Expert Cybersécurité & IA
Logo Ayi NEDJIMI Consultants
Guides Gratuits Livres Blancs Blog Formations News
Active Directory Infrastructure Cloud Kubernetes Microsoft 365 Virtualisation Forensics Solutions IA
Cybersécurité
Golden Ticket DCSync Kerberoasting AS-REP Roasting Pass-the-Hash Pass-the-Ticket Skeleton Key DCShadow Silver Ticket AD CS / Certificats AdminSDHolder ACL Abuse NTFS/MFT Tampering SIDHistory Injection RBCD Abuse GPO Abuse AD FS / SAML Forest Trust Abuse Password Filter DLL Computer Account Takeover
Articles IA
Guides Gratuits Livres Blancs Blog Formations News
Retour au Guide
Retour au Guide

Checklist de Mise en Place du Modèle de Tiering

Roadmap de Déploiement du Tiering 1 Préparation Mois 1-3 2 Tier 0 Mois 4-9 3 Tier 1 Mois 10-15 4 Tier 2 Mois 16-21 📋 🔐 🖥️ 👥 Durée totale estimée : 18-24 mois © Ayi NEDJIMI Consultants www.ayinedjimi-consultants.fr

💡 Comment utiliser cette checklist ?

Cette checklist vous accompagne tout au long de votre projet de déploiement du modèle de tiering. Cochez les éléments au fur et à mesure de leur réalisation pour suivre votre progression. Les éléments sont organisés par phase chronologique et par priorité.

🚀 Phase 1 : Préparation et Audit Initial (Mois 1-3)
Présenter le projet, les risques adressés, le budget et le planning au CODIR/COMEX
Chef de projet, experts sécurité, administrateurs systèmes, représentants métiers
Utiliser BloodHound, PingCastle ou Purple Knight pour identifier les chemins d'attaque
Tous les serveurs, postes de travail, comptes, groupes privilégiés, applications
Déterminer quel tier pour chaque ressource selon sa criticité
DC, serveurs PKI, systèmes de backup AD, serveurs d'administration, etc.
Convention de nommage pour les comptes admin (ex: T0-Admin-NomPrenom)
Planning, ressources, budgets, jalons, risques, plan de communication
PAW, Jump Servers, solutions SIEM/EDR, prestations d'audit, formation
Reproduire l'environnement de production pour tester les configurations
🔐 Phase 2 : Implémentation du Tier 0 (Mois 4-9)

A. Structure Active Directory

Organiser les objets Tier 0 dans une structure OU dédiée et protégée
Appliquer les baselines de sécurité Microsoft, désactiver services inutiles
Minimum Windows Server 2012 R2 pour Protected Users et silos d'authentification

B. Comptes et Groupes Privilégiés

Un compte dédié par administrateur, nomenclature cohérente
Protection renforcée contre le vol de credentials
Retirer tous les comptes inutiles, viser zéro membre permanent
2 comptes d'urgence avec mots de passe complexes en coffre-fort physique
Utiliser gMSA ou MSA, interdire logon interactif via GPO

C. PAW (Privileged Access Workstations)

Postes dédiés, durcis, jamais utilisés pour autre chose que l'admin Tier 0
GPO restrictives, AppLocker/WDAC, Credential Guard, Device Guard
Solution de détection et réponse aux menaces sur endpoints
Protection matérielle des credentials contre le vol
Seuls les comptes admin Tier 0 peuvent se connecter aux PAW Tier 0

D. Authentification et Protocoles

Configurer via GPO, auditer avant application
Smartcard, Windows Hello for Business, ou autre MFA forte
Restreindre où les comptes Tier 0 peuvent s'authentifier
Contrôles d'accès dynamiques basés sur le contexte

E. Segmentation et Réseau

Isolation réseau physique/logique des ressources Tier 0
Bloquer tout flux non autorisé depuis Tier 1/2 vers Tier 0
Autoriser uniquement les flux nécessaires, bloquer le reste par défaut

F. Gestion des Mots de Passe et Secrets

Gestion automatisée des mots de passe admin locaux sur tous les systèmes
Longueur minimale 15+ caractères, complexité élevée, rotation régulière
Coffre-fort pour secrets, élévation just-in-time, enregistrement sessions

G. Surveillance et Journalisation

Auditer tous les changements, connexions, élévations de privilèges
Centralisation et analyse des logs, alertes temps réel
Alertes sur connexions inter-tiers, modifications groupes privilégiés, etc.
Minimum 1 an, idéalement 2-3 ans pour investigation et conformité

H. Documentation et Formation

Diagrammes réseau, liste ressources, comptes, GPO, procédures
Mode opératoire pour toutes les tâches courantes et d'urgence
Formation théorique et pratique sur le modèle, les outils, les procédures
🖥️ Phase 3 : Implémentation du Tier 1 (Mois 10-15)
Structure organisationnelle pour les ressources Tier 1
Comptes dédiés pour l'administration des serveurs applicatifs
Bastions d'administration pour accéder aux serveurs Tier 1
Politiques de sécurité adaptées au niveau Tier 1
Gestion automatisée des mots de passe admin locaux
Isolation réseau des serveurs applicatifs
Empêcher les comptes Tier 1 de s'authentifier sur Tier 0
Protection des serveurs applicatifs
Collecte logs, alertes sur activités suspectes
Procédures d'administration via Jump Servers
👥 Phase 4 : Implémentation du Tier 2 (Mois 16-21)
Structure pour les postes de travail
Gestion et sécurisation des postes de travail
Gestion des mots de passe admin locaux
GPO de durcissement pour postes utilisateurs
Protection endpoint obligatoire
Les comptes utilisateurs ne peuvent administrer que Tier 2
Whitelist des applications autorisées
Collecte logs essentiels, détection anomalies
Formation sécurité, phishing, bonnes pratiques
♻️ Phase 5 : Maintien en Condition de Sécurité (Continu)
Vérifier qu'aucun chemin d'attaque vers Tier 0 n'existe
Validation impact tiering pour tout changement
Vérifier nécessité et activité de chaque compte
Tier 0: ultra-prudent, Tier 2: automatisé
Red team pour tester l'efficacité du tiering
Mise à jour compétences, nouvelles menaces
Chemins d'attaque, violations, temps détection, conformité
Maintenir à jour schémas, procédures, inventaires
Nouvelles menaces AD, nouvelles contre-mesures, évolutions Microsoft
Exercices de crise, simulation compromission Tier 0

Prérequis Techniques et Organisationnels

Catégorie Prérequis Priorité
Infrastructure Niveau fonctionnel AD: Windows Server 2012 R2 minimum Critique
Infrastructure Contrôleurs de domaine à jour (patches sécurité) Critique
Matériel PAW dédiés pour administrateurs Tier 0 (1 par admin) Critique
Matériel Jump Servers pour Tier 1 (2+ pour redondance) Haute
Logiciel Solution SIEM (Splunk, Elastic, Sentinel, etc.) Critique
Logiciel Solution EDR (Defender ATP, CrowdStrike, etc.) Critique
Logiciel LAPS (Local Administrator Password Solution) Critique
Logiciel Solution MDM (Intune, SCCM, Workspace ONE) Haute
Logiciel Solution PAM optionnelle (CyberArk, Thycotic, etc.) Moyenne
Ressources Humaines Chef de projet dédié (0.5-1 ETP) Critique
Ressources Humaines Experts sécurité disponibles (1-2 personnes) Critique
Ressources Humaines Disponibilité équipes admin (formation, mise en œuvre) Haute
Budget 100K€ - 500K€ pour PME (50-500 utilisateurs) Critique
Budget 500K€ - 2M€ pour ETI/GE (500+ utilisateurs) Critique
Organisationnel Soutien direction générale explicite Critique
Organisationnel Acceptation changement par les équipes IT Haute

⚠️ Points d'Attention Critiques

  • Ne jamais utiliser un compte Tier 0 sur un système Tier 1 ou 2 - Cela annule le cloisonnement
  • Privilégier une approche progressive - Commencer par Tier 0, valider, puis étendre
  • Tester en lab avant production - Éviter les surprises en production
  • Ne pas sous-estimer la résistance au changement - Communication et formation sont essentielles
  • Prévoir un plan B pour chaque étape critique - Rollback doit être possible

✅ Critères de Succès du Projet

  • Zéro chemin d'attaque critique vers le Tier 0 (validé par BloodHound)
  • 100% des comptes admin utilisent des comptes dédiés par tier
  • 100% des connexions admin Tier 0 se font via PAW uniquement
  • Détection automatisée de toute tentative de violation inter-tiers
  • Conformité >98% aux baselines de sécurité par tier
  • Temps moyen de détection d'incident <1h
  • Zéro incident de compromission totale AD post-tiering