Soyons clairs d'entrée : PingCastle est un excellent outil. Développé par Vincent Le Toux, c'est probablement le meilleur scanner de sécurité Active Directory disponible sur le marché. Nous l'utilisons systématiquement dans tous nos audits. Mais l'utiliser seul et considérer que le travail est fait, c'est comme faire un scanner médical sans le montrer à un radiologue.
Cet article n'est pas une critique de PingCastle — c'est un plaidoyer pour l'analyse humaine experte qui doit l'accompagner.
Ce que PingCastle fait remarquablement bien
PingCastle excelle dans l'analyse automatisée à grande échelle. En quelques minutes, il produit un rapport HTML structuré avec un score global et des catégories de risques : comptes privilégiés, délégations dangereuses, trusts, anomalies de configuration, conformité aux bonnes pratiques. Il détecte des centaines de problèmes connus et les classe par criticité.
Pour une première évaluation rapide de la posture de sécurité AD, rien ne le bat. C'est d'ailleurs souvent le point de départ de nos audits : on lance PingCastle, on regarde le score, et on a déjà une idée du niveau de maturité de l'infrastructure.
Les angles morts de l'automatisation
1. Le contexte métier est invisible pour l'outil
PingCastle signale qu'un compte de service a des privilèges Domain Admin. C'est un finding objectif. Mais ce que l'outil ne peut pas savoir, c'est que ce compte est utilisé par le logiciel de paie qui tourne depuis 2009, que trois tentatives de réduction de privilèges ont échoué parce que l'éditeur refuse de supporter une configuration non-admin, et que le RSSI a accepté ce risque résiduel documenté.
À l'inverse, PingCastle peut attribuer un risque « moyen » à une configuration qui, dans le contexte spécifique de l'entreprise, est en réalité critique. Par exemple, une délégation contrainte vers un serveur de fichiers peut sembler anodine. Mais si ce serveur héberge les données RH de 5 000 salariés, le risque réel est beaucoup plus élevé que ce que le score automatique suggère.
2. Les chemins d'attaque composites
PingCastle identifie des vulnérabilités individuelles. Un expert humain voit les chaînes d'attaque — comment plusieurs faiblesses « moyennes » se combinent pour créer un chemin critique.
Exemple concret tiré d'un de nos audits : PingCastle signalait séparément un compte de service avec SPN (risque moyen), un serveur avec délégation non contrainte (risque élevé), et une GPO modifiable par un groupe trop large (risque moyen). Pris individuellement, aucun de ces findings n'était en tête de priorité. Mais en les combinant, nous avons identifié un chemin d'attaque en trois étapes qui permettait à n'importe quel utilisateur du domaine de devenir Domain Admin en moins de 15 minutes. C'est le genre de chose que seul BloodHound combiné à une analyse experte peut révéler.
3. Les configurations « faux positifs » et « faux négatifs »
PingCastle génère des faux positifs. C'est inévitable pour un outil automatisé. Un compte marqué comme « inactif depuis 180 jours » peut être un compte de bris de glace volontairement dormant. Un trust « dangereux » peut être un trust de forêt de ressources parfaitement légitime et correctement configuré.
Plus problématique : les faux négatifs. PingCastle ne détecte pas tout. Il ne vérifie pas la robustesse des mots de passe des comptes KRBTGT (il ne peut pas, il n'a pas accès aux hash). Il ne détecte pas les golden tickets déjà en circulation. Il ne voit pas les modifications subtiles d'ACL sur des objets non protégés par AdminSDHolder. Il ne teste pas la segmentation réseau qui pourrait limiter (ou non) l'exploitation d'une vulnérabilité.
4. La qualité de la remédiation
PingCastle vous dit « ce compte a un SPN et des privilèges élevés ». Il ne vous dit pas comment corriger sans casser la production. Or c'est là que réside 80% de la valeur d'un audit.
Supprimer un SPN peut sembler trivial, mais si l'application associée utilise l'authentification Kerberos via ce SPN, la supprimer coupe le service. Migrer vers un gMSA nécessite de valider la compatibilité applicative, de tester en pré-production, de planifier une fenêtre de maintenance. Un plan de remédiation réaliste doit prendre en compte les contraintes opérationnelles, les dépendances applicatives, et les fenêtres de changement disponibles.
C'est exactement ce que nous livrons dans nos rapports : pas une liste de findings, mais un plan d'action priorisé avec des scripts PowerShell testés et des procédures de rollback.
Notre méthodologie : PingCastle + analyse experte
Jour 1 : Collecte et analyse automatisée
Nous lançons PingCastle Enterprise, complémenté par des scripts PowerShell propriétaires qui collectent des données supplémentaires : ACL détaillées sur les objets critiques, configuration DNS, état de la réplication, politique de mots de passe réelle (pas celle de la Default Domain Policy, celle qui s'applique effectivement), configuration AD CS, état de LAPS, etc.
Jour 2 : Analyse manuelle et chemins d'attaque
C'est le cœur de la valeur ajoutée. Nous analysons les résultats PingCastle en les croisant avec le contexte de l'entreprise. Nous utilisons BloodHound pour cartographier les chemins d'attaque. Nous vérifions manuellement les ACL sur AdminSDHolder, la configuration de DPAPI, les SCP (Service Connection Points), les schéma extensions suspectes, et des dizaines d'autres points que l'automatisation ne couvre pas.
Jour 3 : Rapport et plan de remédiation
Le rapport livré n'est pas une copie du rapport PingCastle avec un logo dessus. C'est un document de 30 à 40 pages qui contextualise chaque finding, élimine les faux positifs, ajoute les vulnérabilités manuellement identifiées, et — surtout — fournit un plan de remédiation avec des scripts PowerShell prêts à l'emploi pour chaque correction.
Le verdict : l'outil est nécessaire, l'expert est indispensable
Un PingCastle sans expert, c'est un diagnostic incomplet qui risque de vous donner un faux sentiment de sécurité. Un expert sans PingCastle, c'est une perte de temps sur des vérifications que l'outil fait mieux et plus vite. La combinaison des deux est ce qui produit un audit réellement actionnable.
Si vous avez lancé PingCastle en interne et que votre score est au-dessus de 50, vous avez du travail. Si votre score est en dessous de 30, vous avez probablement des problèmes que PingCastle ne voit pas. Dans les deux cas, une analyse experte complémentaire vaut l'investissement.