Comment apprendre la sécurité Active Directory - Roadmap complète 2026

Apprendre la sécurité Active Directory en 2026 demande un parcours structuré : fondamentaux protocolaires (Kerberos, NTLM, LDAP), mise en pratique sur lab dédié (GOAD reste le standard de fait), maîtrise des outils offensifs (BloodHound, Impacket, Rubeus, Certipy) et défensifs (PingCastle, Microsoft Defender for Identity, Sysmon), puis approfondissement via certifications (CRTP, OSCP, CRTE). Ce guide propose une roadmap de 12 mois réaliste, les ressources à privilégier, les erreurs à éviter, et les signaux qui indiquent qu'on progresse vraiment.

1. Pourquoi c'est une compétence clé en 2026

Active Directory reste le cœur de l'authentification dans plus de 90 % des entreprises de plus de 500 salariés. Les incidents de ransomware majeurs (Colonial Pipeline 2021, Change Healthcare 2024, nombreux OIV/OSE français 2023-2025) passent presque tous par une escalade dans AD avant le chiffrement final.

Du côté offensif comme défensif, la demande dépasse largement l'offre : un pentester ou un analyste SOC capable de lire un BloodHound et de comprendre un flow Kerberos est immédiatement employable. C'est une des rares spécialités cyber où la barrière d'entrée reste technique et où la rémunération suit.

Problème : AD est vaste. Un ingénieur confirmé met 6 à 12 mois pour atteindre un niveau opérationnel. Sans méthode, on s'éparpille sur les outils sans comprendre les protocoles.

2. Prérequis avant de commencer

Ne pas brûler les étapes. Ces prérequis sont non négociables - sans eux, vous allez lancer des commandes sans comprendre ce qui se passe sous le capot.

2.1 Windows administration basique

• Installer et configurer Windows Server (2019, 2022, 2025).
• Comprendre les concepts : utilisateur local vs domaine, groupe, service, stratégie locale.
• Naviguer dans les consoles MMC : dsa.msc (Users and Computers), gpmc.msc (Group Policy), dnsmgmt.msc (DNS), adsiedit.msc.
• Savoir joindre une machine à un domaine.

2.2 Réseau TCP/IP

• TCP/UDP, ports, DNS, DHCP, routage basique.
• Savoir lire un netstat, un ipconfig /all, un capture tcpdump ou Wireshark élémentaire.
• Comprendre HTTP, HTTPS, TLS (grande ligne).

2.3 PowerShell

• Syntaxe de base : Get-*, Set-*, pipeline, Where-Object, Select-Object, ForEach-Object.
• Module Active Directory (RSAT) : Get-ADUser, Get-ADGroup, Get-ADComputer, Get-ADObject.
• Savoir écrire un script PowerShell de 50 lignes qui interroge AD et exporte en CSV.

2.4 LDAP

• Comprendre la hiérarchie DN (Distinguished Name).
• Connaître les attributs majeurs (sAMAccountName, userPrincipalName, memberOf, servicePrincipalName, userAccountControl).
• Savoir écrire une requête LDAP filter simple : (&(objectClass=user)(memberOf=CN=Domain Admins,CN=Users,DC=lab,DC=local)).

2.5 Linux en ligne de commande

Même si AD est un produit Microsoft, la plupart des outils offensifs modernes tournent sur Linux (Kali, Parrot, WSL). Il faut être à l'aise avec bash, pip, git, docker.

3. Étape 1 - Fondamentaux théoriques (mois 1-2)

Objectif : comprendre comment AD fonctionne avant de chercher à l'attaquer.

3.1 Concepts architecturaux

• Forêt, domaine, OU (Organizational Unit), site, trust.
• Contrôleur de domaine (DC), FSMO roles (5 rôles), réplication.
• SYSVOL, GPO, Global Catalog.
• Schéma AD (extension, mise à jour).

3.2 Protocoles d'authentification

• Kerberos v5 (RFC 4120) : KDC, TGT, Service Ticket, AS-REQ, TGS-REQ, AP-REQ, SPN, PAC.
• NTLM (v1 et v2) : challenge/response, NTLMSSP, pourquoi il reste utilisé.
• LDAP et LDAPS : bind anonymous/simple/SASL, signature, channel binding.

Un ingénieur qui ne sait pas dessiner au tableau un flow Kerberos n'est pas prêt à faire du pentest AD.

3.3 Ressources recommandées

• Livre : Active Directory for the Security Professional (Sean Metcalf, ADSecurity.org) - référence absolue, gratuit en lecture.
• Blog : adsecurity.org (Sean Metcalf) - 10 ans d'archives, incontournable.
• Microsoft Docs : section AD DS Design Guide et Kerberos Authentication Technical Reference.
• RFC 4120 (Kerberos v5) : lire au moins l'introduction et les sections 1 à 3.

4. Étape 2 - Monter un lab AD (mois 2-3)

On ne devient pas bon en AD security en lisant. Il faut casser son propre lab.

4.1 Option 1 - Lab manuel minimal

Hyper-V, VMware Workstation Player (gratuit pour usage perso non commercial), VirtualBox ou Proxmox :

• 1 DC Windows Server 2022 (lab.local).
• 1 poste client Windows 10/11 joint au domaine.
• 1 serveur membre (Windows Server 2019) avec un service type IIS ou SQL Server Express.
• 1 machine Kali Linux pour les attaques.

Créer 20-30 utilisateurs, 5-10 groupes, quelques GPO, un ou deux comptes de service avec SPN. Volontairement semer des faiblesses : mot de passe faible dans description, Kerberoastable, droits délégués mal configurés.

4.2 Option 2 - GOAD (recommandé)

GOAD (Game Of Active Directory) - projet maintenu par Mayfly277 - est devenu le standard de fait pour apprendre AD security. Il déploie automatiquement une forêt multi-domaines vulnérable via Vagrant + Ansible.

git clone https://github.com/Orange-Cyberdefense/GOAD.git
cd GOAD
./goad.sh
 
# Plusieurs labs disponibles :
# - GOAD (full) : 2 forêts, 5 machines, toutes les vulnérabilités classiques
# - GOAD-light : version allégée, 3 machines
# - SCCM lab : spécialisé SCCM attacks
# - NHA (No Hack Academy) : pour débutants

Chaque vulnérabilité est documentée avec son exploitation et sa correction. C'est un environnement parfait pour l'auto-formation.

4.3 Option 3 - Labs en ligne

Pour ceux qui ne peuvent pas faire tourner de lab local :

• HackTheBox : machines AD individuelles (Forest, Resolute, Sauna, Cascade) et ProLabs dédiés (Offshore, Rastalabs, Cybernetics, Dante).
• TryHackMe : parcours Active Directory Pentesting, Wreath, Holo.
• HackTheBox Academy : modules structurés (Active Directory Enumeration & Attacks, Kerberos Attacks).

5. Étape 3 - Apprendre l'offensif (mois 3-6)

Comprendre comment on attaque AD éclaire pourquoi il faut défendre ainsi.

5.1 Les 12 attaques à maîtriser absolument

5.2 Outils offensifs essentiels

• BloodHound / SharpHound : cartographie graphique des chemins d'attaque. Incontournable. Apprendre à interpréter les requêtes Cypher et les chemins « Shortest Path to Domain Admins ».
• Impacket (Python) : suite de scripts couvrant 80 % des attaques AD réseau. Cloner le repo, lire le code.
• Rubeus (C#) : le couteau suisse Kerberos. Toutes les opérations sur tickets.
• Mimikatz : historique, encore très utilisé. Comprendre sekurlsa::, lsadump::, kerberos::.
• Certipy : ADCS abuse (ESC1 à ESC11).
• NetExec (ex-CrackMapExec) : énumération et mouvement latéral massif.
• Responder / ntlmrelayx : empoisonnement LLMNR/NBT-NS, relais NTLM.
• Kerbrute : énumération et password spraying via Kerberos.

5.3 Méthode d'apprentissage

Pour chaque attaque :

1. Lire l'article de référence (ADSecurity, SpecterOps, Posts on HackTricks).
2. Comprendre le protocole sous-jacent (ex. pour Kerberoasting : AS-REQ, TGS-REQ, chiffrement du TGS, faille RC4-HMAC).
3. L'exécuter sur le lab, capturer le trafic avec Wireshark.
4. L'identifier dans les logs : event ID 4769 (TGS request) pour Kerberoasting, etc.
5. Écrire soi-même une note technique (blog perso, Obsidian).

6. Étape 4 - Apprendre le défensif (mois 4-8)

Le vrai métier. La plupart des pentesters AD n'ont jamais audité ou durci un AD de production - et cela se voit dans leurs rapports.

6.1 Audit et hardening

• PingCastle : outil gratuit, indispensable. Audite un AD en 10 minutes, donne un score de maturité avec 100+ contrôles. Apprendre à lire un rapport.
• Purple Knight (Semperis) : équivalent, plus orienté Indicators of Exposure.
• Microsoft Security Compliance Toolkit : baselines officielles Microsoft à appliquer via GPO.

6.2 Hardening prioritaire

• Tiering administrative (Tier 0 / 1 / 2) : modèle de référence Microsoft. Voir l'article dédié de ce guide.
• Protected Users group : empêche les attaques pass-the-hash sur les comptes sensibles.
• Authentication Policies et Silos : restreindre où les comptes admin peuvent s'authentifier.
• Kerberos Armoring (FAST) : protège la phase AS-REQ contre les attaques offline.
• LDAP signing et channel binding : bloque NTLM relay sur LDAP(S).
• Disable NTLMv1 partout - si encore activé, vous avez un problème urgent.
• LAPS (built-in Windows depuis avril 2023) : mots de passe administrateur local uniques et rotés.

6.3 Détection et monitoring

• Sysmon avec config SwiftOnSecurity ou Olaf Hartong - incontournable pour logger proprement les événements Windows.
• Microsoft Defender for Identity (anciennement Azure ATP) : capteurs sur DC, détection comportementale.
• Windows Event Forwarding (WEF) + SIEM : centraliser les logs Security des DC.
• Honey accounts : comptes pièges Kerberoastables pour détecter l'énumération active.

Event IDs à connaître par cœur :

7. Outils à maîtriser - tableau récapitulatif

8. Certifications recommandées

Les certifications ne remplacent pas l'expérience mais structurent l'apprentissage et ouvrent des portes.

8.1 Parcours offensif

• CRTP (Certified Red Team Professional, Altered Security) : la certification AD offensive à faire en premier. Budget modéré, lab de 30 jours, examen pratique. Couvre l'essentiel de l'énumération et de l'escalade AD.
• CRTE (Certified Red Team Expert, Altered Security) : suite de CRTP, multi-forêts, trusts, advanced abuse.
• OSCP (Offensive Security Certified Professional) : couvre AD depuis 2023 (mise à jour majeure). Référence du secteur.
• OSEP (Offensive Security Experienced Penetration Tester) : évasion AV, techniques avancées, AD trust abuse.
• CRTO (Certified Red Team Operator, Zero-Point Security) : orienté Cobalt Strike + AD.

8.2 Parcours défensif et cloud

• AZ-500 (Microsoft Azure Security Engineer Associate) : identités hybrides, Entra ID, Conditional Access.
• SC-300 (Microsoft Identity and Access Administrator) : centré Entra ID, parfait complément AD on-prem.
• GCIH, GCFA (SANS/GIAC) : incident response incluant forensics AD.
• CISSP (ISC2) : généraliste, utile pour les rôles lead.

8.3 Ordre suggéré

CRTP → OSCP (si pas déjà fait) → CRTE ou OSEP selon orientation → AZ-500 ou SC-300 pour couvrir le volet cloud.

9. Ressources communautaires

Rester à jour demande une veille active - AD security évolue vite (ADCS en 2021, dMSA/Service Accounts en 2024, Kerberos changes 2025).

9.1 Blogs et écosystème

• adsecurity.org (Sean Metcalf) - fondamentaux, attaques, défense.
• specterops.io/blog - équipe derrière BloodHound, recherche offensive de pointe.
• harmj0y.net (Will Schroeder, archives) - papers fondateurs (Kerberoasting, Unconstrained Delegation).
• dirkjanm.io (Dirk-jan Mollema) - recherches majeures sur NTLM relay, ADCS, Entra Connect.
• hackingarticles.in - tutos pratiques, parfois simplistes mais utiles.
• xpnsec.com (Adam Chester) - internals Windows.
• redcanary.com/blog - côté défensif, analyse d'attaques réelles.

9.2 Conférences (vidéos en ligne)

• DerbyCon (archives) - talks AD historiques.
• DEF CON et Black Hat - recherches majeures annuelles.
• Troopers (Allemagne) - spécialisé AD et Windows internals.
• Hack.lu, SSTIC (France) - talks francophones de qualité.
• x33fcon, Wild West Hackin' Fest - orientés red team / purple team.

9.3 Newsletters et réseaux sociaux

• Bluesky / X : suivre @harmj0y, @_dirkjan, @SpecterOps, @PyroTek3 (Sean Metcalf), @_wald0.
• Discord : serveurs HackTheBox, TryHackMe, BloodHound Slack.
• LinkedIn : suivre les ingénieurs cyber qui publient (souvent plus à jour que les médias).

10. Roadmap 12 mois réaliste

Pour un ingénieur à temps plein qui dédie 5-10 heures par semaine :

Cette cadence est exigeante mais atteignable pour un profil motivé. Les autodidactes mettent souvent 18-24 mois - c'est normal.

11. MITRE ATT&CK pour cadrer l'apprentissage

La matrice MITRE ATT&CK Enterprise couvre explicitement les tactiques et techniques AD. Utiliser la matrice comme grille de progression :

• Reconnaissance (TA0043) : T1589, T1590.
• Initial Access (TA0001) : T1566 (phishing), T1078 (comptes valides).
• Credential Access (TA0006) : T1110 (bruteforce), T1555, T1558 (Kerberos).
• Lateral Movement (TA0008) : T1550 (alternate auth material), T1021 (remote services).
• Privilege Escalation (TA0004) : T1134, T1068.
• Defense Evasion (TA0005) : T1562 (impair defenses), T1070 (log clearing).
• Discovery (TA0007) : T1087 (account discovery), T1018 (remote system discovery).

Pour chaque technique : lire la fiche MITRE, identifier le ou les outils qui l'exécutent, trouver la ou les règles de détection associées.

12. Erreurs courantes à éviter

12.1 Sauter les fondamentaux

Vouloir lancer BloodHound sans savoir ce qu'est un DN LDAP, un TGS ou un SPN. On finit par accumuler des commandes sans comprendre les résultats. Retour à la case départ garanti.

12.2 Rester uniquement en théorie

Lire 20 articles sans ouvrir un lab produit un knowledge sans skill. Les entretiens techniques révèlent très vite ce déséquilibre.

12.3 Ne faire que de l'offensif

Le marché manque de profils capables de réparer un AD après un audit. Un pentester qui sait expliquer en 3 pages comment corriger sa trouvaille vaut 3x plus qu'un copier-coller Mimikatz.

12.4 Ignorer le cloud hybride

En 2026, la majorité des AD sont synchronisés avec Entra ID via Entra Connect. Ignorer ce volet (Seamless SSO, Pass-Through Authentication, federation) rend tout pentest ou audit partiel. Il faut monter en compétence sur la partie identité hybride dès le mois 6-8.

12.5 Négliger le scripting

PowerShell et Python ne sont pas optionnels. Un praticien qui ne sait pas automatiser son énumération ou son rapport perd 80 % de son temps.

12.6 S'appuyer uniquement sur les certifications

CRTP ou OSCP ne garantissent pas un niveau opérationnel. Ce sont des jalons, pas des diplômes d'aptitude. L'expérience - même sur lab - prime.

13. FAQ

13.1 Combien de temps pour être opérationnel en AD security ?

Comptez 6 à 12 mois à temps partiel (5-10h/semaine) pour un ingénieur déjà familier avec Windows et le scripting. 18-24 mois pour un profil plus junior. Atteindre un niveau expert (capable de faire du red team avancé ou de concevoir une architecture AD durcie) demande 3-5 ans de pratique.

13.2 Faut-il être pentester pour apprendre AD security ?

Non. Les profils défensifs (SOC, incident response, architecte sécurité, ingénieur identité) ont au moins autant besoin de maîtriser AD. Un analyste SOC qui ne comprend pas les event IDs 4769 ou 4662 ne détectera jamais une attaque AD.

13.3 GOAD vs HackTheBox : lequel choisir ?

Les deux sont complémentaires. GOAD est idéal pour un apprentissage méthodique et hors-ligne, vous maîtrisez toute la stack. HackTheBox propose des machines plus variées et des scénarios réalistes, utile après les fondamentaux.

13.4 La certification CRTP vaut-elle son coût ?

Oui pour la plupart des profils. Le rapport qualité/prix est excellent : lab de 30 jours, examen pratique en conditions réelles (24h), couverture des attaques AD classiques. C'est souvent la première certification offensive AD conseillée. OSCP reste plus reconnu côté RH mais couvre aussi d'autres domaines.

13.5 Peut-on apprendre AD security sans Windows sous la main ?

Difficile. Un minimum d'environnement Windows est nécessaire - soit via VM sur votre machine, soit via un lab cloud (Azure dev/test, GCP, AWS). Les évaluations Windows Server de Microsoft sont valides 180 jours, largement assez pour un lab d'apprentissage.

13.6 Comment rester à jour après la formation initiale ?

Suivre 3 à 5 comptes de recherche (SpecterOps, dirkjanm, harmj0y archives, xpnsec), lire les talks DEF CON / Troopers / Black Hat chaque année, maintenir un lab à jour (versions Windows Server récentes), participer à au moins un CTF AD par trimestre. AD security évolue vite - ADCS ESC attacks découvertes en 2021, Service Accounts modernes en 2024, Kerberos changes 2025.

Apprendre AD security est un investissement long, mais c'est une des compétences les plus rentables du marché cyber. Les fondamentaux protocolaires sont stables depuis 20 ans, les outils évoluent mais les principes restent. Commencez par les basiques, montez un lab, cassez-le, réparez-le, documentez votre parcours. Dans 12 mois, vous saurez si c'est votre voie.