Netwrix 1Secure offre une visibilité unifiée sur les données et l'identité — gratuit pendant 14 jours avec un accès complet.Commencez un essai gratuit

Acheter maintenantContactez-nousAssistanceCommunauté
EnglishEspañolItalianoFrançaisDeutschPortuguês
Sécurité des Données
Al GovernanceData Security Posture ManagementGouvernance de l'accès aux donnéesPrévention de la Perte de DonnéesDécouverte et Classification des Données
Sécurité de Identity
Identity Threat Detection & ResponseGouvernance et Administration de IdentityGestion de la posture de sécurité d'IdentityPrivileged Access ManagementSécurité de Directory

Meilleures pratiques de Data Security Posture Management

Sachez où se trouvent vos données sensibles et qui peut y accéder

Obtenez le guide
Produits en Vedette
Netwrix 1SecureNetwrix Endpoint ProtectorNetwrix PingCastleNetwrix Access AnalyzerNetwrix Identity ManagerNetwrix Privilege Secure
Produits
Netwrix AuditorNetwrix 1Secure for MSPsNetwrix Data ClassificationNetwrix Change TrackerNetwrix Directory ManagerNetwrix Identity RecoveryNetwrix Password Policy EnforcerNetwrix Password SecureNetwrix Platform GovernanceNetwrix PolicyPakNetwrix Threat ManagerNetwrix Threat Prevention

Visibilité unifiée sur les données et l'identité. Gratuit pendant 14 jours avec un accès complet

Netwrix 1Secure

Commencez un essai gratuit
Cas d'utilisation en vedette Voir tous les cas d'utilisation
Sécurité d'Active DirectoryDétection et analyse des risques d'IdentityPréparation à M365 CopilotDéfense d'Identité Non HumaineConformité RéglementaireSécurité IA Fantôme
Cas d'utilisation supplémentaires Voir tous les cas d'utilisation
Examens d'accès et conformitéSécurité des AD Certificate ServicesGestion des droitsDétection des menaces d'IdentityFournisseurs de Services GérésFusions, Acquisitions et CessionsSécurité Microsoft 365Déploiement sur siteDécouverte et nettoyage des privilègesGestion et nettoyage des données ROTGestion des mots de passe pour la main-d'œuvreZero Trust

Caisse en libre-service disponible pour les organisations jusqu'à 150 employés

Commencez en quelques minutes

Acheter maintenant
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité d’Active Directory Conformité Acheter maintenant Tarification
Centre de Ressources Voir tout
BlogCatalogue des AttaquesConformitéHistoires de ClientsCadres de cybersécuritéGlossaire de la CybersécuritéÉvénementsGratuitGuidesPortail des IdéesActualitésPodcastsPublicationsAnnonces de ProduitsRechercheCalculateur de ROIÉvaluation de la Maturité de la SécuritéWebinaires

Quel est le niveau de maturité de votre sécurité ?

Évaluez votre organisation et voyez où vous en êtes

Passez l’évaluation
Partenaires
Programme PartenaireDevenir partenaireMSPsLocalisateur de partenairesWebinairesAlliance Microsoft
Asset not found

Histoire client en vedette

AppRiver améliore le contrôle d’Active Directory tout en réduisant considérablement le temps d’audit
Asset not found

Histoire client en vedette

Le MSP aide le client à se remettre d'un ransomware en 6 heures
Pourquoi Netwrix
À ProposLeadershipNetwrix AIHistoires de ClientsReconnaissanceActualitésCarrières
Asset not found

Histoire client en vedette

Horizon Leisure Centres accélère la Data Classification pour se conformer au GDPR et économise 80 000 £ par an
Asset not found

Histoire client en vedette

L’Institut de R&D de Samsung sécurise les données grâce à une utilisation multiplateforme et un déploiement rapide sur macOS avec Netwrix Endpoint Protector
Centre de ressourcesBlog
Mouvement latéral : Techniques des attaquants et meilleures pratiques pour défendre votre organisation

Mouvement latéral : Techniques des attaquants et meilleures pratiques pour défendre votre organisation

Dec 20, 2023

Unknown block type "undefined", specify a component for it in the `components.types` option

Introduction

Même si vous avez mis en place un paradigme de sécurité Zero Trust pour la sécurité du réseau et de l'infrastructure, vous devez planifier l'inévitable — à un moment donné, un attaquant pénétrera dans votre réseau avec l'intention de déployer un rançongiciel ou de causer d'autres dommages

Une attaque typique se déroule à peu près comme ceci :

  1. Un acteur de la menace compromettra un compte utilisateur via une campagne de hameçonnage, une attaque par devinette de mot de passe ou une autre technique, obtenant ainsi un point d'ancrage sur un point de terminaison, un appareil IoT ou un autre système.
  2. Ils se déplaceront latéralement à travers l'environnement et augmenteront leurs privilèges jusqu'à ce qu'ils obtiennent l'accès aux ressources informatiques vitales. Cette étape peut durer des semaines ou même des mois pendant que l'attaquant se déplace en étudiant votre réseau.
  3. L'attaquant va exfiltrer des données sensibles, déployer des rançongiciels ou d'autres malwares, et/ou endommager les systèmes pour provoquer une indisponibilité.

Il existe une idée fausse selon laquelle les menaces de mouvement latéral sont limitées aux réseaux sur site. Mais le mouvement latéral peut se produire dans les environnements cloud, et les attaquants peuvent se déplacer latéralement entre les systèmes sur site et cloud.

Il incombe au personnel de cybersécurité de détecter les menaces, de contenir les attaques pour prévenir leur propagation et de nettoyer tous les systèmes infectés. Pour défendre votre organisation, vous devez comprendre les techniques utilisées par les acteurs de la menace.

Téléchargez l'eBook :

Qu'est-ce que le mouvement latéral et l'escalade de privilèges ?

Les acteurs de la menace obtiennent généralement un point d'ancrage dans un réseau en compromettant un compte qui dispose de privilèges d'utilisateur standard. Pour atteindre leur objectif, l'attaquant doit obtenir des niveaux d'accès et de contrôle plus élevés. Ainsi, lorsqu'un attaquant pénètre dans votre environnement, il commence par faire de la reconnaissance pour comprendre à quelles ressources il a accès et quels comptes il pourrait compromettre ensuite. Il peut utiliser des outils de balayage réseau pour identifier les hôtes actifs, les ports ouverts ou les services en cours d'exécution au sein d'une plateforme système ciblée. C'est pendant ce calme avant la tempête que la détection et une réponse rapide sont si importantes.

Quelles techniques spécifiques les attaquants utilisent-ils ?

Voici quelques-unes des techniques les plus courantes que les attaquants utilisent pour se déplacer latéralement et élever leurs privilèges :

  • Reconnaissance LDAP — Les acteurs de la menace peuvent interroger un service d'annuaire LDAP pour recueillir des informations sur des objets et des attributs afin d'identifier des comptes à privilèges élevés et des ressources critiques qu'ils souhaitent contrôler.
  • Attaque Pass-the-Hash — Cette technique consiste à voler le mot de passe d'un utilisateur disposant de privilèges élevés en interceptant le trafic réseau ou en utilisant un logiciel malveillant pour extraire le hachage du mot de passe.
  • Kerberoasting — Les adversaires peuvent abuser du protocole d'authentification Kerberos pour voler les identifiants des utilisateurs d'Active Directory qui possèdent des servicePrincipleNames. Le plus souvent, ces comptes sont des comptes de service, donc ils disposent de niveaux de privilège supérieurs à ceux des comptes utilisateurs ordinaires.
  • Exploiter les vulnérabilités — Les pirates exploitent souvent des vulnérabilités connues dans les systèmes ou applications pour élever leurs privilèges ou accéder à d'autres systèmes. Ce type d'attaque tire parti de logiciels non corrigés ou obsolètes.
  • Exploiter les configurations faibles — Les configurations faibles sur les serveurs, les points de terminaison et d'autres systèmes permettent aux adversaires de faire progresser leurs attaques.
  • Exploiter RDP — Les outils d'administration à distance comme le protocole de bureau à distance (RDP) dans les systèmes Windows sont souvent ciblés par les cybercriminels pour se déplacer latéralement dans un réseau.

Les pirates utilisent souvent des outils spécialisés conçus pour le mouvement latéral, tels que Bloodhound, PowerSploit ou Empire. Ils servent à cartographier le réseau et à identifier les cibles potentielles d'exploitation.

Exemples concrets

Un exemple très médiatisé d'attaque comportant un mouvement latéral a été l'attaque de la chaîne d'approvisionnement de SolarWinds en 2020. Les acteurs de la menace ont obtenu l'accès au logiciel de SolarWinds et ont inséré une porte dérobée dans une mise à jour logicielle. Lorsque les clients ont installé cette mise à jour, les attaquants ont obtenu un accès privilégié à leurs réseaux.

Un autre exemple cette même année fut une attaque de rançongiciel Ryuk contre Universal Health Services. Ici, les auteurs ont utilisé un e-mail de phishing pour livrer une application cheval de Troie, qui a ensuite téléchargé le rançongiciel. Les cybercriminels ont ensuite utilisé Mimikatz pour voler les identifiants d'administrateur afin de se déplacer latéralement à travers le réseau.

Comment les organisations peuvent-elles se défendre ?

Pour aider à prévenir la progression latérale des adversaires dans votre environnement informatique, envisagez de mettre en œuvre les meilleures pratiques suivantes.

Restreignez l'accès administrateur local.

Les jours où vous pouviez attribuer des droits d'administrateur local aux utilisateurs standards sont révolus. Lorsqu'un compte est compromis, les attaquants héritent automatiquement des droits de ce compte. Sans droits d'administrateur local, les attaquants ne pourront pas installer de code malveillant.

Appliquez le principe du moindre privilège.

Le principe du moindre privilège (POLP) stipule que chaque utilisateur et processus ne devrait avoir accès qu'aux ressources réseau nécessaires pour effectuer leurs fonctions assignées et rien de plus. La compréhension initiale du POLP a évolué pour inclure un élément temporel — le privilège ne devrait exister que tant qu'il est nécessaire pour une tâche donnée.

Bloquez les attaques d'ingénierie sociale.

Les cybercriminels obtiennent souvent l'accès à un environnement informatique cible par le biais d'une attaque d'ingénierie sociale dans laquelle ils manipulent un utilisateur légitime pour obtenir ses identifiants. C'est là que la formation à la sensibilisation à la sécurité peut rapporter de gros dividendes car les utilisateurs sont souvent les maillons faibles de votre chaîne de sécurité. Il existe également des solutions de filtrage des e-mails et du web disponibles pour atténuer ce type d'attaques.

Protégez vos mots de passe.

Les mots de passe faibles facilitent la tâche aux attaquants pour voler des identifiants en utilisant des techniques telles que les attaques de password spraying. Il existe des outils qui peuvent aider à garantir que les normes de complexité des meilleures pratiques soient requises pour tous les mots de passe. Vous devriez soutenir ces politiques avec une formation appropriée en hygiène cybernétique pour tous les utilisateurs. De plus, l'authentification multifacteur devrait être appliquée à tous les comptes à privilèges élevés.

Remplacez les comptes privilégiés permanents par un accès juste-à-temps et surveillez l'activité,

Les droits administratifs sont les clés du royaume pour un pirate informatique. Mettre en place une stratégie solide de Privileged Access Management (PAM) est essentiel pour protéger les comptes privilégiés contre les compromissions. Un exemple est la Netwrix Privileged Access Management Solution, qui vous permet d'identifier les comptes privilégiés dans votre parc informatique et de réduire votre surface d'attaque en les remplaçant par un accès juste-à-temps (JIT) pour réaliser des tâches spécifiques. De plus, la solution vous offre une visibilité sur les actions des utilisateurs privilégiés dans votre environnement informatique et vous alerte en cas de comportement suspect.

Conclusion

Le mouvement latéral est une technique courante des attaquants. Assurez-vous de les couper et de les contenir avec les bonnes stratégies, techniques et outils.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

UEBA (User and Entity Behavior Analytics) : guide complète sur la détection, les cas d'utilisation et la mise en œuvre

NIST CSF 2.0 : Quoi de neuf dans le Cybersecurity Framework

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Derniers blogs

Le problème du jailbreak de l'IA ne disparaît pas, et les cadres de conformité doivent rattraper leur retard

7 alternatives à Delinea pour les équipes du marché intermédiaire en 2026

7 alternatives à Purple Knight pour AD et la sécurité des identités

Les 7 meilleurs outils de découverte et de classification des données en 2026

Meilleurs outils d'audit de sécurité en 2026

8 outils de gouvernance des données pour les équipes de sécurité du marché intermédiaire en 2026

Meilleurs outils SIEM pour environnements hybrides en 2026

Lorsque l'acteur disparaît : Contrôles CIS dans un monde d'entreprises non humaines

Meilleures pratiques d'automatisation ITDR pour les équipes de sécurité

Les 7 meilleures alternatives à Rubrik pour la sécurité des données et DSPM en 2026

Nos articles les plus populaires

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Types courants d'appareils réseau et leurs fonctions

Téléchargez et installez PowerShell 7

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Variables d'environnement PowerShell

Comment exécuter un script PowerShell

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Qu'est-ce que SPN et quel est son rôle dans Active Directory et la sécurité

Directives de mot de passe du NIST : SP 800-63B Rev. 4 expliquées