Un spécialiste Active Directory security est un ingénieur cybersécurité spécialisé sur la sécurisation d'Active Directory et de son écosystème — forêt AD on-premise, AD CS (Certificate Services), LAPS, ADFS, intégration hybride avec Entra ID Connect. Il pilote le hardening tiering (Tier 0/1/2 et son évolution via Privileged Access Strategy Microsoft), la détection et mitigation des attaques AD canoniques (Kerberoasting, AS-REP Roasting, Pass-the-Hash, DCSync, DCShadow, noPac, ZeroLogon, PrintNightmare, PetitPotam), la sécurisation d'AD CS contre les 15 vecteurs ESC1-ESC15 (recherche SpecterOps Certified Pre-Owned, juin 2021), et le déploiement d'outils de posture (PingCastle, Microsoft Defender for Identity, Tenable Identity Exposure, Semperis DSP). L'Active Directory reste l'infrastructure d'identité dominante dans 80-90 % des entreprises françaises en 2026 et représente la surface d'attaque privilégiée des groupes ransomware (LockBit, ALPHV/BlackCat, Play, RansomHub qui ciblent systématiquement krbtgt, Domain Admin, AD CS). La France abrite une expertise mondiale reconnue sur le sujet avec PingCastle (outil français de référence), Tenable Identity Exposure (ex-Alsid acquise en 2021), et les équipes d'Orange Cyberdefense, Synacktiv, Advens, Digitemis. Les salaires juniors 2026 : 48-70 k€, senior 88-115 k€, Lead 115-150 k€. Cet article détaille la définition, le modèle Tier 0/1/2, les attaques canoniques, AD CS, la stack outillée, l'hybride Entra ID Connect, les certifications et la trajectoire.
1. Définition et périmètre du spécialiste AD security
Définition opérationnelle : un spécialiste AD security conçoit, durcit et défend l'infrastructure Active Directory d'une organisation — forêts, domaines, contrôleurs de domaine (DC), Group Policy, AD CS, LAPS, ADFS, intégration hybride Entra ID Connect. Il opère à la fois en défense (hardening, détection, incident response AD) et en offensive interne (pentest AD régulier, validation des remédiations par simulation).
Distinction avec les métiers adjacents
| Métier | Périmètre dominant | Rapport à AD |
|---|---|---|
| Spécialiste AD security | AD on-premise, AD hybride, AD CS, LAPS | Activité quasi-exclusive |
| Ingénieur IAM | Fédération, SSO, SCIM, CIAM, PAM | AD est une composante parmi d'autres |
| Ingénieur sécurité généraliste | Transverse (app, infra, réseau, cloud) | AD est un périmètre ponctuel |
| Admin AD historique | Opérations, disponibilité, GPO | Pas de focus sécurité spécifique |
| Red teamer offensif AD | Exploitation AD dans le cadre engagement | Utilise AD comme vecteur |
| Analyste SOC / DFIR | Détection et investigation | Analyse les logs AD post-incident |
2. Le modèle Tier 0/1/2 et sa modernisation
Le modèle tiering Microsoft (publié initialement dans ESAE / Red Forest 2014) sépare les administrateurs et les ressources en trois couches étanches.
| Tier | Périmètre | Exemples d'actifs |
|---|---|---|
| Tier 0 | Infrastructure d'identité critique | Domain Controllers, Entra Connect, ADFS, AD CS, PAM, HSM, coffres-forts secrets |
| Tier 1 | Serveurs applicatifs et données | Serveurs métier, bases de données, ERP, CRM, SharePoint, stockage |
| Tier 2 | Postes de travail utilisateurs | PC Windows, Mac, smartphones professionnels |
Principes d'étanchéité
- Un administrateur Tier 0 n'ouvre jamais de session sur Tier 1 ou Tier 2 (aucun logon interactif).
- Un administrateur Tier 1 n'ouvre jamais de session sur Tier 2.
- L'administration de Tier 0 se fait depuis une Privileged Access Workstation (PAW) dédiée, durcie, non-connectée Internet.
- Les comptes d'administration sont séparés des comptes utilisateurs quotidiens.
Modernisation : Privileged Access Strategy (Microsoft 2020+)
Microsoft a fait évoluer ESAE / Red Forest vers une approche plus pragmatique et cloud-aware.
- PAW restent centraux, durcis via Microsoft Secure Core Windows 11.
- Just-In-Time administration via Entra Privileged Identity Management (PIM) : aucun admin permanent, élévation temporaire sur demande approuvée.
- Conditional Access FIDO2/passkeys obligatoire sur tout compte privilégié.
- LAPS v2 (Windows LAPS, GA avril 2023) pour les administrateurs locaux avec rotation cloud-managée.
- Tier 0 cloud-first : bascule progressive de l'administration AD via Entra PIM plutôt que comptes AD admin perpétuels.
Référence structurante France : Recommandations de sécurité relatives à Active Directory publiées par l'ANSSI (version initiale 2020, mise à jour 2023) — référentiel incontournable pour tout spécialiste AD security français.
3. Les attaques Active Directory canoniques
Quatorze attaques structurent le paysage offensif AD 2026. Un spécialiste AD security senior les connaît toutes, les détecte et les remédie.
| Attaque | MITRE ATT&CK | CVE associée | Impact | Remediation clé |
|---|---|---|---|---|
| Kerberoasting | T1558.003 | — | Crack offline hash service accounts | Mots de passe 25+ caractères, AES uniquement, groupe Protected Users |
| AS-REP Roasting | T1558.004 | — | Crack offline comptes DONT_REQ_PREAUTH | Supprimer DONT_REQ_PREAUTH, audit |
| Pass-the-Hash | T1550.002 | — | Réutilisation hash NTLM | LAPS, tiering, Credential Guard, désactivation NTLMv1 |
| Pass-the-Ticket | T1550.003 | — | Réutilisation ticket Kerberos | Tiering strict, PAW, monitoring MDI |
| Golden Ticket | T1558.001 | — | Forge TGT via krbtgt hash | Double rotation krbtgt, monitoring anomalies |
| Silver Ticket | T1558.002 | — | Forge TGS service spécifique | Patch, mots de passe forts service accounts |
| DCSync | T1003.006 | — | Réplication illégitime | Audit ACLs, privilège Replicating Directory Changes |
| DCShadow | T1207 | — | Injection via faux DC | Monitoring événements 4742, MDI detection |
| ZeroLogon | T1210 | CVE-2020-1472 | RCE Domain Controller | Patch, Secure RPC enforcement |
| PrintNightmare | T1068 | CVE-2021-34527, CVE-2021-1675 | RCE via Print Spooler | Désactivation Print Spooler sur DC, patch |
| PetitPotam | T1187 | CVE-2021-44077 (MS-EFSRPC) | Relay NTLM vers AD CS | EPA sur AD CS, NTLM blocking |
| noPac | T1068 | CVE-2021-42278, CVE-2021-42287 | sAMAccountName spoofing élévation | Patch novembre 2021, monitoring 4662 |
| Certifried | T1187 | CVE-2022-26923 | AD CS certificate impersonation | Patch mai 2022, hardening templates AD CS |
| Outlook NTLM leak | T1187 | CVE-2023-23397 | Coercion NTLM via calendar | Patch mars 2023, EPA, MOTW enforcement |
Exemple de script PowerShell de hardening AD (extrait applicable en portfolio GitHub ou en onboarding AD security) :
# ad-hardening-baseline-v1.ps1
# Baseline de hardening Active Directory alignee recommandations ANSSI 2023.
# A executer depuis PAW Tier 0 avec compte Domain Admin audit.
# Portfolio AD security - exemple pedagogique reduit.
Import-Module ActiveDirectory
$baselineVersion = "v1.0.0"
$auditDate = Get-Date -Format "yyyy-MM-dd"
Write-Host "[AD Hardening Baseline $baselineVersion] demarrage $auditDate" -ForegroundColor Cyan
# 1. Protected Users group - membres proteges contre Kerberoast plus PtH
$protectedUsersTarget = @(
"domain-admins-svc",
"svc-kerberos-critical"
)
Write-Host "[1] Ajout comptes critiques dans Protected Users..." -ForegroundColor Yellow
foreach ($user in $protectedUsersTarget) {
try {
Add-ADGroupMember -Identity "Protected Users" -Members $user -ErrorAction Stop
Write-Host " Ajoute : $user" -ForegroundColor Green
} catch {
Write-Host " Echec ajout $user : $_" -ForegroundColor Red
}
}
# 2. Audit et suppression DONT_REQ_PREAUTH (AS-REP Roasting)
Write-Host "[2] Recherche comptes vulnerables AS-REP Roasting..." -ForegroundColor Yellow
$asrepVulnerable = Get-ADUser -Filter 'DoesNotRequirePreAuth -eq $true -and Enabled -eq $true' `
-Properties DoesNotRequirePreAuth |
Select-Object SamAccountName, DistinguishedName
if ($asrepVulnerable.Count -gt 0) {
Write-Host " $($asrepVulnerable.Count) comptes vulnerables detectes - a remedier" -ForegroundColor Red
$asrepVulnerable | Export-Csv -Path "C:\Audit\asrep-vulnerable-$auditDate.csv" -NoTypeInformation
} else {
Write-Host " Aucun compte vulnerable AS-REP" -ForegroundColor Green
}
# 3. Audit Service Principal Names (Kerberoasting)
Write-Host "[3] Audit SPN comptes utilisateurs (Kerberoasting)..." -ForegroundColor Yellow
$kerberoastable = Get-ADUser -Filter 'ServicePrincipalName -ne "$null" -and Enabled -eq $true' `
-Properties ServicePrincipalName, PasswordLastSet, PasswordNeverExpires |
Select-Object SamAccountName, ServicePrincipalName, PasswordLastSet, PasswordNeverExpires
$kerberoastable | Export-Csv -Path "C:\Audit\spn-accounts-$auditDate.csv" -NoTypeInformation
Write-Host " $($kerberoastable.Count) comptes SPN audites" -ForegroundColor Green
# 4. Forcer AES uniquement sur comptes service critiques (anti-Kerberoast cracking)
Write-Host "[4] Enforcement AES-only sur comptes service critiques..." -ForegroundColor Yellow
$aesTargets = @("svc-sql-prod", "svc-web-critical")
foreach ($acct in $aesTargets) {
try {
Set-ADAccountControl -Identity $acct -DES "False" -UseDESKeyOnly "False" -ErrorAction Stop
Set-ADUser -Identity $acct -KerberosEncryptionType 'AES128, AES256' -ErrorAction Stop
Write-Host " AES-only applique : $acct" -ForegroundColor Green
} catch {
Write-Host " Echec $acct : $_" -ForegroundColor Red
}
}
# 5. Audit ACLs Replicating Directory Changes (DCSync detection preventive)
Write-Host "[5] Audit ACL DCSync (Replicating Directory Changes)..." -ForegroundColor Yellow
$domainDN = (Get-ADDomain).DistinguishedName
$acl = (Get-Acl "AD:$domainDN").Access |
Where-Object { $_.ObjectType -eq "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2" } |
Select-Object IdentityReference, AccessControlType
$acl | Export-Csv -Path "C:\Audit\dcsync-acl-$auditDate.csv" -NoTypeInformation
Write-Host " $($acl.Count) entrees ACL DCSync exportees - validation manuelle requise" -ForegroundColor Green
# 6. Rotation krbtgt (sans la deuxieme passe automatique ici)
Write-Host "[6] Verification age krbtgt (rotation Golden Ticket)..." -ForegroundColor Yellow
$krbtgtAge = (Get-Date) - (Get-ADUser krbtgt -Properties PasswordLastSet).PasswordLastSet
if ($krbtgtAge.Days -gt 180) {
Write-Host " krbtgt age $($krbtgtAge.Days) jours - rotation recommandee" -ForegroundColor Red
} else {
Write-Host " krbtgt age $($krbtgtAge.Days) jours - OK" -ForegroundColor Green
}
# 7. Audit comptes Domain Admins
Write-Host "[7] Audit Domain Admins..." -ForegroundColor Yellow
$domainAdmins = Get-ADGroupMember -Identity "Domain Admins" -Recursive |
Get-ADUser -Properties LastLogonDate, PasswordLastSet |
Select-Object SamAccountName, LastLogonDate, PasswordLastSet, Enabled
$domainAdmins | Export-Csv -Path "C:\Audit\domain-admins-$auditDate.csv" -NoTypeInformation
Write-Host " $($domainAdmins.Count) Domain Admins audites" -ForegroundColor Green
Write-Host "[Baseline $baselineVersion] terminee $auditDate" -ForegroundColor CyanCe script type constitue un excellent démonstrateur de portfolio, à compléter dans un dépôt GitHub avec documentation, tests unitaires Pester et mapping explicite vers les contrôles ANSSI / CIS Microsoft AD Benchmark.
4. AD CS : vecteur d'attaque majeur depuis 2021
AD CS (Active Directory Certificate Services) est le rôle PKI de l'écosystème Microsoft, déployé pour l'authentification par certificat, VPN, Wi-Fi enterprise, SSO applicatif. La recherche SpecterOps publiée en juin 2021 (Will Schroeder et Lee Christensen, « Certified Pre-Owned ») a exposé 15+ vecteurs d'abus (ESC1 à ESC15) permettant l'élévation Domain Admin depuis un compte utilisateur de domaine ordinaire.
| Vecteur | Description | Remediation |
|---|---|---|
| ESC1 | Template permet Subject Alternative Name (SAN) impersonation | Désactiver supplied-in-request sur templates sensibles |
| ESC2 | Template Any Purpose ou SubCA utilisable par utilisateur | Restreindre Enrollment permissions |
| ESC3 | Certificat de signature enrollment agent obtenable | Restreindre template Enrollment Agent |
| ESC4 | Template avec permissions d'édition laxistes | Audit ACLs templates |
| ESC5 | Objet AD CS avec ACLs laxistes | Audit ACLs CA et objets associés |
| ESC6 | EDITF_ATTRIBUTESUBJECTALTNAME2 flag actif | Désactiver flag sur CA |
| ESC7 | Permissions Manage CA sur utilisateur low-priv | Restreindre Manage CA role |
| ESC8 | Relay NTLM vers Web Enrollment HTTP | EPA, disable HTTP, force HTTPS avec Kerberos |
| ESC9 | Aucune mapping enforcement, StrongCertificateBindingEnforcement | Enforcement full mode |
| ESC10 | Faible UPN mapping | Enforcement Certificate Mapping |
| ESC11 | Relay NTLM vers ICPR over RPC | RPC encryption mandatory |
| ESC13 | OID Group Link abuse | Audit Groupes liés à des OID |
| ESC14 | altSecurityIdentities abuse | Enforcement explicit mapping |
| ESC15 | Schema v1 to v2 certificate abuse | Patch plus enforcement |
L'outil Certipy (Oliver Lyak, 2022) automatise l'identification et l'exploitation de ces vecteurs. Un spécialiste AD security doit connaître et remédier chacun via le guide ANSSI, la checklist SpecterOps et le patch critique CVE-2022-26923 Certifried (mai 2022).
5. Stack technique du spécialiste AD security
| Catégorie | Outils principaux 2026 |
|---|---|
| Audit de posture | PingCastle (outil français gratuit, référence mondiale), Purple Knight (Semperis), BloodHound CE/Enterprise (SpecterOps), Adalanche, AD Control Paths (ANSSI) |
| Protection avancée | Microsoft Defender for Identity (MDI, ex-Azure ATP), Tenable Identity Exposure (ex-Alsid), Semperis Directory Services Protector, Netwrix StealthAUDIT |
| Monitoring SIEM | Splunk Enterprise Security avec TA AD, Microsoft Sentinel avec MDI connector, Elastic Security with Elastic Agent Windows logs |
| Sysmon endpoint | Sysmon avec config SwiftOnSecurity ou Olaf Hartong, Sysmon-Modular |
| Gestion des mots de passe locaux | LAPS v2 (Windows LAPS, GA avril 2023) pour tous serveurs et postes |
| PAM AD | CyberArk PAM with AAM, Delinea Secret Server, HashiCorp Boundary avec AD integration |
| Offensive AD (validation) | BloodHound CE, Rusthound, SharpHound, Rubeus, Impacket (secretsdump, psexec, GetUserSPNs, GetNPUsers), CrackMapExec, NetExec, Certipy, Invoke-ADCSHunter |
| Benchmark | CIS Microsoft Windows Server Benchmark, CIS AD Benchmark, STIG Microsoft Windows |
| Référentiels | ANSSI - Recommandations AD (2023), Microsoft Privileged Access Strategy, Microsoft AD Security Best Practices |
| Communauté FR | CERT-FR bulletins, InterCERT-FR, ADSecurity (Sean Metcalf blog), HarmJ0y blog, SpecterOps research |
Stack junior réaliste 2026 (montable en lab personnel) : GOAD (Game of Active Directory, Mayfly277) plus PingCastle gratuit plus BloodHound CE plus Sysmon plus Splunk Free. Exécution des 14 attaques canoniques en mode lab, remédiation, validation. Production d'un portfolio avec audit PingCastle avant/après remédiation.
6. AD hybride et Entra ID Connect
Entra ID Connect (ex-Azure AD Connect) est le composant qui synchronise les identités AD on-premise vers Entra ID cloud. Il est à la fois critique business (authentification SSO hybride) et surface d'attaque critique — compromission d'Entra Connect égale compromission des tenants Entra ID.
Points de vigilance clés en 2026
- Entra Connect Server est Tier 0 de fait (équivalent DC en sensibilité).
- Utilisation de Password Hash Synchronization (PHS), Pass-Through Authentication (PTA) ou federation ADFS — chacun avec ses vecteurs d'attaque spécifiques.
- Attaques récentes : Golden SAML (ADFS), MFA bypass via Primary Refresh Token, Seamless SSO silver ticket, Entra Connect MSOL account abuse via DCSync.
- Surveillance Microsoft Defender for Identity (MDI) qui détecte nativement la majorité des attaques AD hybride.
- Pass-the-PRT (Primary Refresh Token) : vecteur AD hybride documenté par Dirk-jan Mollema (Dirkjanm), mitigé par PAW plus Device Compliance.
AD CS et hybride : connexion AD CS vers Entra ID via certificate-based authentication exige hardening supplémentaire (OCSP enforcement, certificate revocation timely).
7. Contexte français : expertise reconnue mondialement
La France abrite une expertise mondiale reconnue sur AD security. Trois piliers structurent cet écosystème.
1. Outils français de référence
- PingCastle (développé par Vincent Le Toux) : outil d'audit AD le plus utilisé au monde, gratuit en version communautaire. Scan et notation en quelques minutes, mapping de toutes les faiblesses connues, recommandations priorisées.
- Tenable Identity Exposure (ex-Alsid, startup française fondée en 2016, acquise par Tenable en avril 2021 pour 98 M $) : plateforme SaaS de détection continue des compromissions AD.
- AD Control Paths (ANSSI) : outil open-source de cartographie des chemins de contrôle sur AD, maintenu par l'ANSSI.
2. Recherche française active
- ANSSI : publication du guide de sécurisation AD (2020, mis à jour 2023), certification PASSI pour les audits.
- Orange Cyberdefense : équipe audit AD dense, contributions publiques, CERT reconnu.
- Synacktiv : recherche AD offensive, publications techniques régulières (blog, conférences).
- Airbus CyberSecurity, Thales Red Team, Advens, Digitemis, Intrinsec : pratiques AD matures.
3. Communauté FR active
- Conférences : LeHack, SSTIC, BlueHat Paris, FIC.
- Blogs et write-ups : ADSecurity (Sean Metcalf), Synacktiv, Orange Cyberdefense research.
8. Profil type et certifications
Profils d'entrée les plus compatibles
| Profil initial | Durée de bascule AD security | Prérequis clés |
|---|---|---|
| Admin AD senior avec appétence sécurité | 6-12 mois | GPO, PowerShell, Kerberos déjà maîtrisés |
| Ingénieur IAM bifurquant AD-centric | 6-9 mois | Identity background, à spécialiser AD profond |
| Pentester avec expertise AD (CRTP+) | 9-12 mois (bascule côté défense) | BloodHound, Rubeus, offensive connu |
| Ingénieur infrastructure sécurité | 9-12 mois | Hardening OS, réseau, à spécialiser AD |
| Analyste SOC confirmé L2/L3 | 12-18 mois | Investigation AD logs, à construire build side |
Certifications par palier
| Palier | Certification | Éditeur | Coût examen indicatif |
|---|---|---|---|
| Socle sécurité | CompTIA Security+ plus CysSA+ | CompTIA | ≈ 400 € plus 380 $ |
| AD offensive hands-on | CRTP (Certified Red Team Professional) | Altered Security | ≈ 249 $ |
| AD avancé | CRTE (Certified Red Team Expert) | Altered Security | ≈ 399 $ |
| AD CS specialisée | PACES (Protecting Active Directory plus Certificate Services) | Altered Security | ≈ 249 $ |
| Microsoft défensif | SC-300 Identity and Access Administrator Associate | Microsoft | ≈ 165 $ |
| Microsoft défensif | SC-200 Security Operations Analyst (avec MDI) | Microsoft | ≈ 165 $ |
| Socle senior | CISSP avec focus domaine 5 IAM | (ISC)² | ≈ 749 $ |
| Socle senior alternatif | CISM | ISACA | ≈ 760 $ |
Combinaison marché France 2026 : Security+ plus SC-300 plus CRTP puis CRTE. Portfolio incluant lab GOAD exploité, audit PingCastle before/after, remédiation des 14 attaques canoniques, blog post ou write-up public.
9. Salaires et trajectoire
| Niveau | Ancienneté AD security | Province (brut annuel) | Île-de-France (brut annuel) |
|---|---|---|---|
| Spécialiste AD security junior | 0-2 ans | 48-62 k€ | 52-70 k€ |
| Spécialiste AD security confirmé | 2-5 ans | 62-82 k€ | 68-90 k€ |
| Spécialiste AD security senior | 5-8 ans | 82-105 k€ | 88-115 k€ |
| Lead AD security / Principal infra security | 8+ ans | 105-135 k€ | 115-150 k€ |
| Freelance AD security senior | 7+ ans | TJM 800-1 300 € | TJM 800-1 300 € |
Sources indicatives : Apec Cadres Cybersécurité 2023-2024, Numeum, observatoires LinkedIn France. Secteurs payeurs : banque, assurance, industrie (Thales, Airbus, Safran, Dassault), secteur public (ministères, AP-HP, CHU), télécom (Orange, SFR, Bouygues Telecom), retail avec forêt AD complexe (Carrefour, Auchan, Decathlon). Les cabinets spécialisés AD (Orange Cyberdefense, Synacktiv, Advens, Digitemis) tirent la fourchette haute.
Bifurcations possibles
- Lead AD security ou Head of Infrastructure Security : management de 3-10 ingénieurs.
- Ingénieur IAM senior : élargissement périmètre vers cloud identity (Okta, Entra ID pur, CIAM).
- Red teamer AD specialist : bascule offensive, valorisée grâce à la double compétence.
- Consultant indépendant AD security : TJM 800-1 300 €, forte demande 2024-2026.
- Contribuer à un outil open-source AD : PingCastle, BloodHound, Adalanche, GOAD.
- Research AD security : rejoindre SpecterOps (US), Synacktiv ou Orange Cyberdefense (FR), publier des recherches.
- Trajectoire RSSI : via expertise technique AD, bascule management. Voir Les étapes pour devenir RSSI.
10. Pour aller plus loin
- Panorama des métiers de la cybersécurité : guide complet.
- Qu'est-ce qu'un ingénieur IAM : rôle plus large où AD est un sous-domaine.
- Qu'est-ce qu'un ingénieur sécurité : rôle transverse dont AD est une spécialisation.
- Qu'est-ce qu'un red teamer : AD est souvent la voie royale d'un engagement red team.
- Qu'est-ce qu'un analyste SOC : détection des attaques AD en production.
- Qu'est-ce qu'un forensic analyst : investigation post-compromission AD.
Points clés à retenir
- Spécialiste AD security = spécialisation infrastructure d'identité on-premise et hybride, distincte de l'IAM engineer (plus large) et de l'infra engineer (plus généraliste).
- AD reste dominant dans 80-90 % des entreprises françaises en 2026. Compromission AD = compromission totale du SI.
- Modèle Tier 0/1/2 historique, modernisé par Privileged Access Strategy Microsoft (PAW, Entra PIM JIT, LAPS v2, Conditional Access FIDO2).
- 14 attaques canoniques à maîtriser : Kerberoasting, AS-REP Roasting, PtH, PtT, Golden/Silver Ticket, DCSync, DCShadow, ZeroLogon, PrintNightmare, PetitPotam, noPac, Certifried, Outlook NTLM leak.
- AD CS : 15+ vecteurs d'abus (ESC1-ESC15) exposés par SpecterOps en 2021. Patch CVE-2022-26923 Certifried plus hardening templates.
- Stack cœur FR 2026 : PingCastle (français référence mondiale), BloodHound, Microsoft Defender for Identity, Tenable Identity Exposure (ex-Alsid), Semperis DSP.
- Référentiels : ANSSI Recommandations AD (2023), Microsoft Privileged Access Strategy, CIS Microsoft AD Benchmark, STIG.
- Salaires : 48-70 k€ junior, 88-115 k€ senior, 115-150 k€ Lead. Cabinets FR spécialisés payeurs (Orange Cyberdefense, Synacktiv, Advens, Digitemis).
- Expertise française reconnue mondialement : PingCastle (Vincent Le Toux), Tenable Identity Exposure (ex-Alsid), ANSSI, Orange Cyberdefense, Synacktiv.
L'accompagnement cyber 6 mois propose un cursus AD security avec préparation CRTP plus SC-300 intégrée, lab GOAD complet avec exécution des 14 attaques canoniques, audit PingCastle before/after, remédiation selon guide ANSSI, déploiement LAPS v2 et MDI, et coaching d'entretien grands groupes et cabinets spécialisés AD.
