đź“– Glossaire Interactif

Tous les termes du modèle de tiering expliqués

A

Active Directory AD
Service d'annuaire développé par Microsoft permettant de centraliser la gestion des ressources réseau (utilisateurs, ordinateurs, groupes, etc.) dans un environnement Windows. Il fournit les services d'authentification et d'autorisation pour l'ensemble du domaine.
Exemple : Dans une entreprise, Active Directory stocke tous les comptes utilisateurs et définit qui peut accéder à quelles ressources.
Voir aussi : ContrĂ´leur de Domaine, ForĂŞt, Domaine
Attack Path (Chemin d'Attaque)
Séquence de relations, permissions ou vulnérabilités qu'un attaquant peut exploiter pour progresser depuis un point d'entrée initial vers une cible privilégiée (généralement le Tier 0). Les outils comme BloodHound permettent de visualiser ces chemins.
Exemple : Un compte utilisateur Tier 2 → membre du groupe "Admins Serveurs" → ayant des droits sur un serveur Tier 1 → où un administrateur Tier 0 s'est connecté = chemin d'attaque vers Tier 0.
Voir aussi : BloodHound, Mouvement Latéral
Authentication Silo (Silo d'Authentification)
Fonctionnalité de Windows Server permettant de restreindre où et comment les comptes privilégiés peuvent s'authentifier. Un silo définit quels comptes peuvent accéder à quels systèmes, empêchant l'utilisation de comptes Tier 0 sur des systèmes de niveau inférieur.
Exemple : Un silo "Tier0-DomainAdmins" autorise les comptes Domain Admins Ă  s'authentifier uniquement sur les contrĂ´leurs de domaine et les PAW Tier 0.
Voir aussi : Tier 0, PAW

B

BloodHound
Outil d'audit Active Directory utilisant la théorie des graphes pour identifier les chemins d'attaque. Il collecte les relations entre objets AD (appartenances, délégations, sessions) et les visualise pour révéler comment un attaquant pourrait compromettre les comptes privilégiés.
Exemple : BloodHound peut révéler qu'un compte utilisateur standard a un chemin indirect vers Domain Admin via 5 sauts de délégations et appartenances de groupes.
Voir aussi : Chemin d'Attaque, SharpHound
Break-Glass Account (Compte Bris de Glace)
Compte d'urgence hautement privilégié stocké de manière sécurisée et utilisé uniquement en cas de situation exceptionnelle (perte d'accès à tous les comptes normaux, défaillance MFA, etc.). Son utilisation déclenche des alertes immédiates.
Exemple : Mot de passe ultra-complexe stocké dans un coffre-fort physique scellé, utilisable uniquement si tous les comptes Domain Admin sont verrouillés.
Voir aussi : Tier 0, Procédures d'Urgence

C

Credential Guard
Technologie de sécurité Windows qui utilise la virtualisation (Virtual Secure Mode) pour isoler les secrets d'authentification (hashes, tickets Kerberos) dans un environnement protégé, les rendant inaccessibles même si le système est compromis. Protection contre Pass-the-Hash et Pass-the-Ticket.
Exemple : Même si un malware compromet LSASS.exe, il ne peut pas extraire les credentials car ils sont isolés dans le Trustlet VSM.
Voir aussi : VSM, Pass-the-Hash, Remote Credential Guard
Control Path (Chemin de ContrĂ´le)
Relation ou ensemble de relations permettant à un objet (utilisateur, groupe, système) d'exercer un contrôle administratif sur un autre objet. Exemple : appartenance à un groupe, délégation de droits, propriété d'objet AD.
Exemple : Un utilisateur membre du groupe "Server Operators" a un chemin de contrĂ´le vers tous les serveurs du domaine.
Voir aussi : Délégation, Chemin d'Attaque

D

DCSync
Technique d'attaque qui exploite les permissions de réplication AD pour extraire les hashes de mots de passe de tous les comptes du domaine sans avoir besoin d'accéder directement au contrôleur de domaine. Requiert les privilèges "Replicating Directory Changes" et "Replicating Directory Changes All".
Exemple : Un attaquant avec ces permissions peut exécuter mimikatz "lsadump::dcsync /domain:contoso.com /user:Administrator" pour obtenir le hash de n'importe quel compte.
Voir aussi : Pass-the-Hash, Golden Ticket
Domain Admin (Administrateur de Domaine)
Membre du groupe "Domain Admins", disposant de privilèges administratifs complets sur tous les systèmes membres du domaine Active Directory. Ce groupe fait partie du Tier 0 et doit être strictement contrôlé.
Exemple : Un compte Domain Admin peut administrer tous les serveurs et postes du domaine, modifier Active Directory, et créer de nouveaux comptes privilégiés.
Voir aussi : Tier 0, Enterprise Admin

E

EDR Endpoint Detection and Response
Solution de sécurité avancée pour les endpoints (postes, serveurs) qui surveille en continu les comportements suspects, détecte les menaces, et permet une réponse automatisée ou guidée aux incidents. Va au-delà de l'antivirus traditionnel.
Exemple : L'EDR détecte une tentative de dump LSASS.exe, bloque l'action, isole le poste compromis et alerte l'équipe sécurité.
Voir aussi : SIEM, SOAR
Enterprise Admin
Groupe de sécurité au niveau de la forêt Active Directory disposant de privilèges administratifs sur tous les domaines de la forêt. Utilisé uniquement pour des opérations exceptionnelles au niveau forêt. Doit rester vide en temps normal.
Exemple : Ajout d'un nouveau domaine à la forêt, modification du schéma AD, gestion des relations d'approbation entre domaines.
Voir aussi : ForĂŞt, Tier 0, Domain Admin

G

Golden Ticket
Technique d'attaque sophistiquée où l'attaquant forge un ticket TGT Kerberos en utilisant le hash du compte krbtgt. Ce ticket permet de s'authentifier en tant que n'importe quel utilisateur du domaine, y compris des comptes inexistants, pendant une longue durée.
Exemple : Après avoir obtenu le hash krbtgt via DCSync, l'attaquant crée un Golden Ticket valable 10 ans pour le compte "Administrator" et maintient ainsi une persistance même après changement des mots de passe.
Voir aussi : DCSync, Kerberos, Silver Ticket
GPO Group Policy Object
Objet Active Directory contenant un ensemble de paramètres de configuration qui peuvent être appliqués à des utilisateurs ou ordinateurs. Les GPO permettent de centraliser la gestion de la sécurité, des restrictions et des configurations.
Exemple : Une GPO Tier 0 peut imposer des mots de passe de 20 caractères minimum, activer Credential Guard, et bloquer l'exécution de tous les programmes non signés.
Voir aussi : OU, Durcissement

K

Kerberos
Protocole d'authentification réseau utilisant des tickets temporaires pour sécuriser l'authentification sans transmettre de mots de passe sur le réseau. Protocole par défaut et recommandé pour Active Directory, plus sécurisé que NTLM.
Exemple : Un utilisateur s'authentifie et reçoit un TGT (Ticket Granting Ticket), qu'il utilise ensuite pour obtenir des TGS (Ticket Granting Service) pour accéder à différentes ressources sans ressaisir son mot de passe.
Voir aussi : NTLM, Golden Ticket, Kerberoasting
Kerberoasting
Technique d'attaque oĂą l'attaquant demande des tickets de service Kerberos (TGS) pour des comptes de service, puis tente de craquer offline les hashes contenus dans ces tickets pour obtenir les mots de passe des comptes de service.
Exemple : Un attaquant avec un compte utilisateur standard peut demander un TGS pour tous les SPN du domaine, puis utiliser hashcat pour craquer les hashes des comptes de service ayant des mots de passe faibles.
Voir aussi : SPN, gMSA, Kerberos

L

LAPS Local Administrator Password Solution
Solution gratuite Microsoft qui gère automatiquement les mots de passe des comptes administrateurs locaux. LAPS génère un mot de passe unique et complexe pour chaque machine, le stocke dans AD, et le rotate régulièrement. Empêche les attaques Pass-the-Hash latérales.
Exemple : Au lieu d'avoir le même mot de passe "Admin123" sur tous les postes, LAPS génère "Rp9#mK2vL5@qN8" pour PC-001, "qL7$nV4wP2@tM6" pour PC-002, etc., et les change tous les 30 jours.
Voir aussi : Pass-the-Hash, Mouvement Latéral

P

PAW Privileged Access Workstation
Poste de travail durci et isolé, dédié exclusivement à l'administration des ressources privilégiées. Un PAW Tier 0 n'a pas d'accès Internet, pas d'email, et ne peut être utilisé que pour administrer le Tier 0. Protège contre le vol de credentials.
Exemple : Un administrateur utilise son PC normal pour l'email et Internet (Tier 2), puis se connecte physiquement à un PAW Tier 0 isolé pour administrer les contrôleurs de domaine.
Voir aussi : Tier 0, Jump Server, Credential Guard
Pass-the-Hash (PtH)
Technique d'attaque où l'attaquant vole le hash NTLM d'un mot de passe (sans connaître le mot de passe en clair) et l'utilise directement pour s'authentifier sur d'autres systèmes. Particulièrement efficace si le même compte local admin existe sur plusieurs machines avec le même mot de passe.
Exemple : L'attaquant compromet PC-001, extrait le hash du compte administrateur local, puis utilise ce hash pour s'authentifier sur PC-002, PC-003, etc., sans jamais connaître le mot de passe.
Voir aussi : LAPS, Credential Guard, NTLM
Protected Users Group
Groupe de sécurité introduit dans Windows Server 2012 R2 qui applique automatiquement des restrictions de sécurité renforcées à ses membres : blocage NTLM, tickets Kerberos limités à 4h, impossibilité de délégation Kerberos, pas de cache des credentials.
Exemple : Un compte Domain Admin ajouté au groupe Protected Users ne pourra plus s'authentifier via NTLM et ses tickets Kerberos expireront après 4 heures maximum.
Voir aussi : Tier 0, Kerberos, NTLM

S

SIEM Security Information and Event Management
Plateforme centralisée qui collecte, corrèle et analyse les logs de sécurité de toutes les sources (serveurs, pare-feu, AD, endpoints). Permet de détecter les anomalies, les violations du tiering, et les attaques en temps réel.
Exemple : Le SIEM détecte qu'un compte Tier 0 s'est authentifié sur un poste Tier 2, corrèle avec d'autres événements suspects, et génère une alerte critique automatique.
Voir aussi : EDR, SOAR
SOAR Security Orchestration, Automation and Response
Plateforme qui automatise la réponse aux incidents de sécurité via des playbooks prédéfinis. Peut enrichir automatiquement les alertes, isoler des systèmes, désactiver des comptes, et orchestrer des actions complexes sans intervention humaine.
Exemple : Détection d'un compte Tier 0 compromis → playbook SOAR désactive automatiquement le compte, isole les systèmes accédés, collecte les forensics, et notifie le RSSI par SMS.
Voir aussi : SIEM, RĂ©ponse aux Incidents

T

Tier 0
Niveau le plus sensible du modèle de tiering, comprenant toutes les ressources ayant un contrôle administratif direct sur Active Directory : contrôleurs de domaine, comptes Domain/Enterprise Admins, PAW Tier 0, et infrastructures support critiques (hyperviseurs hébergeant les DC, etc.).
Exemple : Contrôleurs de domaine DC01 et DC02, comptes Domain Admins, PAW Tier 0, serveurs de PKI, systèmes de sauvegarde des DC.
Voir aussi : Tier 1, Tier 2, Modèle de Tiering
Tier 1
Niveau intermédiaire comprenant les serveurs applicatifs et d'infrastructure qui hébergent les services métier de l'organisation : serveurs de bases de données, serveurs d'applications, serveurs de fichiers, Exchange, etc.
Exemple : Serveurs SQL hébergeant l'ERP, serveurs Exchange, serveurs de fichiers métier, serveurs d'applications web internes.
Voir aussi : Tier 0, Tier 2, Jump Server
Tier 2
Niveau comprenant les postes de travail des utilisateurs finaux et les ressources auxquelles ils accèdent quotidiennement. Point d'entrée le plus exposé aux attaques (phishing, malware, etc.) mais sans privilèges sur les niveaux supérieurs.
Exemple : PC des employés, laptops, stations de travail, tablettes professionnelles.
Voir aussi : Tier 0, Tier 1, EDR
Tiering Model (Modèle de Tiering)
Modèle de sécurité qui segmente les ressources IT en trois niveaux hiérarchiques (Tier 0, 1, 2) basés sur leur criticité et leur exposition. Principe fondamental : aucun secret d'un tier ne doit être accessible depuis un tier de niveau inférieur.
Exemple : Un administrateur Tier 0 n'utilise JAMAIS ses credentials Tier 0 pour se connecter Ă  un serveur Tier 1 ou un poste Tier 2.
Voir aussi : Tier 0, Tier 1, Tier 2