Ce que l'affaire Stryker révèle sur la stratégie offensive de Handala.
Lire le blog

Ce que l'attaque Stryker révèle sur la stratégie du groupe Handala. Lire l'article →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Mouvement latéral

Comment les pirates évoluent dans les réseaux hybrides après la première intrusion

Mars 17, 2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Comment les pirates évoluent dans les réseaux hybrides après la première intrusion

L'accès initial est rarement l'objectif final d'une attaque. Ce n'est que le point de départ.

Une fois que les pirates ont établi une présence durable au sein d'un réseau, leur objectif suivant est de s'étendre. Ils passent du système initialement compromis à d'autres hôtes, identités et services jusqu'à ce qu'ils trouvent quelque chose de précieux.

Cette phase est appelée « mouvement latéral ».

Dans les environnements hybrides modernes, les mouvements latéraux s'effectuent souvent de manière furtive. Les attaquants utilisent des identifiants légitimes, des outils approuvés et des protocoles administratifs courants.

Vu de l'extérieur, rien ne semble cassé.

Mais au sein du réseau, le pirate étend progressivement son emprise.

Pourquoi les mouvements latéraux sont-ils difficiles à détecter ?

Les systèmes de défense traditionnels sont conçus pour bloquer les attaquants au niveau du périmètre ou pour détecter malware les terminaux.

Les déplacements latéraux déclenchent rarement l'une ou l'autre de ces mesures de contrôle. Les attaquants se déplacent en interne en utilisant des outils et des comportements qui ressemblent à une activité administrative normale. Ils s'appuient souvent sur des protocoles intégrés tels que SMB, RDP et PowerShell, ou sur des utilitaires légitimes de gestion à distance.

Chaque geste pris isolément peut sembler anodin.

Prise isolément, cela ressemble à une activité informatique courante.

Considéré dans son ensemble, cela révèle une intrusion qui se propage dans l'environnement.

1. Comment les pirates commencent à se déplacer au sein du réseau

La première étape d'un déplacement latéral consiste à effectuer une reconnaissance.

Les pirates commencent par poser des questions simples à l'environnement. Les systèmes fournissent souvent ces réponses automatiquement.

Ils commencent par vérifier les droits d'accès et l'appartenance à des groupes, identifier les structures de domaine et cartographier les systèmes visibles ou les ressources partagées.

Leur objectif est d'établir une liste restreinte de cibles potentielles.

Active Directory est souvent au cœur de ce processus de découverte, car il met en évidence les relations entre les utilisateurs, les groupes et les systèmes.

Des outils tels qu'ADScan ou AdFind permettent aux pirates d'interroger directement Active Directory. D'autres s'appuient sur BloodHound, qui cartographie les relations entre les identités et met en évidence les voies d'escalade des privilèges au sein du domaine.

Ces outils transforment l'infrastructure d'identité en une feuille de route pour les attaques.

2. Élargir l'accès par le vol d'identifiants

Une fois que les pirates ont cerné l'environnement, ils commencent à collecter des identifiants.

De nombreuses intrusions reposent sur la réutilisation d'identifiants plutôt que sur l'exploitation de nouvelles vulnérabilités.

Les pirates recherchent dans les systèmes compromis :

  • identifiants mis en cache
  • Tickets Kerberos
  • jetons d'authentification enregistrés
  • sessions actives sur les serveurs

Des outils tels que Mimikatz permettent d'extraire des mots de passe, des hachages NTLM et des tickets Kerberos directement de la mémoire des hôtes compromis. Chaque identifiant récupéré élargit le champ d'action de l'attaquant. Plus il y a d'identités, plus il y a de systèmes à explorer.

3. Exécution à distance : dès que le mouvement latéral commence

Le déplacement latéral commence véritablement dès que les pirates exécutent des commandes sur un deuxième système. À ce stade, ils vérifient trois éléments :

  1. le système cible est accessible
  2. les identifiants volés confèrent des privilèges suffisants
  3. une exécution à distance est possible

Les pirates ont rarement besoin de malware sur mesure pour y parvenir.

Ils ont souvent recours à des outils administratifs légitimes tels que :

  • PsExec pour exécuter des commandes à distance
  • RDP pour se connecter à un autre système en mode interactif
  • Partages administrateur SMB pour copier des fichiers ou lancer des processus

Des frameworks tels que Cobalt Strike ou Brute Ratel automatisent bon nombre de ces actions, permettant ainsi aux attaquants de contrôler simultanément plusieurs systèmes compromis.

Du point de vue du défenseur, ces actions peuvent sembler identiques à des opérations légitimes d'administration du système.

4. Évoluer au sein du réseau

Une fois que les pirates ont accédé à d'autres systèmes, ils répètent le processus.

À chaque nouveau point de vue, ils poursuivent leur exploration, à la recherche de :

  • contrôleurs de domaine
  • infrastructure d'identité
  • référentiels sensibles
  • comptes privilégiés

Chaque nouveau système apporte des informations d'identification supplémentaires et une meilleure visibilité sur le réseau.

Ce processus itératif se poursuit jusqu'à ce que les pirates parviennent aux systèmes qu'ils souhaitent finalement contrôler.

Il peut s'agir d'infrastructures d'identité, cloud ou de référentiels de données.

À ce stade, l'attaquant contrôle effectivement l'environnement.

Les nouveaux modèles d'accès transforment la mobilité latérale

Les modèles d'accès informatiques modernes facilitent les déplacements latéraux.

Les outils conçus pour faciliter l'accès à l'infrastructure peuvent également faciliter les manœuvres des pirates une fois qu'une identité a été compromise.

Par exemple : des plateformes telles que Teleport centralisent l'accès à l'infrastructure grâce à une authentification basée sur l'identité. Si des pirates parviennent à compromettre le bon compte, ils peuvent ainsi obtenir l'accès à une grande partie de l'environnement.

De même, des plateformes de mise en réseau telles que Tailscale établissent des liaisons sécurisées entre les appareils sans recourir à une infrastructure VPN classique.

Lorsque des pirates prennent le contrôle de l'une de ces identités ou de l'un de ces appareils, ils peuvent accéder à des systèmes qui n'ont jamais été directement exposés à Internet.

En d'autres termes, les architectures d'accès conçues pour faciliter l'utilisation peuvent devenir de puissants vecteurs de propagation latérale.

Pourquoi les outils de sécurité traditionnels peinent à s'imposer dans ce domaine

La plupart des outils de défense analysent des signaux isolés.

L'EDR se concentre sur endpoint . Les plateformes IAM se concentrent sur l'authentification. Les outils de sécurité réseau se concentrent sur l'activité au niveau du périmètre.

On observe souvent des mouvements latéraux entre ces couches.

Les attaquants utilisent des identifiants légitimes, des protocoles natifs et des outils d'administration approuvés. L'activité semble autorisée, cryptée et conforme aux politiques en vigueur.

Rien ne semble manifestement malveillant. Jusqu'à ce que l'on analyse le comportement dans l'ensemble de l'environnement.

Ce qu'implique réellement la détection des mouvements latéraux

Pour détecter les mouvements latéraux, il faut pouvoir observer le comportement des identités sur l'ensemble du réseau. Les équipes du SOC doivent rechercher des schémas tels que :

  • exécution à distance anormale entre des systèmes
  • activité inhabituelle liée aux identités sur plusieurs hôtes
  • authentifications répétées sur plusieurs systèmes dans des délais très courts
  • activité de reconnaissance interne
  • modèles de réutilisation des identifiants qui se propagent rapidement à l'ensemble de l'infrastructure

Ces comportements permettent de détecter les manœuvres des attaquants, même lorsque leurs actions individuelles semblent légitimes.

La détection doit se concentrer sur les enchaînements de comportements, et non sur des alertes isolées.

Comment la Vectra AI détecte les mouvements des attaquants sur le réseau

Les mouvements latéraux impliquent rarement malware manifestes. Les attaquants s'appuient généralement sur des identifiants légitimes et des protocoles administratifs approuvés. Les outils d'exécution à distance, les partages de fichiers et les services d'identité sont utilisés exactement comme le feraient des administrateurs.

Considérées isolément, ces mesures semblent autorisées.

La Vectra AI analyse la manière dont les identités interagissent avec les systèmes sur l'ensemble du réseau afin d'identifier les schémas indiquant une propagation des attaquants. La réutilisation d'identifiants sur plusieurs hôtes, les chemins d'exécution à distance anormaux et les activités de reconnaissance internes révèlent lorsqu'une identité est utilisée pour se déplacer dans l'environnement.

En établissant un lien entre le trafic réseau et le comportement des utilisateurs, la plateforme reconstitue les déplacements de l'attaquant au sein de l'infrastructure hybride. Cela permet aux équipes du SOC de voir comment une intrusion se propage d'un système à l'autre et d'intervenir avant que l'attaquant ne parvienne à prendre le contrôle du domaine, à accéder à des données sensibles ou à déployer un ransomware.

Au lieu de se concentrer sur des alertes isolées, les analystes peuvent suivre le parcours de l'attaquant à travers le réseau.

Vos prochaines étapes

Au moment où les pirates commencent à se déplacer latéralement, l'intrusion est déjà bien avancée.

À ce stade, ils réutilisent des identifiants, exécutent des commandes à distance et passent d'un système à l'autre jusqu'à ce qu'ils atteignent l'infrastructure d'identité, des données sensibles ou des systèmes leur permettant de lancer un ransomware.

Dans Épisode 3 d'Attack Lab : Mouvement latéral – Comment les attaquants se déplacent dans le réseau, nous expliquons comment les attaquants modernes étendent leur contrôle au sein d’environnements hybrides en utilisant des outils d’administration légitimes et des identités volées.

Regardez cette session pour découvrir comment les mouvements latéraux se déroulent concrètement lors d'intrusions réelles et comment les équipes du centre de sécurité des opérations (SOC) peuvent détecter le comportement des attaquants avant que la compromission ne se propage dans l'environnement.

Pour comprendre l'ensemble du parcours de l'attaquant, vous pouvez également consulter les autres sessions de l'Attack Lab consacrées à l'accès initial et la persistance, qui montrent comment ces intrusions commencent et comment les attaquants s'implantent durablement.

---

*Citation du livre de Vinny Troia "Grey Area : Dark Web Data Collection and the Future of OSINT" (La collecte de données sur le web sombre et l'avenir de l'OSINT)

Foire aux questions