et neutralisent plus rapidement les activités suspectes et les empêchent de muter en compromission totale.

Grâce à l’apport de la Threat Intelligence, votre politique de sécurité ne se contente plus de « simplement » protéger vos systèmes : vous comprenez et anticipez les menaces. Cette démarche contribue à renforcer la protection de l’Active Directory contre les attaques par ransomware sophistiquées.

Au lieu d’être réactive, votre posture de sécurité devient préventive, proactive. Elle réduit d’autant la probabilité de réussite d’une attaque par ransomware.

La mise au point d’un plan de réponse aux incidents est essentielle pour la protection de l’Active Directory contre les ransomwares. Comme l’Active Directory (AD) fait partie intégrante de vos opérations, il est important de définir un plan de réponse robuste pour préserver la disponibilité des systèmes. En cas de faille réelle, l’incapacité à accéder aux applications connectées peut entraîner des arrêts prolongés, qui affectent à la fois vos collaborateurs, vos clients et votre chiffre d’affaires.

Dans cette optique, votre plan de réponse doit définir de façon claire les procédures à mettre en place en cas de cyberincident. Son but : détecter rapidement les menaces, déployer les mesures correctives et restaurer les systèmes en réduisant les dégâts au maximum.

Ce processus se déroule en plusieurs étapes clés :

1. Détection et analyse : le recours aux technologies de cybersécurité comme les flux de renseignements sur les menaces facilite le signalement des activités suspectes. Cette étape permet d’être informé en cas d’incident et de comprendre sa nature, son périmètre et son ampleur.

2. Endiguement : cette étape varie selon le type d’attaque, mais elle vise à réduire l’impact de l’incident et à stopper sa propagation. Votre équipe de réponse aux incidents fait alors usage de tactiques spécifiques pour supprimer les accès persistants. Les ransomwares ne peuvent ainsi plus se propager dans votre réseau AD.

3. Éradication et restauration : les équipes de réponse se concentrent sur l’élimination des menaces en vue de rétablir les opérations normales. Leur action consiste notamment à rassembler des preuves et à traiter les vulnérabilités en modifiant ou en consolidant l’environnement AD.

4. Activités post-incident : une fois l’incident résolu, il reste encore à documenter le processus. Analysez en détail la cause initiale de l’incident, les éventuels problèmes d’exécution et les modifications à apporter aux politiques et procédures. Cette évaluation est extrêmement précieuse pour éviter que l’incident se reproduise et renforcer votre posture de sécurité Active Directory globale.

En renforçant la cohérence et l’efficacité des mesures prises, vous pouvez préserver la sécurité et la fonctionnalité de votre réseau Active Directory, en particulier dans les scénarios de ransomwares impliquant des fournisseurs de services managés (MSP).

La sauvegarde régulière des données de l’Active Directory (AD) est une stratégie efficace de protection contre les ransomwares. AD est un service réseau critique pour la continuité des opérations. Un crash de serveur peut perturber à la fois les services cloud et les services locaux et empêcher les utilisateurs d’accéder à des applications et des données essentielles.

Sauvegarder les données, c’est un bon début, mais ne vous arrêtez pas là. Il convient également de tester régulièrement l’intégrité de vos sauvegardes et leur restauration. N’oubliez pas de les conserver à des emplacements sûrs, hors site et hors d’atteinte des ransomwares. Voici quelques étapes clés à ne pas négliger :

1. La récupération en dernier recours : la restauration de l’AD à partir d’une sauvegarde constitue une mesure de dernier recours. Toutefois, la récupération est nécessaire pour assurer la continuité des activités en cas d’incident grave.

2. Installation de plusieurs contrôleurs de domaine : l’utilisation de plusieurs contrôleurs de domaine facilite la restauration des systèmes, même si un contrôleur est indisponible. Cette configuration vous fournit un filet de sécurité, qui ne doit pas pour autant se substituer aux sauvegardes. Tous les contrôleurs sont sujets aux pannes, à la corruption des bases de données ou aux attaques par ransomware.

3. Corbeille d’Active Directory : activez cette fonctionnalité pour simplifier la récupération des objets supprimés. Dans certains scénarios, cette option peut réduire le recours immédiat aux sauvegardes.

4. Documentation exhaustive : maintenez des enregistrements détaillés de votre environnement AD, de vos politiques de sauvegarde et de vos protocoles de reprise après sinistre afin d’optimiser l’efficacité de la restauration et la sécurité des accès utilisateur dans l’Active Directory.

5. Fréquence et périmètre des sauvegardes : effectuez des sauvegardes quotidiennes de l’AD. Pour les environnements de grande taille ou dynamiques, vous pouvez opter pour des sauvegardes biquotidiennes. Vous devez également disposer de sauvegardes pour au moins deux contrôleurs de domaine par domaine, en incluant ceux disposant du rôle de maître d’opérations.

6. Sauvegarde hors site : conservez une sauvegarde de l’AD hors site. Cette condition est vitale pour plusieurs raisons, mais elle prend tout son sens dans les scénarios de ransomware, ou les risques sont très élevés.

Bien sûr, la mise en place de ces sauvegardes requiert des procédures spécifiques, puisque l’AD s’appuie sur une base de données spécialisée. Le processus de sauvegarde doit s’effectuer en ligne, et lorsque les services de domaine Active Directory sont actifs, il doit respecter les protocoles de sauvegarde spécifiques énoncés dans Ntdsbcli.h. L’utilitaire de sauvegarde intégré à Windows ne prend pas en charge les sauvegardes incrémentielles, mais la mise en place d’une stratégie de sauvegarde globale participe à la protection de l’Active Directory contre les ransomwares.

Bien protéger l’Active Directory contre les ransomwares passe par une gestion robuste des accès utilisateur.

Avant toute chose, activez l’authentification multifacteur (MFA) sur tous les comptes. Cette double authentification renforce la sécurité, en particulier pour les connexions RDP, très vulnérables aux attaques par ransomware. Si des assaillants parviennent à mettre la main sur des identifiants utilisateur, la MFA agit comme une barrière de sécurité supplémentaire et rend les accès non autorisés beaucoup plus difficiles.

Il faut également tenir à jour vos critères de groupes. Ce n’est pas une tâche passionnante, nous le savons bien. Mais il s’agit d’une méthode éprouvée pour gérer les autorisations utilisateur de façon proactive. En vous assurant que vous harmonisez les droits d’accès avec les rôles et responsabilités de chacun, vous réduisez le risque d’exploitation d’autorisations obsolètes.

Ensuite, appliquez des contrôles d’accès par moindre privilège. Le principe est de réduire au strict minimum l’accès des utilisateurs et des administrateurs en fonction des besoins réels. Ce faisant, vous limitez l’impact potentiel d’une violation de compte, ce qui compte énormément lorsque vous cherchez à réduire les dégâts d’une attaque par ransomware sur l’Active Directory.

Nous vous conseillons également de surveiller et de consigner les activités réseau. Cette démarche facilite l’identification des activités ou des changements inhabituels, en mettant en évidence les signaux précurseurs de menaces.

Enfin, sécurisez les comptes de vos administrateurs. Différentes méthodes permettent d’y parvenir :

• Bloquez l’accès des administrateurs aux serveurs et postes de travail des membres.

• Désactivez la possibilité d’établir une connexion administrateur à l’aide d’une tâche ou d’un service par lot.

• Limitez l’usage des services de bureau à distance pour les administrateurs sur les serveurs et postes de travail des membres.

Lorsque vous activez la MFA en complément de ces stratégies, vous créez une défense plus résiliente contre les attaques par ransomware. Autrement dit, vous traitez non seulement les symptômes, mais aussi les causes profondes des vulnérabilités de l’Active Directory.

Il est également important d’adopter des mesures spécifiques concernant l’accès aux fichiers et aux dossiers pour protéger l’Active Directory des ransomwares. Le contrôle d’accès basé sur les rôles (RBAC) permet de personnaliser l’accès aux partages de fichiers en fonction du rôle des utilisateurs, ce qui limite leur accès aux seules données dont ils ont besoin pour accomplir leur travail. Cette approche s’aligne parfaitement avec le framework de sécurité d’Active Directory.

La surveillance de l’intégrité des fichiers (FIM) est également importante pour la détection précoce des menaces. En signalant les modifications non autorisées, la FIM contribue à détecter rapidement les failles de sécurité.

Le chiffrement des fichiers et dossiers sensibles apporte une protection supplémentaire. Ainsi, même si les attaquants parviennent à s’affranchir des mécanismes de défense, cette mesure de sécurité reste efficace. Le chiffrement agit comme une force de dissuasion contre les accès non autorisés et le vol de données.

Les administrateurs ont tout intérêt à procéder à un audit régulier des autorisations d’accès aux fichiers afin de garantir un bon alignement avec les politiques de l’entreprise et les exigences de chaque rôle. Les audits facilitent l’identification et la correction des lacunes susceptibles d’être exploitées par des acteurs malveillants.

Autre méthode proactive : configurer des alertes en temps réel en cas d’accès inhabituel aux fichiers. Ces alertes permettent d’intervenir rapidement lorsque des activités suspectes sont décelées. Votre environnement Active Directory est ainsi mieux protégé contre les ransomwares.