Formations Équipe Paris Contact
Demander un devis
Accueil / Formations / Active Directory & Sécurité

// formation — 5 jours

Formation Active Directory
Sécurité & Pentest

Maîtrisez l'audit et le durcissement d'environnements Active Directory. De l'architecture aux attaques avancées (Kerberoasting, DCSync, Pass-the-Hash), en passant par la détection et la remédiation. Labs sur environnement Windows Server réel, scénarios inspirés d'incidents PASSI.

5 jours Labs inclus Présentiel & distanciel Paris · Île-de-France · France Intra ou inter-entreprise
Demander un devis → Voir le programme

// objectifs pédagogiques

À l'issue de cette formation,
vous saurez…

Comprendre l'architecture Active Directory : domaines, forêts, trusts, délégations et objets de stratégie de groupe

Maîtriser les protocoles d'authentification Kerberos, NTLM et LDAP et identifier leurs failles classiques

Réaliser un audit AD offensif avec BloodHound, PowerView et les outils de l'Impacket suite

Conduire les attaques de référence : Pass-the-Hash, Pass-the-Ticket, Kerberoasting, AS-REP Roasting, DCSync

Détecter les compromissions via les logs Windows Event et Sysmon, et construire des règles de détection

Appliquer le tiering model, LAPS et les PAW pour durcir l'infrastructure AD conformément aux recommandations ANSSI

// programme détaillé

5 jours, de l'architecture
à la remédiation.

1
Architecture & fondamentaux AD
Domaines, forêts, protocoles, objets
+
  • Architecture AD : domaines, forêts, arbres, trusts — comprendre les limites de confiance
  • Objets AD : utilisateurs, groupes, ordinateurs, GPO, OU, délégations
  • Protocoles : Kerberos (AS-REQ/TGS), NTLM (challenge/response), LDAP et LDAPS
  • Outils d'énumération passive : LDAP queries, PowerView, ldapdomaindump
  • TP : cartographie complète d'un domaine AD de lab
PowerView ldapdomaindump AD Explorer Wireshark
2
Énumération offensive & BloodHound
Cartographie des chemins d'attaque
+
  • BloodHound : collecte SharpHound, analyse des chemins vers Domain Admin
  • ACL abuses : GenericAll, WriteDACL, ForceChangePassword, AllExtendedRights
  • Kerberoasting : extraction de tickets de service et craquage offline
  • AS-REP Roasting : identification des comptes sans pré-authentification
  • TP : trouver le chemin le plus court vers DA dans un lab réaliste
BloodHound SharpHound Impacket Hashcat Rubeus
3
Attaques avancées — Lateral Movement & Privilege Escalation
Pass-the-Hash, DCSync, Golden/Silver Tickets
+
  • Pass-the-Hash et Pass-the-Ticket : déplacement latéral sans mot de passe en clair
  • Overpass-the-Hash (Pass-the-Key) et RC4 downgrade
  • DCSync : extraction des secrets du domaine via DRS protocol
  • Golden Ticket & Silver Ticket : persistence post-compromission
  • Skeleton Key & DSRM abuse
  • TP : scénario complet — d'un compte utilisateur à Domain Admin
Mimikatz CrackMapExec Impacket secretsdump Rubeus
4
Détection & Réponse à incident AD
Blue team, logs Windows, Sysmon
+
  • Windows Event Logs essentiels : 4625, 4624, 4648, 4672, 4769, 4776, 4768
  • Sysmon : configuration avancée, règles de détection ciblées AD
  • Détection Kerberoasting, Pass-the-Hash et DCSync via logs
  • Purple Team exercise : attaque en live, détection en temps réel
  • TP : construire un dashboard de détection AD avec les logs générés en J1-J3
Sysmon Windows Event Viewer Splunk / Elastic (optionnel) Sigma rules
5
Durcissement & Feuille de route ANSSI
Tiering model, LAPS, PAW, remédiation
+
  • Modèle de tiering ANSSI (Tier 0/1/2) : segmentation des comptes et postes
  • LAPS (Local Administrator Password Solution) : déploiement et audit
  • PAW (Privileged Access Workstation) : architecture et contraintes opérationnelles
  • GPO de durcissement : LSASS protection, Credential Guard, Windows Defender
  • Gestion de crise AD : procédure de reset post-compromission
  • TP final : audit de configuration + livrable feuille de route priorisée
LAPS Microsoft Security Baselines PingCastle Purple Knight

// public cible

Cette formation s'adresse à…

🛡️

Administrateurs systèmes

Gérant un ou plusieurs domaines AD en production

🔍

Auditeurs et pentesters

Souhaitant maîtriser l'audit offensif d'environnements AD

🚨

Analystes SOC / CSIRT

Voulant détecter les attaques AD en temps réel

🏛️

RSSI & responsables sécurité

Devant piloter la remédiation post-compromission

Prérequis : Administration Windows Server, notions réseau TCP/IP, bases des objets AD. Aucune expérience offensive requise pour le niveau standard — le formateur adapte le rythme au groupe.

// votre formateur

Un praticien, pas un académicien.

Anthony Baube — Auditeur PASSI et formateur Active Directory
Anthony Baube
Expert Cybersécurité — Auditeur PASSI & Formateur

10 ans chez Sysdream, ex-responsable technique CoESSI. Auditeur PASSI qualifié ANSSI sur 4 portées (test d'intrusion, audit de configuration, audit d'architecture, responsable d'audit). A conduit des tests d'intrusion Active Directory dans plus de 25 pays pour des grands comptes bancaires, industriels et ministères français. Ses scénarios de formation sont directement inspirés d'incidents réels documentés lors de ses missions PASSI.

PASSI ANSSI GSNA (SANS) ECSA CEH EBIOS RM CVE-2018-10093
★ 9,8/10 — noté par ses apprenants (Cegos)

// retours apprenants

Ce qu'ils en disent.

"

Le formateur maîtrise son sujet, toujours avec arguments à portée de tous — nombreux accompagnements et démonstrations. Les informations les plus complexes ont été vulgarisées au maximum.

Michel C. · Cegos SE104 · 10/10
"

Expert sur son sujet, s'adapte aux différentes questions. Très bonne pédagogie, toujours avec des explications et des exemples clairs.

Tanguy C. · Cegos SE104 · 10/10
"

Merci à Cédric pour sa sympathie, sa maîtrise du sujet et sa patience envers les petits soucis techniques. Très bonne formation.

Yvan T. · Cegos SE104 · 10/10
"

Pédagogie très pertinente, mêlant TP et cours magistraux en laissant la place aux interventions. L'agilité du formateur a permis de surmonter les difficultés techniques.

Participant · HS2 Formation

// questions fréquentes

Tout ce que vous voulez savoir.

Administration Windows Server, notions réseau TCP/IP, bases des objets AD (users, GPO). Aucune expérience offensive requise pour le niveau standard.
Oui. En présentiel à Paris et en Île-de-France, ou en distanciel avec labs cloud depuis toute la France.
Oui. Nous proposons une offre clé en main pour les OF : formateur qualifié, supports, labs, TP corrigés — prêts à intégrer dans votre catalogue. Tarifs de cession disponibles sur demande.
Elle constitue une excellente base pour les certifications OSCP, CRTE (Certified Red Team Expert) et CRTO. Le formateur peut orienter les participants selon leur objectif.
Absolument. Le formateur adapte les exemples et les scénarios de TP à votre environnement Windows Server (version, fonctionnalités activées, contexte métier). Pour une adaptation plus profonde, nous proposons une session sur mesure.

// formations associées

Complétez votre parcours.

Pentest & Red Team

Méthodologie d'intrusion complète — de la reco à l'exploitation et au reporting.

Voir la formation →

Forensic & Réponse à incident

Analyser une compromission AD post-incident et produire un rapport défendable.

Voir la formation →

CTI & Threat Hunting

Chasser les attaquants dans votre AD avant qu'ils n'atteignent les DA.

Voir la formation →

Formations cybersécurité Paris

Toutes nos formations disponibles en présentiel à Paris et Île-de-France.

Voir les sessions Paris →

Prêt à former vos équipes
sur Active Directory ?

Réponse sous 48h. Session organisable en 2 à 3 semaines — en présentiel à Paris ou en distanciel sur toute la France.

Demander un devis → formation@resistez-aux-hackeurs.com