Incidents

Active Directory compromis :
le plan de réponse, heure par heure.

Un attaquant contrôle votre annuaire, donc potentiellement tout votre système d'information. Les 72 premières heures décident de la suite. Ce guide méthodologique déroule les actions à mener, de la détection à la notification CNIL, dans l'ordre où elles doivent tomber.

INCIDENTS 12 min de lecture Par l'équipe Kipsafe

L'Active Directory n'est pas un serveur parmi d'autres : c'est le système nerveux du SI. Il authentifie chaque utilisateur, distribue chaque droit, pousse chaque stratégie de groupe. Quand un attaquant en prend le contrôle, il ne compromet pas une machine — il détient les clés de toutes les autres. C'est précisément pour cela que l'annuaire est la cible privilégiée des opérateurs de rançongiciel : chiffrer un parc entier suppose d'abord d'en devenir l'administrateur.

Le scénario n'a rien de théorique. Dans son Panorama de la cybermenace 2025, l'ANSSI recense 128 compromissions par rançongiciel portées à sa connaissance sur l'année, et 196 exfiltrations de données, en hausse de 51 %. Et le temps joue contre les organisations : selon le rapport IBM Cost of a Data Breach 2025, il faut en moyenne 241 jours pour identifier et contenir une violation de données au niveau mondial, pour un coût moyen de 4,44 millions de dollars.

128
compromissions par rançongiciel portées à la connaissance de l'ANSSI en 2025 — et 196 exfiltrations de données (+51 %).
ANSSI · Panorama 2025
241 jours
en moyenne pour identifier et contenir une violation de données dans le monde. Coût moyen : 4,44 M$.
IBM · Cost of a Data Breach 2025
72 h
pour notifier la CNIL après avoir eu connaissance d'une violation de données personnelles (article 33 du RGPD).
CNIL · RGPD art. 33

Précisons le cadre de cet article : ce n'est pas un retour d'expérience, et aucun cas client ne s'y cache derrière des initiales. C'est un plan de réponse méthodologique et générique, construit sur les bonnes pratiques de réponse à incident, à adapter à votre contexte — taille du parc, présence d'un prestataire, couverture d'assurance, criticité métier. Son objectif : que personne dans votre organisation n'ait à improviser l'ordre des opérations à deux heures du matin.

Il suppose une hypothèse de travail claire : la compromission de niveau domaine est confirmée ou sérieusement suspectée. Dans le doute, traitez-la comme confirmée — le coût d'un excès de prudence est toujours inférieur à celui d'un attaquant qu'on laisse travailler.

Trois principes avant de dérouler la timeline

  • Préserver la preuve. N'éteignez pas les machines suspectes, ne réinstallez rien dans la précipitation : l'investigation à venir dépend de ce que vous ne détruisez pas dans la première heure.
  • Présumer que l'attaquant lit tout. S'il contrôle l'annuaire, il contrôle potentiellement la messagerie. La coordination de crise passe par un canal hors du SI compromis.
  • Documenter chaque action. Une main courante horodatée — qui a fait quoi, quand, avec quel résultat — servira à l'assureur, aux enquêteurs, à la CNIL et à votre propre retour d'expérience.

La timeline de réponse, de H0 à H+72

Les bornes horaires ci-dessous sont des ordres de grandeur cibles, pas des promesses : elles structurent la priorité des actions. Ce qui compte, c'est l'ordre — isoler avant de réinitialiser, réinitialiser avant de reconstruire, documenter en continu.

Phase 1 · H0 → H+1

Détecter et qualifier

Tout commence par un signal : création de comptes à privilèges que personne ne reconnaît, modification de GPO non planifiée, demandes de réplication anormales depuis une machine qui n'est pas un contrôleur de domaine (type DCSync), verrouillages de comptes en masse, désactivation de l'antivirus ou de l'EDR — ou, au pire, une note de rançon.

  • Qualifier le niveau de compromission : un compte utilisateur volé n'est pas un domaine compromis. Des privilèges d'administration du domaine entre les mains de l'attaquant, si.
  • Activer la cellule de crise : un décideur qui tranche, l'IT, le juridique, la communication. Petite structure ? Ces casquettes se cumulent, mais elles doivent être nommées.
  • Ouvrir la main courante : heure, action, auteur, résultat. Elle ne fermera plus jusqu'à la fin de l'incident.

Objectif de fin de phase : savoir si l'on traite une compromission de niveau domaine — et dans le doute, répondre oui.

Phase 2 · H+1 → H+4

Isoler sans détruire la preuve

Le réflexe naturel — tout éteindre — est le mauvais. On isole du réseau, on ne coupe pas l'alimentation : la mémoire vive des machines compromises contient des traces (processus, connexions, clés) que l'analyse forensique ne retrouvera nulle part ailleurs.

  • Isoler les contrôleurs de domaine et machines suspects : déconnexion réseau, désactivation des ports au niveau du commutateur, mise en quarantaine EDR — pas d'extinction.
  • Couper les accès depuis l'extérieur : VPN, services RDP exposés, comptes de prestataires, et suspendre la synchronisation avec l'annuaire cloud le temps de qualifier son périmètre.
  • Mettre les sauvegardes hors d'atteinte : déconnecter les dépôts accessibles en ligne, vérifier l'existence et l'intégrité des copies hors ligne. Les sauvegardes sont la première cible d'un attaquant qui prépare un chiffrement.
  • Basculer la coordination sur un canal hors bande : téléphonie, messagerie externe au SI. La boîte mail interne est présumée lue.

Objectif de fin de phase : l'attaquant ne peut plus ni entrer, ni se déplacer, ni atteindre les sauvegardes — et les preuves sont intactes.

Phase 3 · H+4 → H+12

Reprendre le contrôle de l'identité

Un attaquant qui a détenu les privilèges du domaine a pu se forger des tickets Kerberos à volonté — y compris des « golden tickets » signés avec le secret du compte krbtgt, qui survivent au simple changement des mots de passe. Reprendre l'identité, c'est invalider tout ce qu'il a pu émettre.

  • Réinitialiser deux fois le compte krbtgt, en respectant entre les deux la réplication de l'annuaire et la durée de vie des tickets émis : c'est le double reset qui invalide les tickets forgés.
  • Réinitialiser les mots de passe de tous les comptes à privilèges : administrateurs du domaine, comptes de service critiques, comptes d'administration des sauvegardes et de la virtualisation, mots de passe DSRM des contrôleurs de domaine.
  • Révoquer les sessions et secrets côté cloud si l'annuaire est synchronisé : jetons actifs, certificats et secrets de fédération.
  • Chasser la persistance : comptes cachés, ACL et délégations modifiées, GPO piégées, tâches planifiées et services créés par l'attaquant.

Objectif de fin de phase : plus aucun secret d'identité détenu par l'attaquant n'est encore valide.

Phase 4 · H+12 → H+24

Investiguer et déclencher les obligations

Pendant que la technique reprend l'identité, un deuxième front s'ouvre : comprendre ce qui s'est passé, et enclencher les démarches externes qui ne peuvent pas attendre la fin de l'investigation.

  • Lancer l'analyse forensique : point d'entrée, date de compromission initiale, chemin de latéralisation, données consultées ou exfiltrées. Copies disque et mémoire des machines clés avant toute remédiation dessus.
  • Prévenir l'assureur cyber via le numéro d'urgence du contrat : la plupart des polices imposent une déclaration rapide et donnent accès à des experts mandatés.
  • Déposer plainte au plus vite (commissariat, gendarmerie ou procureur) : c'est une étape clé de la procédure, et souvent une condition posée par les assureurs.
  • Se faire accompagner : cybermalveillance.gouv.fr pour l'orientation, et un signalement à l'ANSSI selon votre statut réglementaire.
  • Ouvrir le dossier CNIL dès qu'un doute existe sur des données personnelles : nature de la violation, catégories de données et de personnes concernées, mesures prises.

Objectif de fin de phase : l'investigation est lancée, l'assureur et les autorités sont dans la boucle, le dossier de notification s'écrit.

Phase 5 · H+24 → H+48

Reconstruire le socle d'administration (tier 0)

Question structurante : restaurer ou reconstruire ? Si l'attaquant a détenu les privilèges du domaine, restaurer l'annuaire tel quel, c'est restaurer aussi ses portes dérobées. La voie sûre est de reconstruire le tier 0 — contrôleurs de domaine, PKI, outils d'administration, infrastructure de sauvegarde et de virtualisation — sur des bases saines.

  • Réinstaller les contrôleurs de domaine à partir de sources vérifiées ; ne restaurer les données que depuis une sauvegarde antérieure à la compromission, contrôlée avant réinjection.
  • Administrer le nouveau socle uniquement depuis des postes d'administration dédiés (PAW), jamais depuis des postes bureautiques.
  • Adopter le modèle d'administration en tiers (tier 0/1/2) : l'incident est le moment où ce chantier, souvent repoussé, devient prioritaire.
  • Réintégrer progressivement : chaque serveur revient sur le réseau après contrôle — EDR sain, comptes vérifiés, correctifs appliqués. Pas de retour en bloc.

Objectif de fin de phase : un socle d'administration de confiance existe, distinct de l'environnement compromis.

Phase 6 · H+48 → H+72

Notifier, communiquer, redémarrer

La troisième journée est celle des échéances : le RGPD impose de notifier la CNIL dans les 72 heures après avoir eu connaissance d'une violation de données personnelles (article 33). Une compromission complète de l'annuaire entre presque toujours dans ce cas de figure.

  • Notifier la CNIL avant l'échéance via son téléservice, même avec un dossier incomplet : une notification initiale peut être complétée au fil de l'investigation. Consigner la violation au registre interne.
  • Informer les personnes concernées si le risque pour leurs droits et libertés est élevé (article 34), avec l'appui du juridique.
  • Communiquer de façon maîtrisée vers les clients, partenaires et salariés : un message factuel et coordonné avec l'assureur vaut toujours mieux que le silence — ou que la découverte de l'incident par la presse.
  • Séquencer la reprise par criticité métier : quels services doivent revenir en premier ? À H+72, l'objectif réaliste est un socle sain et un plan de reprise ordonné, pas un retour complet à la normale.

Objectif de fin de phase : obligations légales tenues, communication sous contrôle, reprise engagée dans le bon ordre.

Et après H+72 ?

Soyons honnêtes : à H+72, rien n'est fini. La reconstruction des tiers 1 et 2, la réinstallation des postes, le retour complet à la normale se comptent en semaines. Le chiffre d'IBM cité plus haut — 241 jours en moyenne pour identifier et contenir une violation — dit surtout une chose : l'écart se creuse entre les organisations qui ont préparé leur réponse et celles qui la découvrent en la vivant.

La sortie de crise passe par un retour d'expérience formalisé et un plan de durcissement qui traite les causes, pas seulement les symptômes :

  • MFA systématique sur les accès à privilèges et les accès distants ;
  • modèle d'administration en tiers maintenu dans la durée, avec postes d'administration dédiés ;
  • sauvegardes hors ligne, testées régulièrement en restauration réelle ;
  • journalisation de l'annuaire centralisée et externalisée, avec supervision des signaux d'attaque ;
  • plan de réponse à incident écrit, imprimé, et exercé au moins une fois par an.

Se préparer avant l'incident : la vraie variable

Tout ce qui précède se joue mieux quand il a été préparé à froid. Un plan de réponse imprimé (le SI qui l'héberge sera peut-être chiffré), un annuaire de crise hors ligne — direction, IT, assureur, avocat, prestataire de réponse à incident —, des sauvegardes dont on a prouvé qu'elles se restaurent, et des contacts établis avant d'en avoir besoin : voilà ce qui transforme 72 heures de chaos en 72 heures de procédure.

C'est exactement le sens d'un audit de l'Active Directory et d'un plan de réponse construits en amont : savoir aujourd'hui ce que vous feriez demain matin si l'annuaire ne vous appartenait plus.

Sources & références

  • ANSSI — Panorama de la cybermenace 2025 : 128 compromissions par rançongiciel portées à la connaissance de l'agence en 2025 ; 196 exfiltrations de données, en hausse de 51 %.
  • IBM — Cost of a Data Breach Report 2025 : 241 jours en moyenne pour identifier et contenir une violation de données ; coût moyen de 4,44 millions de dollars.
  • CNIL — cnil.fr : obligation de notification des violations de données personnelles à l'autorité de contrôle dans les 72 heures (article 33 du RGPD).

Et si c'était votre annuaire, demain matin ?

Audit Active Directory · Plan de réponse sur mesure · Premier échange gratuit, sans engagement

Audit gratuit