Prouve que tu maîtrises Kerberos, BloodHound et le tiering AD là où ça compte : face à un examinateur IA qui ne se contente pas de tes titres LinkedIn.
Le badge Sécurité Active Directory de Plume valide ta capacité réelle à sécuriser, auditer et durcir un domaine Windows en entreprise. En 15 minutes d'oral face à un examinateur IA (OpenAI Realtime), tu es interrogé sur des scénarios concrets : détection d'un DCSync sur un DC, mise en oeuvre d'un modèle Tier 0/1/2, contre-mesures face au Kerberoasting ou à l'AS-REP Roasting, lecture et priorisation des chemins d'attaque remontés par BloodHound ou PingCastle. Ce n'est pas un QCM : l'IA suit tes réponses, creuse les zones floues et évalue ta profondeur technique réelle.
Contrairement à une certification généraliste ou à une ligne sur ton CV, ce badge repose sur une épreuve orale enregistrée, analysée par Claude Opus, qui produit un score de 0 à 100 et un niveau (Novice, Confirmé, Avancé, Expert). Le rapport détaillé pointe les forces et les lacunes sur chaque dimension : maîtrise de Kerberos, gestion des ACL, intégration SIEM/EDR, posture face à la dépréciation NTLM et aux derniers CVE. Les recruteurs et RSSI peuvent accéder à ton badge via une URL publique et écouter l'enregistrement si tu l'autorises.
Ce badge s'adresse aux ingénieurs sécurité, consultants IAM, administrateurs Active Directory et pentesters qui travaillent sur des environnements on-premise ou hybrides (AD + Entra ID). Que tu te prépares à une mission chez un grand compte, à un entretien de RSSI ou que tu veuilles simplement objectiver ton niveau avant une montée en compétences, le badge te donne une preuve crédible, daté et vérifiable de ta maîtrise de la sécurité Active Directory.
Ce que ce badge évalue
Voici les dimensions concrètes que l'IA examine pendant les 15 minutes d'oral.
Protocole Kerberos et ses failles
Explique le flux d'authentification AS-REQ / TGT / TGS, identifie les comptes vulnérables au Kerberoasting et à l'AS-REP Roasting, et décrit les contre-mesures concrètes : AES-only, Protected Users, comptes gMSA.
Détection et réponse à incident AD
Analyse des événements Windows 4624, 4768, 4769, 4776 dans un SIEM, identification de traces DCSync (EventID 4662), Golden Ticket ou Pass-the-Hash, et démarche de confinement et d'éradication sur un DC compromis.
Modèle de tiering (Tier 0/1/2)
Classification des assets critiques en Tier 0 (DCs, PKI, ADFS), définition des comptes d'administration dédiés par palier, configuration des restrictions de connexion via GPO et RBAC, et gestion de l'adhésion opérationnelle des équipes.
Audit des ACL et chemins d'attaque
Utilisation de BloodHound pour cartographier les chemins de compromission, de PingCastle et Purple Knight pour le scoring, priorisation des délégations dangereuses (GenericAll, WriteDACL, DCSync rights) et plan de remédiation.
Durcissement GPO et configuration AD
Mise en oeuvre des GPO de sécurité (LAPS, Credential Guard, Restricted Groups, SMB signing), dépréciation de NTLM, activation du LDAP signing et channel binding, et suivi des recommandations ANSSI et Microsoft Secure Score AD.
Intégration hybride AD / Entra ID
Synchronisation AAD Connect / Entra Connect, gestion de la surface d'attaque étendue au cloud (password hash sync, pass-through authentication, seamless SSO), et positionnement d'une stratégie Zero Trust face à un AD legacy.
Gestion des comptes à privilèges (PAM)
Déploiement d'une solution PAM (CyberArk, Thycotic, Microsoft MIM), just-in-time access, rotation automatique des secrets de comptes de service, et contrôle des sessions d'administration sur les assets Tier 0.
Veille et adaptation aux évolutions récentes
Prise en compte des patchs post-CVE-2022-37967 (PAC Privilege Attribute Certificate), de la dépréciation NTLM annoncée par Microsoft, et de l'impact des nouvelles exigences LDAP signing sur les applications legacy.
Comment ce badge est évalué
L'évaluation finale est faite par Claude (Anthropic) qui relit la transcription complète et applique cette grille de critères pondérés.
Maîtrise technique de Kerberos et des attaques AD
35% du score
Profondeur des explications sur Kerberos (AS-REQ, PAC, délégation), exactitude de la description des attaques (Kerberoasting, DCSync, Golden Ticket) et pertinence des contre-mesures citées (AES-only, Protected Users, SID filtering).
Expérience opérationnelle et cas réels
25% du score
Capacité à raconter des missions concrètes avec des détails précis : type d'environnement, taille du domaine, incidents traités, outils réellement utilisés. L'IA évalue la vraisemblance et la richesse des exemples.
Audit, outillage et priorisation des risques
20% du score
Usage pertinent de BloodHound, PingCastle, Purple Knight et des logs Windows. Méthode de priorisation des chemins d'attaque et capacité à traduire les résultats techniques en plan de remédiation actionnable.
Vision architecture et intégration hybride
12% du score
Compréhension des enjeux hybrides AD / Entra ID, positionnement du Zero Trust, connaissances sur la synchronisation Entra Connect et les risques spécifiques au cloud (password hash sync, federation).
Clarté et structuration des réponses
8% du score
Capacité à expliquer des concepts complexes (Kerberos, tiering, ACL) de façon claire, structurée et compréhensible, même sous la pression des relances de l'examinateur IA.
Comment se déroule l'oral
Une session Plume tient en environ 20 minutes, du test technique à la délivrance du badge.
1
Étape 1
Vérification technique (1 min)
Avant de commencer, l'IA vérifie que ton micro fonctionne, que ta connexion est stable et que tu es dans un environnement calme. Aucun outil ou document n'est autorisé pendant l'oral.
2
Étape 2
Mise en contexte (2 min)
L'examinateur IA te demande de te présenter rapidement et de décrire ton expérience la plus récente en sécurisation Active Directory : type d'entreprise, taille du domaine, périmètre de ta mission.
3
Étape 3
Questions de fond (10-12 min)
Le coeur de l'épreuve : l'IA parcourt les grands thèmes (Kerberos, tiering, ACL, détection d'incidents, intégration hybride, évolutions récentes). Elle adapte le niveau de ses relances à tes réponses et creuse les zones d'ombre.
4
Étape 4
Question de recul (1-2 min)
L'examinateur te demande de prendre du recul : dans quels cas recommanderais-tu de migrer vers Entra ID plutôt que de continuer à durcir un AD on-premise ? Quelles limites as-tu rencontrées dans ta pratique ?
5
Étape 5
Score et badge (sous 10 min)
Claude Opus analyse la transcription, attribue un score de 0 à 100 et un niveau (Novice, Confirmé, Avancé, Expert), et génère un rapport détaillé par critère. Ton badge est disponible immédiatement avec une URL partageable.
Les 4 niveaux de maîtrise
Le score sur 100 se traduit en un niveau lisible d'un coup d'œil par un recruteur.
Novice
Score 0-39
Tu connais les concepts de base d'Active Directory (utilisateurs, groupes, GPO) mais tu n'as pas encore travaillé sur des problématiques de sécurité AD en contexte professionnel. Tu n'es pas encore familier avec Kerberos, BloodHound ou le tiering.
Confirmé
Score 40-59
Tu as participé à des audits ou des missions de durcissement AD, tu comprends les grandes attaques (Kerberoasting, DCSync) et tu sais utiliser PingCastle ou BloodHound pour un scan initial. Tu peux décrire un modèle de tiering sans forcément l'avoir déployé de bout en bout.
Avancé
Score 60-79
Tu as conçu et déployé des architectures AD sécurisées en production, incluant le tiering, LAPS, Credential Guard et la gestion des comptes de service avec gMSA. Tu maîtrises BloodHound pour la priorisation des chemins d'attaque et tu sais répondre à un incident de type DCSync ou Golden Ticket.
Expert
Score 80-100
Tu es la référence AD sécurité dans ton organisation ou chez tes clients. Tu pilotes la stratégie de durcissement à long terme, tu intègres AD avec Entra ID et une solution PAM, tu suis les CVE Kerberos et la roadmap de dépréciation NTLM, et tu formes d'autres ingénieurs à la sécurité AD.
À qui ce badge s'adresse
Pas besoin d'années d'expérience ou de diplôme pour passer le badge. Voici les profils pour qui il fait sens.
Consultant en sécurité offensive (pentester)
Tu attaques des environnements AD lors de red teams ou de tests d'intrusion et tu veux prouver que tu maîtrises aussi la partie défense et durcissement, pas seulement l'exploitation de Kerberoasting ou de délégations mal configurées.
Ingénieur sécurité / Analyste SOC
Tu monitores des événements AD dans un SIEM (4624, 4768, 4769) et tu veux valider ta capacité à détecter une compromission AD et à répondre à un incident impliquant un DC ou un compte Tier 0.
Administrateur Active Directory
Tu gères au quotidien des domaines Windows et tu veux objectiver ton niveau sur les aspects sécurité (LAPS, Credential Guard, GPO de durcissement, tiering) que tu appliques ou que tu dois encore mettre en oeuvre.
Candidat à un poste de RSSI ou d'architecte IAM
Tu postules à un poste qui requiert une expertise AD et tu veux un élément de preuve concret à présenter lors de l'entretien, au-delà des certifications généralistes (OSCP, CISSP).
Freelance IAM / sécurité sur des grands comptes
Tu interviens chez des clients qui te demandent une preuve de compétence avant de t'engager sur une mission de sécurisation AD. Le badge fournit une URL vérifiable et un score objectif.
Cas d'usage concrets
Où et comment ton badge Sécurité Active Directory va te servir au quotidien.
Réponse à appel d'offres
Un cabinet de conseil inclut le lien vers le badge Sécurité Active Directory de ses consultants dans une réponse à AO pour une mission de durcissement AD chez un opérateur d'importance vitale (OIV). Le score Expert crédibilise immédiatement le profil.
Entretien de recrutement
Un candidat au poste d'ingénieur sécurité partage son badge avant l'entretien technique. Le responsable sécurité écoute l'extrait de l'oral et arrive en entretien avec des questions ciblées, gagnant 30 minutes de qualification.
Mission freelance
Un consultant indépendant spécialisé en IAM envoie son badge Avancé à un DSI avant le démarrage d'une mission de migration AD / Entra ID, prouvant qu'il maîtrise les enjeux de sécurité hybride sans avoir besoin d'un entretien technique préalable.
Montée en compétences
Un administrateur AD qui obtient le niveau Confirmé reçoit un rapport détaillant ses lacunes sur les ACL et les attaques Kerberos. Il s'appuie sur ce rapport pour cibler sa formation et repasse le badge six mois plus tard pour mesurer sa progression.
Audit interne / conformité
Un RSSI fait passer le badge à toute son équipe AD pour objectiver les niveaux individuels avant de définir le plan de formation annuel. Les scores permettent d'identifier qui peut prendre en charge le Tier 0 et qui a besoin d'un accompagnement sur BloodHound.
Profil sur plateforme freelance
Un expert sécurité ajoute l'URL de son badge Sécurité Active Directory (niveau Expert, score 91/100) sur son profil Malt ou LinkedIn. Les recruteurs peuvent vérifier le résultat en un clic, sans avoir à organiser un test technique.
Prérequis
Quelques minutes pour vérifier que tu as bien tout ce qu'il faut.
Avoir travaillé sur des environnements Active Directory en contexte professionnel (administration, audit ou test d'intrusion) pendant au moins 1 an.
Connaître les concepts fondamentaux de Kerberos (TGT, TGS, SPN) et les principales attaques AD (Kerberoasting, DCSync, Pass-the-Hash).
Avoir utilisé au moins un outil d'audit AD parmi BloodHound, PingCastle ou Purple Knight.
Disposer d'un micro de bonne qualité, d'une connexion stable et d'un environnement calme pour les 15 minutes de l'oral.
Être prêt à raconter des missions ou incidents réels, avec des détails concrets sur le contexte, les outils et les décisions prises.
Ce que tu repars avec
À la fin de ta session, tu ne reçois pas juste un score : voici tout ce qui t'attend.
Score 0-100 et niveau certifié
Tu reçois un score précis sur 100 et un niveau (Novice, Confirmé, Avancé, Expert) basé sur l'analyse de ta maîtrise réelle de Kerberos, du tiering, des ACL et de la détection d'incidents AD.
Rapport de feedback détaillé
Claude Opus génère un rapport critère par critère qui pointe tes points forts (ex. : excellente maîtrise des attaques Kerberos) et tes axes d'amélioration (ex. : approfondissement de la gestion des ACL et des délégations).
Enregistrement audio privé
L'intégralité de ton oral de 15 minutes est enregistré et stocké de façon sécurisée. Tu choisis si tu l'autorises en accès aux recruteurs ou si tu le gardes privé.
Badge partageable et vérifiable
Tu obtiens une URL publique unique qui affiche ton niveau et ton score. Partage-le sur LinkedIn, ton CV ou ta proposition commerciale : n'importe qui peut vérifier ton résultat en un clic.
Questions fréquentes sur le badge Sécurité Active Directory
L'oral est calibré pour des professionnels ayant au moins un an de pratique sur des environnements AD en contexte réel (administration, audit, pentest). Si tu n'as encore jamais touché à BloodHound, au tiering ou à Kerberos en professionnel, tu risques d'obtenir un score Novice. Le badge n'est pas une initiation : c'est une validation de compétences opérationnelles.
Autres badges en Cybersécurité & RGPD
Découvre d'autres compétences proches que tu peux faire valider avec Plume.