Retour aux actualités
Cybersécurité15 juin 20256 min de lecture

Sécuriser Active Directory avec le modèle Tier 0 / Tier 1 / Tier 2

Active Directory est le cœur du système d'information. Pourtant, sa sécurisation est souvent négligée. Le modèle Tier de Microsoft est la référence — voici comment le mettre en œuvre.

Par Équipe SYIT

Pourquoi c'est critique ?

Un attaquant qui compromet Active Directory contrôle l'ensemble de l'infrastructure : les utilisateurs, les serveurs, les accès réseau. Autrement dit, tout.

Les ransomwares modernes visent systématiquement AD comme objectif final, car sa compromission permet le chiffrement de masse et la persistance à long terme.

Le modèle Tier

Microsoft recommande une segmentation en trois niveaux d'administration, étanches entre eux.

Tier 0 — Infrastructure critique

  • Contrôleurs de domaine (DC)
  • PKI (autorités de certification)
  • Systèmes de gestion des identités (AD FS, AAD Connect)
  • Comptes et groupes d'administration AD

    • Niveau de protection maximal. Ces systèmes ne doivent jamais être administrés depuis un équipement de niveau inférieur.

    Tier 1 — Serveurs et services

  • Serveurs applicatifs (ERP, messagerie, fichiers)
  • Services métiers critiques
  • Hyperviseurs (VMware, Hyper-V, Proxmox)

    • Tier 2 — Postes utilisateurs et périphériques

  • Postes de travail utilisateurs
  • Équipements bureautiques
  • Terminaux mobiles

    • Le principe fondamental

    Un compte d'un niveau ne doit jamais être utilisé sur un autre.

    Exemple concret : un administrateur Tier 0 dispose d'un compte AD dédié uniquement à l'administration des contrôleurs de domaine. Il ne l'utilise jamais pour se connecter à un serveur applicatif, et encore moins à un poste utilisateur.

    Sans ce cloisonnement, un attaquant qui compromet un poste utilisateur (Tier 2) peut récupérer les credentials d'un admin qui s'y est connecté, et remonter jusqu'au Tier 0.

    Mise en œuvre

    1. Comptes dédiés par niveau Chaque administrateur dispose de 2 ou 3 comptes distincts selon les niveaux auxquels il intervient. Aucun compte ne traverse les niveaux.

    2. Bastions d'administration (PAW) Privileged Access Workstations — des postes durcis, dédiés, utilisés uniquement pour l'administration du niveau correspondant. Pas de navigation web, pas de messagerie.

    3. GPO de restriction Les GPO empêchent techniquement la connexion d'un compte d'un niveau sur un équipement d'un autre niveau. La politique est appliquée par l'infrastructure, pas par la bonne volonté.

    4. Segmentation réseau Les VLAN et les ACL réseau complètent les restrictions logicielles. Un DC en Tier 0 n'est accessible réseau que depuis le bastion Tier 0.

    Les risques sans ce modèle

  • Élévation de privilèges rapide par Pass-the-Hash ou Pass-the-Ticket
  • Propagation de ransomware à vitesse élevée via les partages administratifs
  • Compromission globale en quelques heures depuis un seul poste utilisateur

    • Conclusion

    Active Directory doit être traité comme une infrastructure critique, au même titre qu'un pare-feu ou qu'un contrôleur industriel.

    > Si votre AD tombe, tout tombe.

    Une question sur ce sujet ?

    Nos ingénieurs sont disponibles pour échanger sur vos enjeux spécifiques.

    Nous contacter

    Articles similaires

    Fin du VPN SSL : pourquoi migrer vers IPsec dès maintenant

    5 min de lecture

    Sécuriser Milestone XProtect : HTTPS, haute disponibilité et Active Directory

    5 min de lecture