Un mouvement latéral est une technique utilisée par les cyberattaquants pour se déplacer au sein d’un réseau après une intrusion initiale, afin d’accéder à des systèmes, données ou privilèges sensibles.
Le mouvement latéral vise à étendre l’emprise de l’attaquant en exploitant des vulnérabilités internes, des identifiants volés ou des outils légitimes.
Objectif
- Atteindre des cibles critiques (serveurs, bases de données, comptes admin)
- Élever les privilèges pour contrôler des ressources stratégiques
- Préparer des actions destructrices (exfiltration de données, déploiement de ransomware)
🔧 Outils
Méthode | Explication |
---|---|
Pass-the-Hash | Vol et réutilisation de hachages de mots de passe pour accéder à d’autres machines. |
Exploitation de vulnérabilités | Utilisation de failles non corrigées (ex : EternalBlue) pour propager l’attaque. |
RDP (Remote Desktop Protocol) | Accès à distance à des machines via des identifiants compromis. |
PowerShell/WMI | Exploitation d’outils système légitimes pour exécuter des commandes malveillantes. |
Cheval de Troie | Déploiement de malwares pour maintenir un accès persistant et pivoter entre systèmes. |
👉 Exemples
- Ransomware : après avoir infecté un poste utilisateur, l’attaquant utilise des identifiants volés pour se propager aux serveurs de sauvegarde.
- APT (Advanced Persistent Threat) : un groupe étatique utilise des exploits locaux pour accéder au réseau administratif d’une entreprise via un partage de fichiers interne.
- Phishing interne : envoi de faux e-mails depuis un compte compromis pour infecter d’autres collaborateurs.
🔎 Détection et prévention
- Surveillance du trafic interne :
- Limiter les privilèges :
- Principe du moindre privilège (Least Privilege).
- Segmentation réseau (isoler les zones critiques).
- Authentification renforcée :
- MFA (Multi-Factor Authentication) pour les accès sensibles.
- Rotation régulière des mots de passe.
- Patch management : corriger rapidement les vulnérabilités critiques (ex : ProxyLogon, PrintNightmare).
Chiffres Clés
En France (source : ANSSI, 2023)
- 68 % des incidents graves impliquent du mouvement latéral pour atteindre des systèmes critiques.
- 40 % des attaques utilisent des outils internes (ex : PowerShell) pour éviter la détection.
Dans le monde
- 87% des violations de données incluent du mouvement latéral (Verizon DBIR 2023).
- Coût moyen d’une attaque avec mouvement latéral : 4,7 millions de dollars (IBM).
- Temps moyen pour détecter un mouvement latéral : 150 jours (Mandiant).
Pourquoi c’est critique ?
- Silencieux : les attaquants imitent souvent des comportements légitimes
- Impact exponentiel : une brèche initiale mineure peut mener à un compromis total du réseau
- Enjeu stratégique : les secteurs financiers, de santé et énergétiques sont des cibles prioritaires
⚠️ Défi : Les environnements cloud/hybrides complexifient la détection (ex : mouvement entre on-premises et AWS/Azure)