<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE FL_Course SYSTEM "https://www.flane.de/dtd/fl_course095.dtd"><?xml-stylesheet type="text/xsl" href="https://portal.flane.ch/css/xml-course.xsl"?><course productid="37211" language="fr" source="https://portal.flane.ch/swisscom/fr/xml-course/masterclass-saddd-l3" lastchanged="2026-07-10T16:16:55+02:00" parent="https://portal.flane.ch/swisscom/fr/xml-courses"><title>Master Class: Securing Active Directory Deep Dive LEVEL 3</title><productcode>SADDD-L3</productcode><vendorcode>MT</vendorcode><vendorname>Master Class</vendorname><fullproductcode>MT-SADDD-L3</fullproductcode><version>1.0</version><objective>&lt;p&gt;&amp;Agrave; l&amp;rsquo;issue de cette masterclass, vous devrez &amp;ecirc;tre en mesure de :
&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Identifier et exploiter les vecteurs d&amp;rsquo;attaque avanc&amp;eacute;s ciblant Active Directory, notamment les abus d&amp;rsquo;ACL, la d&amp;eacute;l&amp;eacute;gation Kerberos et les attaques NTLM Relay.&lt;/li&gt;&lt;li&gt;D&amp;eacute;tecter les activit&amp;eacute;s malveillantes au sein d&amp;rsquo;un environnement Active Directory gr&amp;acirc;ce aux techniques de Detection Engineering et aux m&amp;eacute;canismes de d&amp;eacute;ception.&lt;/li&gt;&lt;li&gt;Identifier, analyser et &amp;eacute;liminer les m&amp;eacute;canismes de persistance utilis&amp;eacute;s par les attaquants apr&amp;egrave;s une compromission.&lt;/li&gt;&lt;li&gt;Mettre en &amp;oelig;uvre des mesures de durcissement avanc&amp;eacute;es afin de r&amp;eacute;duire la surface d&amp;rsquo;attaque d&amp;rsquo;Active Directory.&lt;/li&gt;&lt;li&gt;R&amp;eacute;aliser des exercices de Purple Teaming pour am&amp;eacute;liorer conjointement les capacit&amp;eacute;s de d&amp;eacute;tection et de d&amp;eacute;fense.&lt;/li&gt;&lt;li&gt;G&amp;eacute;rer efficacement un incident de s&amp;eacute;curit&amp;eacute; affectant Active Directory, de la phase de triage jusqu&amp;rsquo;&amp;agrave; la restauration compl&amp;egrave;te de la for&amp;ecirc;t.&lt;/li&gt;&lt;li&gt;Concevoir une strat&amp;eacute;gie de s&amp;eacute;curisation p&amp;eacute;renne int&amp;eacute;grant les &amp;eacute;volutions r&amp;eacute;centes des technologies d&amp;rsquo;authentification et d&amp;rsquo;administration Active Directory.&lt;/li&gt;&lt;/ul&gt;</objective><essentials>&lt;ul&gt;
&lt;li&gt;Avoir suivi &lt;span class=&quot;cms-link-marked&quot;&gt;&lt;a class=&quot;fl-href-prod&quot; href=&quot;/swisscom/fr/course/masterclass-saddd-l1&quot;&gt;&lt;svg role=&quot;img&quot; aria-hidden=&quot;true&quot; focusable=&quot;false&quot; data-nosnippet class=&quot;cms-linkmark&quot;&gt;&lt;use xlink:href=&quot;/css/img/icnset-linkmarks.svg#linkmark&quot;&gt;&lt;/use&gt;&lt;/svg&gt;Master Class: Securing Active Directory Deep Dive &lt;span class=&quot;fl-prod-pcode&quot;&gt;(SADDD-L1)&lt;/span&gt;&lt;/a&gt;&lt;/span&gt; ou disposer de connaissances &amp;eacute;quivalentes&lt;/li&gt;&lt;li&gt;Avoir suivi &lt;span class=&quot;cms-link-marked&quot;&gt;&lt;a class=&quot;fl-href-prod&quot; href=&quot;/swisscom/fr/course/masterclass-saddd-l2&quot;&gt;&lt;svg role=&quot;img&quot; aria-hidden=&quot;true&quot; focusable=&quot;false&quot; data-nosnippet class=&quot;cms-linkmark&quot;&gt;&lt;use xlink:href=&quot;/css/img/icnset-linkmarks.svg#linkmark&quot;&gt;&lt;/use&gt;&lt;/svg&gt;Master Class: Securing Active Directory Deep Dive LEVEL 2 &lt;span class=&quot;fl-prod-pcode&quot;&gt;(SADDD-L2)&lt;/span&gt;&lt;/a&gt;&lt;/span&gt; ou disposer de connaissances &amp;eacute;quivalentes&lt;/li&gt;&lt;li&gt;Poss&amp;eacute;der une exp&amp;eacute;rience pratique de l&amp;rsquo;administration Active Directory et des strat&amp;eacute;gies de groupe (GPO)&lt;/li&gt;&lt;li&gt;Disposer de connaissances de base en scripting PowerShell&lt;/li&gt;&lt;li&gt;Comprendre Kerberos, NTLM et les principaux vecteurs d&amp;rsquo;attaque Active Directory (Pass-the-Hash, Golden Ticket, etc.)&lt;/li&gt;&lt;/ul&gt;</essentials><audience>&lt;ul&gt;
&lt;li&gt;Administrateurs Active Directory et administrateurs syst&amp;egrave;mes Windows souhaitant approfondir leurs comp&amp;eacute;tences en s&amp;eacute;curisation des environnements AD.&lt;/li&gt;&lt;li&gt;Ing&amp;eacute;nieurs cybers&amp;eacute;curit&amp;eacute; responsables du durcissement et de la d&amp;eacute;fense des infrastructures d&amp;rsquo;identit&amp;eacute;.&lt;/li&gt;&lt;li&gt;Analystes SOC, Blue Teamers et Detection Engineers charg&amp;eacute;s de d&amp;eacute;tecter et d&amp;rsquo;investiguer les attaques ciblant Active Directory.&lt;/li&gt;&lt;li&gt;Consultants s&amp;eacute;curit&amp;eacute;, auditeurs techniques et pentesters souhaitant comprendre les techniques d&amp;rsquo;attaque les plus avanc&amp;eacute;es utilis&amp;eacute;es contre Active Directory.&lt;/li&gt;&lt;li&gt;Membres d&amp;rsquo;&amp;eacute;quipes Red Team et Purple Team d&amp;eacute;sireux d&amp;rsquo;am&amp;eacute;liorer leurs capacit&amp;eacute;s offensives et d&amp;eacute;fensives.&lt;/li&gt;&lt;li&gt;Responsables de la r&amp;eacute;ponse &amp;agrave; incident amen&amp;eacute;s &amp;agrave; g&amp;eacute;rer des compromissions d&amp;rsquo;Active Directory et &amp;agrave; piloter des op&amp;eacute;rations de rem&amp;eacute;diation et de restauration.&lt;/li&gt;&lt;li&gt;Architectes infrastructures et experts Microsoft souhaitant renforcer la r&amp;eacute;silience et la gouvernance des services d&amp;rsquo;identit&amp;eacute; critiques.&lt;/li&gt;&lt;/ul&gt;</audience><contents>&lt;h5&gt;Attaques bas&amp;eacute;es sur les ACL&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Th&amp;eacute;orie : panorama des chemins d&amp;rsquo;exploitation des ACL&lt;/li&gt;&lt;li&gt;Atelier pratique : ex&amp;eacute;cution compl&amp;egrave;te d&amp;rsquo;une cha&amp;icirc;ne d&amp;rsquo;attaque par abus d&amp;rsquo;ACL&lt;/li&gt;&lt;li&gt;Outils et m&amp;eacute;thodologies associ&amp;eacute;s&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;D&amp;eacute;l&amp;eacute;gation Kerberos &amp;ndash; guide complet&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Unconstrained Delegation &amp;ndash; Printer Bug et techniques de coercition&lt;/li&gt;&lt;li&gt;Resource-Based Constrained Delegation (RBCD) &amp;ndash; exploitation via MachineAccountQuota&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;NTLM Relay &amp;ndash; toujours une menace majeure&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Cha&amp;icirc;ne d&amp;rsquo;attaque : Coercion + NTLM Relay contre LDAP&lt;/li&gt;&lt;li&gt;Strat&amp;eacute;gie compl&amp;egrave;te de durcissement avec priorisation des actions&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;M&amp;eacute;canismes de persistance dans Active Directory &amp;ndash; catalogue complet&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Utilisation d&amp;rsquo;AdminSDHolder comme porte d&amp;eacute;rob&amp;eacute;e&lt;/li&gt;&lt;li&gt;D&amp;eacute;tournement de GPO comme m&amp;eacute;canisme de persistance&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Detection Engineering pour Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Configuration compl&amp;egrave;te des strat&amp;eacute;gies d&amp;rsquo;audit avanc&amp;eacute;es&lt;/li&gt;&lt;li&gt;Configuration de Sysmon pour les contr&amp;ocirc;leurs de domaine&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Honey Tokens, comptes Canary et techniques de d&amp;eacute;ception&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Honey Accounts &amp;ndash; attributs destin&amp;eacute;s &amp;agrave; attirer les attaquants&lt;/li&gt;&lt;li&gt;Objets Canary pour la d&amp;eacute;tection dans BloodHound&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Purple Teaming appliqu&amp;eacute; &amp;agrave; Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Exercice &amp;laquo; Assumed Breach &amp;raquo; &amp;ndash; d&amp;eacute;roulement et m&amp;eacute;thodologie&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;R&amp;eacute;ponse &amp;agrave; incident dans Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Les deux premi&amp;egrave;res heures : triage et priorisation&lt;/li&gt;&lt;li&gt;Recherche de m&amp;eacute;canismes de persistance avec PowerShell&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Administration par niveaux de privil&amp;egrave;ges (Tiered Administration)&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Mod&amp;egrave;le op&amp;eacute;rationnel et niveaux de maturit&amp;eacute;&lt;/li&gt;&lt;li&gt;Authentication Policies et Authentication Silos&lt;/li&gt;&lt;li&gt;Comptes d&amp;rsquo;administration d&amp;rsquo;urgence (Break-Glass)&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;S&amp;eacute;curit&amp;eacute; r&amp;eacute;seau autour d&amp;rsquo;Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;DHCPv6 / IPv6 &amp;ndash; un risque souvent sous-estim&amp;eacute;&lt;/li&gt;&lt;li&gt;Null Sessions et requ&amp;ecirc;tes LDAP anonymes&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Retours d&amp;rsquo;exp&amp;eacute;rience : les prochaines &amp;eacute;volutions&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Windows LAPS (nouvelle g&amp;eacute;n&amp;eacute;ration) &amp;ndash; migration depuis Legacy LAPS&lt;/li&gt;&lt;li&gt;Kerberos en mode AES uniquement &amp;ndash; suppression compl&amp;egrave;te de RC4&lt;/li&gt;&lt;/ul&gt;</contents><outline>&lt;h5&gt;Attaques bas&amp;eacute;es sur les ACL&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Th&amp;eacute;orie : panorama des chemins d&amp;rsquo;exploitation des ACL&lt;/li&gt;&lt;li&gt;Atelier pratique : ex&amp;eacute;cution compl&amp;egrave;te d&amp;rsquo;une cha&amp;icirc;ne d&amp;rsquo;attaque par abus d&amp;rsquo;ACL&lt;/li&gt;&lt;li&gt;Outils et m&amp;eacute;thodologies associ&amp;eacute;s&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;D&amp;eacute;l&amp;eacute;gation Kerberos &amp;ndash; guide complet&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Unconstrained Delegation &amp;ndash; Printer Bug et techniques de coercition&lt;/li&gt;&lt;li&gt;Resource-Based Constrained Delegation (RBCD) &amp;ndash; exploitation via MachineAccountQuota&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;NTLM Relay &amp;ndash; toujours une menace majeure&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Cha&amp;icirc;ne d&amp;rsquo;attaque : Coercion + NTLM Relay contre LDAP&lt;/li&gt;&lt;li&gt;Strat&amp;eacute;gie compl&amp;egrave;te de durcissement avec priorisation des actions&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;M&amp;eacute;canismes de persistance dans Active Directory &amp;ndash; catalogue complet&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Utilisation d&amp;rsquo;AdminSDHolder comme porte d&amp;eacute;rob&amp;eacute;e&lt;/li&gt;&lt;li&gt;D&amp;eacute;tournement de GPO comme m&amp;eacute;canisme de persistance&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Detection Engineering pour Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Configuration compl&amp;egrave;te des strat&amp;eacute;gies d&amp;rsquo;audit avanc&amp;eacute;es&lt;/li&gt;&lt;li&gt;Configuration de Sysmon pour les contr&amp;ocirc;leurs de domaine&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Honey Tokens, comptes Canary et techniques de d&amp;eacute;ception&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Honey Accounts &amp;ndash; attributs destin&amp;eacute;s &amp;agrave; attirer les attaquants&lt;/li&gt;&lt;li&gt;Objets Canary pour la d&amp;eacute;tection dans BloodHound&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Purple Teaming appliqu&amp;eacute; &amp;agrave; Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Exercice &amp;laquo; Assumed Breach &amp;raquo; &amp;ndash; d&amp;eacute;roulement et m&amp;eacute;thodologie&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;R&amp;eacute;ponse &amp;agrave; incident dans Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Les deux premi&amp;egrave;res heures : triage et priorisation&lt;/li&gt;&lt;li&gt;Recherche de m&amp;eacute;canismes de persistance avec PowerShell&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Administration par niveaux de privil&amp;egrave;ges (Tiered Administration)&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Mod&amp;egrave;le op&amp;eacute;rationnel et niveaux de maturit&amp;eacute;&lt;/li&gt;&lt;li&gt;Authentication Policies et Authentication Silos&lt;/li&gt;&lt;li&gt;Comptes d&amp;rsquo;administration d&amp;rsquo;urgence (Break-Glass)&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;S&amp;eacute;curit&amp;eacute; r&amp;eacute;seau autour d&amp;rsquo;Active Directory&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;DHCPv6 / IPv6 &amp;ndash; un risque souvent sous-estim&amp;eacute;&lt;/li&gt;&lt;li&gt;Null Sessions et requ&amp;ecirc;tes LDAP anonymes&lt;/li&gt;&lt;/ul&gt;&lt;h5&gt;Retours d&amp;rsquo;exp&amp;eacute;rience : les prochaines &amp;eacute;volutions&lt;/h5&gt;&lt;ul&gt;
&lt;li&gt;Windows LAPS (nouvelle g&amp;eacute;n&amp;eacute;ration) &amp;ndash; migration depuis Legacy LAPS&lt;/li&gt;&lt;li&gt;Kerberos en mode AES uniquement &amp;ndash; suppression compl&amp;egrave;te de RC4&lt;/li&gt;&lt;/ul&gt;</outline><objective_plain>À l’issue de cette masterclass, vous devrez être en mesure de :



- Identifier et exploiter les vecteurs d’attaque avancés ciblant Active Directory, notamment les abus d’ACL, la délégation Kerberos et les attaques NTLM Relay.
- Détecter les activités malveillantes au sein d’un environnement Active Directory grâce aux techniques de Detection Engineering et aux mécanismes de déception.
- Identifier, analyser et éliminer les mécanismes de persistance utilisés par les attaquants après une compromission.
- Mettre en œuvre des mesures de durcissement avancées afin de réduire la surface d’attaque d’Active Directory.
- Réaliser des exercices de Purple Teaming pour améliorer conjointement les capacités de détection et de défense.
- Gérer efficacement un incident de sécurité affectant Active Directory, de la phase de triage jusqu’à la restauration complète de la forêt.
- Concevoir une stratégie de sécurisation pérenne intégrant les évolutions récentes des technologies d’authentification et d’administration Active Directory.</objective_plain><essentials_plain>- Avoir suivi Master Class: Securing Active Directory Deep Dive (SADDD-L1) ou disposer de connaissances équivalentes
- Avoir suivi Master Class: Securing Active Directory Deep Dive LEVEL 2 (SADDD-L2) ou disposer de connaissances équivalentes
- Posséder une expérience pratique de l’administration Active Directory et des stratégies de groupe (GPO)
- Disposer de connaissances de base en scripting PowerShell
- Comprendre Kerberos, NTLM et les principaux vecteurs d’attaque Active Directory (Pass-the-Hash, Golden Ticket, etc.)</essentials_plain><audience_plain>- Administrateurs Active Directory et administrateurs systèmes Windows souhaitant approfondir leurs compétences en sécurisation des environnements AD.
- Ingénieurs cybersécurité responsables du durcissement et de la défense des infrastructures d’identité.
- Analystes SOC, Blue Teamers et Detection Engineers chargés de détecter et d’investiguer les attaques ciblant Active Directory.
- Consultants sécurité, auditeurs techniques et pentesters souhaitant comprendre les techniques d’attaque les plus avancées utilisées contre Active Directory.
- Membres d’équipes Red Team et Purple Team désireux d’améliorer leurs capacités offensives et défensives.
- Responsables de la réponse à incident amenés à gérer des compromissions d’Active Directory et à piloter des opérations de remédiation et de restauration.
- Architectes infrastructures et experts Microsoft souhaitant renforcer la résilience et la gouvernance des services d’identité critiques.</audience_plain><contents_plain>Attaques basées sur les ACL


- Théorie : panorama des chemins d’exploitation des ACL
- Atelier pratique : exécution complète d’une chaîne d’attaque par abus d’ACL
- Outils et méthodologies associés
Délégation Kerberos – guide complet


- Unconstrained Delegation – Printer Bug et techniques de coercition
- Resource-Based Constrained Delegation (RBCD) – exploitation via MachineAccountQuota
NTLM Relay – toujours une menace majeure


- Chaîne d’attaque : Coercion + NTLM Relay contre LDAP
- Stratégie complète de durcissement avec priorisation des actions
Mécanismes de persistance dans Active Directory – catalogue complet


- Utilisation d’AdminSDHolder comme porte dérobée
- Détournement de GPO comme mécanisme de persistance
Detection Engineering pour Active Directory


- Configuration complète des stratégies d’audit avancées
- Configuration de Sysmon pour les contrôleurs de domaine
Honey Tokens, comptes Canary et techniques de déception


- Honey Accounts – attributs destinés à attirer les attaquants
- Objets Canary pour la détection dans BloodHound
Purple Teaming appliqué à Active Directory


- Exercice « Assumed Breach » – déroulement et méthodologie
Réponse à incident dans Active Directory


- Les deux premières heures : triage et priorisation
- Recherche de mécanismes de persistance avec PowerShell
Administration par niveaux de privilèges (Tiered Administration)


- Modèle opérationnel et niveaux de maturité
- Authentication Policies et Authentication Silos
- Comptes d’administration d’urgence (Break-Glass)
Sécurité réseau autour d’Active Directory


- DHCPv6 / IPv6 – un risque souvent sous-estimé
- Null Sessions et requêtes LDAP anonymes
Retours d’expérience : les prochaines évolutions


- Windows LAPS (nouvelle génération) – migration depuis Legacy LAPS
- Kerberos en mode AES uniquement – suppression complète de RC4</contents_plain><outline_plain>Attaques basées sur les ACL


- Théorie : panorama des chemins d’exploitation des ACL
- Atelier pratique : exécution complète d’une chaîne d’attaque par abus d’ACL
- Outils et méthodologies associés
Délégation Kerberos – guide complet


- Unconstrained Delegation – Printer Bug et techniques de coercition
- Resource-Based Constrained Delegation (RBCD) – exploitation via MachineAccountQuota
NTLM Relay – toujours une menace majeure


- Chaîne d’attaque : Coercion + NTLM Relay contre LDAP
- Stratégie complète de durcissement avec priorisation des actions
Mécanismes de persistance dans Active Directory – catalogue complet


- Utilisation d’AdminSDHolder comme porte dérobée
- Détournement de GPO comme mécanisme de persistance
Detection Engineering pour Active Directory


- Configuration complète des stratégies d’audit avancées
- Configuration de Sysmon pour les contrôleurs de domaine
Honey Tokens, comptes Canary et techniques de déception


- Honey Accounts – attributs destinés à attirer les attaquants
- Objets Canary pour la détection dans BloodHound
Purple Teaming appliqué à Active Directory


- Exercice « Assumed Breach » – déroulement et méthodologie
Réponse à incident dans Active Directory


- Les deux premières heures : triage et priorisation
- Recherche de mécanismes de persistance avec PowerShell
Administration par niveaux de privilèges (Tiered Administration)


- Modèle opérationnel et niveaux de maturité
- Authentication Policies et Authentication Silos
- Comptes d’administration d’urgence (Break-Glass)
Sécurité réseau autour d’Active Directory


- DHCPv6 / IPv6 – un risque souvent sous-estimé
- Null Sessions et requêtes LDAP anonymes
Retours d’expérience : les prochaines évolutions


- Windows LAPS (nouvelle génération) – migration depuis Legacy LAPS
- Kerberos en mode AES uniquement – suppression complète de RC4</outline_plain><duration unit="d" days="3">3 jours</duration><pricelist><price country="DE" currency="EUR">3890.00</price><price country="AT" currency="EUR">3890.00</price><price country="CH" currency="CHF">3890.00</price><price country="FR" currency="EUR">3890.00</price></pricelist><miles/></course>