En cybersécurité, le concept de périmètre est crucial : il englobe tout ce qui doit être protégé. Les organisations doivent donc garantir la protection de l’ensemble de leur structure, afin d’empêcher des acteurs malveillants d’exploiter un point d’entrée, tel qu’un employé de niveau inférieur, pour accéder aux systèmes et atteindre des cibles de grande valeur. Sécuriser uniquement quelques individus ou appareils ne suffit pas : tout le réseau et tous ses utilisateurs doivent être protégés.
Le mouvement latéral est une tactique courante utilisée dans environ 25 % des cyberattaques. Ce terme ne signifie pas que les hackers se déplacent toujours horizontalement dans un réseau. Leurs actions peuvent suivre un mouvement de type « lattice », montant et descendant, plutôt que simplement en travers. Le mouvement latéral est exacerbé par les comptes sur-privilégiés, qui disposent de plus de droits d’accès que nécessaire pour accomplir leurs tâches, augmentant les risques et les vulnérabilités.
Qu’est-ce que le mouvement latéral ?
Le mouvement latéral désigne la traversée d’un réseau par des techniques comme l’élévation de privilèges, l’exploitation de vulnérabilités et d’autres méthodes, à partir d’un point d’accès initial. Les hackers utilisent cette technique pour étendre leur portée dans le réseau d’une entreprise et rester discrets. Ils pivotent depuis leur point d’entrée initial, comme un compte compromis sur un ordinateur portable d’entreprise, vers le reste du réseau, accédant à des systèmes ou données sensibles pour atteindre leurs objectifs, qu’il s’agisse de vol de données, de perturbation du réseau ou d’une compromission plus profonde.
La rapidité des attaques
La vitesse des cyberattaques augmente également grâce à l’automatisation. En moyenne, les attaquants mettent désormais 62 minutes pour se déplacer latéralement d’un point d’accès initial à d’autres appareils ou systèmes sur le même réseau, selon le rapport 2024 de CrowdStrike (1). Ces menaces croissantes exigent que les entités définissent leur périmètre de sécurité le plus loin possible pour compliquer l’accès des acteurs malveillants.
Études de cas majeures
Une violation peut commencer depuis n’importe quel compte, même sans privilèges élevés. En 2021, le groupe DarkSide a compromis Colonial Pipeline en utilisant des identifiants VPN compromis d’un employé. Cela a permis un mouvement latéral dans l’infrastructure et le vol de 100 gigaoctets de données en deux heures. D’autres cas similaires incluent l’exploitation de vulnérabilités chez MITRE Corporation en 2023 par des hackers chinois.
Les PME également en danger
Les petites et moyennes entreprises (PME) ne sont pas épargnées. Selon un rapport de Microsoft, un tiers des PME ont été victimes d’une cyberattaque l’année dernière. Ces entreprises sont souvent perçues comme ayant une sécurité moins robuste, ce qui en fait des cibles attrayantes. Pour preuve, le groupe CosmicBeetle a exploité des vulnérabilités dans des technologies utilisées par des PME en Turquie, en Espagne et ailleurs pour installer son malware SCRansom.
Les campagnes opportunistes
Des campagnes de grande envergure peuvent cibler toutes sortes d’entités : Storm-1811 a utilisé l’outil Windows Quick Assist pour diffuser un ransomware, et CRYSTALRAY a déployé des crypto-miners via des exploits ciblant des PME. Ces attaques démontrent l’importance de prévenir toute entrée initiale.
Pourquoi protéger l’ensemble des utilisateurs ?
Dans un tel contexte, utiliser un gestionnaire de mots de passe, comme LastPass, pour un sous-ensemble d’utilisateurs crée des failles exploitables par les acteurs malveillants. Les menaces ne font pas de distinction entre les points d’accès protégés et non protégés : elles ciblent le maillon le plus faible. Le périmètre doit donc être étendu au maximum pour couvrir chaque individu, appareil et point d’accès. Une protection globale réduit les vulnérabilités exposées et diminue le risque de violations pouvant compromettre l’ensemble du système.
(1) – https://www.crowdstrike.com/fr-fr/resources/reports/global-threat-report-executive-summary-2024/