Le mouvement latéral est le processus que les attaquants utilisent pour aller plus loin dans un réseau infecté après avoir obtenu l’accès pour trouver des données sensibles, des vulnérabilités ou pour contrôler des systèmes supplémentaires.
Table des matières
Lateral Movement: définition
Au lieu de cibler immédiatement des données sensibles ou des systèmes critiques, les attaquants prennent leur temps pour explorer le réseau, faire remonter les privilèges, identifier les cibles de grande valeur et établir la persistance au sein d’un réseau. Cette approche calculée est courante dans les menaces persistantes avancées (APT) et autres cyberattaques sophistiquées.
Même si la violation est découverte, l'attaquant peut maintenir sa présence pour se déplacer latéralement dans le réseau afin d'éviter la détection. Si les attaquants parviennent à établir une persistance au sein du réseau et à éviter la détection, ils peuvent infliger de graves dommages à une organisation par le biais d'attaques de ransomware, d'exfiltration de données ou d'espionnage.
Cliquez ici pour comprendre comment les cybercriminels s'en prennent à leurs crimes et comment ils lancent leurs attaques.
Les étapes du mouvement latéral
Les attaques par mouvement latéral ne sont pas une étape unique, mais un processus en plusieurs étapes que les attaquants exécutent avec soin pour infiltrer et exploiter les réseaux. Les étapes typiques du mouvement latéral sont décrites ci-dessous :
Reconnaissance
Au stade de la reconnaissance, l'attaquant commencera par cartographier l'architecture du réseau, identifier les appareils connectés et rechercher des cibles précieuses. Les attaquants exploreront et cartographieront le réseau, y compris l’emplacement des données sensibles, des identifiants et des configurations de sécurité. Il s'agit d'une étape cruciale pour l'attaquant, car elle l'aide à comprendre les relations entre les systèmes et à planifier les prochaines étapes tout en évitant la détection des systèmes de sécurité.
Collecte d'informations d'identification
Une fois la reconnaissance terminée, les attaquants se concentreront souvent sur la collecte d'informations d'identification telles que les noms d'utilisateur, les mots de passe ou les hachages de mots de passe à partir de systèmes compromis. Les outils de dumping d'informations d'identification tels que Mimikatz ou les attaques par force brute contre les mots de passe faibles sont des méthodes courantes utilisées pour obtenir l'accès à des comptes avec des privilèges plus élevés. Ces informations d'identification volées permettent aux attaquants d'usurper l'identité d'utilisateurs légitimes, ce qui leur permet de se déplacer latéralement dans le réseau sans soulever de soupçons.
Remontée des privilèges
L'escalade des privilèges implique l'exploitation des vulnérabilités logicielles, des erreurs de configuration ou des contrôles d'accès médiocres pour obtenir des autorisations de niveau supérieur. Les attaquants peuvent exploiter les failles d'une application pour obtenir des privilèges administratifs afin d'obtenir un accès illimité aux systèmes critiques. L’escalade des privilèges est une étape essentielle dans une attaque de mouvement latéral, car elle augmente considérablement la capacité de l’attaquant à s’immerger plus profondément dans le réseau.
Mouvement latéral
Une fois que les attaquants disposent de suffisamment d'informations d'identification et de privilèges, ils peuvent procéder à un mouvement latéral. Cela implique de naviguer d'un système à un autre au sein du réseau, d'accéder aux ressources, de se préparer aux dernières étapes de leur attaque et de rechercher des contre-mesures qu'une équipe de sécurité peut utiliser pour arrêter l'attaque. Les attaquants peuvent utiliser des outils légitimes tels que Remote Desktop Protocol (RDP), PowerShell ou Windows Management Instrumentation (WMI) pour se fondre dans les opérations normales et éviter la détection. Les attaquants peuvent également installer des portes dérobées ou établir des mécanismes de persistance pour maintenir l’accès au réseau, même si leur point d’entrée initial est découvert et fermé.
Accès cible et exécution
Après un déplacement latéral, les attaquants atteignent leurs systèmes cibles, qui peuvent héberger des données sensibles, de la propriété intellectuelle ou une infrastructure critique. Les attaques peuvent également exécuter des logiciels malveillants, comme les ransomware, pour chiffrer des fichiers, exfiltrer des données sensibles ou désactiver des systèmes pour causer des perturbations opérationnelles. Cette étape est souvent le point culminant du processus de mouvement latéral. Plus les attaquants peuvent conserver l'accès au réseau sans détection, plus les dommages qu'ils peuvent infliger sont importants.
Quels types d'attaques utilisent le mouvement latéral ?
Attaques de ransomware
Le mouvement latéral est un composant clé des campagnes de ransomware. Les attaquants se déplacent dans les systèmes pour propager les malware, en maximisant leur impact avant de chiffrer les fichiers et de demander un paiement. Cette stratégie augmente la probabilité de paiements de rançon, car des organisations entières peuvent être paralysées.
Exfiltration de données
Les attaquants comptent souvent sur les mouvements latéraux pour localiser et extraire des informations sensibles. En infiltrant différentes parties du réseau, ils peuvent identifier des données précieuses telles que la propriété intellectuelle, les dossiers financiers ou les informations personnellement identifiables (PII). Une exfiltration réussie des données peut entraîner de graves dommages à la réputation et aux finances des organisations.
Espionnage et menaces persistantes avancées (APT)
Les acteurs parrainés par l’État et les groupes de piratage sophistiqués utilisent le mouvement latéral pour infiltrer les systèmes à forte valeur sur de longues périodes. Ces attaquants visent à maintenir une présence persistante au sein du réseau, en recueillant des renseignements et en compromettant l’infrastructure critique sans détection.
Infection du Botnet
Dans les campagnes de botnet, le mouvement latéral permet aux attaquants de compromettre des appareils supplémentaires au sein d'un réseau. En infectant plusieurs endpoints, les attaquants peuvent étendre leur botnet et augmenter l'ampleur de leurs attaques, ce qui peut inclure des attaques par déni de service distribué (DDoS) ou des campagnes de spam à grande échelle.
Comment détecter un mouvement latéral
Surveiller les journaux d'authentification
Les journaux d'authentification sont une source d'information essentielle pour détecter les mouvements latéraux. Des signes tels que des échecs répétés de connexion, des connexions réussies à partir d’emplacements inhabituels ou un accès inattendu pendant des heures impaires peuvent indiquer une activité malveillante. L'examen régulier de ces journaux permet d'identifier les tentatives d'accès non autorisées.
Utiliser les systèmes SIEM
Les systèmes SIEM (Security Information and Event Management) agrègent les données de journal de l'ensemble du réseau, fournissant ainsi une plateforme centralisée pour l'analyse. Ces systèmes utilisent des analyses avancées pour détecter les modèles qui peuvent indiquer un mouvement latéral, comme l’escalade des privilèges ou les tentatives d’accès anormales.
Utiliser des solutions EDR et XDR
Les outils Endpoint Detection and Response (EDR) surveillent les appareils individuels pour détecter les activités suspectes, telles que les commandes administratives non autorisées. Cependant, l’EDR seul peut ne pas détecter complètement les mouvements latéraux, en particulier lorsque les attaquants utilisent des tactiques d’évasion ou désactivent la protection. La détection et la réponse étendues (XDR) y répondent en intégrant les données entre les endpoints, le réseau, le serveur et les environnements cloud. En corrélant les activités entre ces couches, XDR améliore la visibilité et aide à détecter les menaces qui pourraient contourner l’EDR, ce qui en fait une solution clé pour identifier les mouvements latéraux.
Analyser le trafic réseau
Les outils Network Traffic Analysis (NTA) aident à identifier les flux de données irréguliers dans le réseau. Par exemple, des transferts de fichiers inattendus entre des systèmes non liés ou des téléchargements de données excessifs vers des destinations externes sont de puissants indicateurs de mouvement latéral.
Établir des références pour le comportement
En créant des références pour l'activité normale, les organisations peuvent plus facilement identifier les anomalies. Par exemple, un pic soudain d'utilisation de PowerShell sur un système qui l'utilise rarement pourrait indiquer la présence d'un attaquant. La surveillance de référence nécessite une journalisation et une analyse cohérentes pour rester efficace.
Comment éviter les Movement
Appliquer la segmentation du réseau
La division des réseaux en segments isolés limite la capacité des attaquants à se déplacer librement entre les systèmes. Par exemple, le fait de séparer l'infrastructure critique des appareils à usage général garantit que même si un attaquant compromet un segment, son impact est limité.
Adopter une architecture Zero-Trust
Les principes Zero Trust exigent une vérification stricte pour chaque demande, qu’elle provienne du réseau ou non. Cette approche minimise la dépendance aux défenses du périmètre et applique des contrôles d'accès granulaires.
Mettre en œuvre l'authentification multifacteur (MFA)
La MFA ajoute une couche de sécurité supplémentaire à l’authentification des utilisateurs, ce qui rend plus difficile pour les attaquants d’utiliser à mauvais escient les informations d’identification volées. En exigeant des utilisateurs qu'ils vérifient leur identité à travers plusieurs facteurs, les organisations réduisent l'efficacité du vol d'identifiants.
Mises à jour et correctifs réguliers des systèmes
Les vulnérabilités non corrigées fournissent des points d'entrée faciles pour les attaquants. Le maintien d'un calendrier de correction cohérent garantit que les systèmes sont protégés contre les exploits connus, réduisant ainsi le risque de mouvement latéral.
Limiter les privilèges
L'application du principe du moindre privilège restreint l'accès des utilisateurs à ce qui est nécessaire pour leurs rôles. Cela limite la capacité des attaquants à faire remonter les privilèges ou à accéder à des données sensibles s'ils compromettent un compte.
Mener la formation des employés
Sensibiliser les employés aux tentatives de phishing et aux tactiques d’ingénierie sociale permet de réduire le risque de compromission initiale. Des sessions de formation régulières garantissent que le personnel est conscient des menaces émergentes et comprend les meilleures pratiques pour maintenir la sécurité.
Empêcher l'accès non autorisé avec des mots de passe forts
Des mots de passe forts et uniques sont essentiels pour empêcher tout accès non autorisé au sein d’un réseau. Les mots de passe faibles ou réutilisés sont des cibles courantes pour que les attaquants fassent remonter les privilèges ou se déplacent dans les systèmes. L’application de politiques de mot de passe complexes, la mise en œuvre d’une authentification multifacteur (AMF) et la rotation régulière des informations d’identification peuvent réduire ce risque. Encourager l'utilisation de gestionnaires de mots de passe permet de garantir la sécurité et l'exclusivité des mots de passe. De plus, l'application du principe du moindre privilège garantit que les utilisateurs n'ont accès qu'aux ressources dont ils ont besoin, ce qui limite davantage l'accès non autorisé.
Comment les cyberattaques évoluent en 2025
Les cyberattaques deviennent plus vastes, plus complexes et plus impactantes. Qu’il s’agisse de ransomware, de phishing, d’attaques sur la chaîne d’approvisionnement ou d’exploits alimentés par l’IA, les attaquants innovent constamment pour contourner les défenses et exploiter les failles. Comprendre ces évolutions est essentiel pour renforcer la résilience numérique.
Rapport sur les risques cybernétiques 2025
Le dernier rapport de Trend Micro propose une analyse approfondie du paysage des menaces, avec des informations sur les vecteurs d’attaque émergents, les tendances en matière de risques et des recommandations stratégiques. Une ressource incontournable pour anticiper les prochaines cyberattaques.
Quelles solutions de sécurité peuvent vous aider dans les attaques de mouvements latéraux ?
Les équipes de sécurité ont besoin de plus que de visibilité. Ils ont besoin de clarté, de hiérarchisation et d’une action rapide et coordonnée pour protéger leur organisation contre les attaques de mouvements latéraux. Les opérations de sécurité (SecOps) de Trend Vision One™ rassemblent notre XDR primé, notre SIEM agentique et notre SOAR (orchestration, automatisation et réponse) pour aider les équipes à rester concentrées sur ce qui compte le plus.
Joe Lee
Vice-président de la gestion des produits
Joe Lee est vice-président de la gestion des produits chez Trend Micro, où il dirige la stratégie mondiale et le développement de produits pour les solutions de messagerie d'entreprise et de sécurité réseau.
Foire aux questions (FAQ)
Qu’est-ce que le mouvement latéral en cybersécurité ?
Le mouvement latéral désigne la progression d’un attaquant dans un réseau après une compromission initiale.
Quels types d’attaques utilisent le mouvement latéral ?
Les APT, ransomwares et attaques internes utilisent le mouvement latéral pour accéder aux systèmes critiques.
Exemples réels d’attaques par mouvement latéral ?
NotPetya et SolarWinds ont utilisé le mouvement latéral pour compromettre plusieurs systèmes dans les réseaux.
Comment détecter le mouvement latéral ?
Analyse comportementale, outils SIEM, détection des endpoints et surveillance du trafic réseau interne anormal.
Indicateurs courants du mouvement latéral ?
Connexions inhabituelles, escalade de privilèges, accès distant et pics de trafic interne inattendus.
Quel est l’impact du mouvement latéral ?
Il permet une infiltration profonde, vol de données, déploiement de ransomware et accès prolongé non détecté.