Les menaces persistantes avancées (APT) expliquées : les cybermenaces d'État que les défenseurs doivent comprendre

Une menace persistante avancée n’est pas une opération éclair. Il s’agit d’une campagne qui s’étend sur plusieurs mois, menée par certains des adversaires les mieux dotés en ressources de la planète : des États-nations et des groupes soutenus par des États qui disposent de la patience, des moyens financiers et de l’expertise nécessaires pour infiltrer un réseau, y rester indétectés et extraire exactement ce qu’ils sont venus chercher. Rien qu'en 2025, la Salt Typhoon a compromis plus de 600 organisations dans 80 pays, tandis que le groupe Lazarus a réalisé un vol de cryptomonnaies d'une valeur de 1,5 milliard de dollars en compromettant une seule chaîne d'approvisionnement . Le marché de la protection contre les menaces persistantes avancées (APT) a atteint environ 9,2 milliards de dollars, ce qui reflète l'ampleur du problème auquel les organisations sont confrontées aujourd'hui. Ce guide explique ce que sont les APT, comment elles opèrent, quels groupes sont les plus actifs et, surtout pour les défenseurs, comment les détecter et les neutraliser.

Qu'est-ce qu'une menace persistante avancée (APT) ?

Une menace persistante avancée (APT) est une cyberattaque sophistiquée et de longue durée cyberattaque au cours de laquelle un adversaire disposant de ressources importantes — généralement un État-nation ou un groupe soutenu par un État — obtient un accès non autorisé à un réseau et y maintient une présence cachée pendant une longue période afin de voler des données, de mener des activités d'espionnage ou de sabotage.

Le Centre de ressources sur la sécurité informatique du NIST définit une APT comme « un adversaire disposant d'un niveau d'expertise sophistiqué et de ressources importantes qui lui permettent de créer des occasions d'atteindre ses objectifs en utilisant de multiples vecteurs d'attaque ». Cette définition formelle rend compte des trois caractéristiques qui distinguent les APT des cyberattaques classiques.

Avancé. APT cybercriminels utilisent malware sur mesure, zero-day et des techniques d'évasion sophistiquées. Ils adaptent leurs outils en cours de campagne lorsque les défenseurs détectent certains composants.

Persistance. La durée de persistance — c'est-à-dire le laps de temps entre l'infection initiale et la détection — s'élève en moyenne à 95 jours pour les opérations APT, certaines campagnes pouvant durer plus d'un an. La campagne Salt Typhoon a sévi pendant un à deux ans avant d'être découverte. Cela contraste fortement avec la durée médiane de persistance des cyberattaques, qui est généralement de huit jours.

Menace. Les APT sont des adversaires humains organisés et disposant de moyens financiers importants, qui poursuivent des objectifs précis. Contrairement aux cybercriminels opportunistes qui exploitent tout ce qu’ils trouvent, les groupes APT ciblent des organisations spécifiques pour atteindre des objectifs stratégiques : vol de propriété intellectuelle, espionnage politique, sabotage d’infrastructures critiques ou détournement financier à grande échelle.

Principales caractéristiques d'une attaque APT

Les caractéristiques distinctives d'une attaque APT comprennent le soutien d'un État-nation ou d'un organisme soutenu par un État, une méthodologie d'attaque en plusieurs étapes qui s'étend sur plusieurs semaines ou mois, des objectifs stratégiques spécifiques allant au-delà du simple gain financier, l'utilisation d'outils sur mesure et zero-day , ainsi que la capacité à s'adapter et à rétablir leur présence même après une détection partielle. Les APT se distinguent également des malware classiques malware ce qu'il s'agit d'opérations dirigées par des humains. Alors que malware des routines automatisées, les opérateurs d'APT prennent des décisions en temps réel, s'adaptent en fonction de ce qu'ils découvrent et modifient leurs techniques pour contourner les défenses spécifiques qu'ils rencontrent. Il est essentiel de comprendre ces caractéristiques pour mettre en place des défenses à la hauteur de la sophistication de la menace.

Comment fonctionnent les attaques APT : le cycle de vie d'une attaque APT

Les attaques APT suivent un cycle de vie en plusieurs étapes qui peut s'étendre sur plusieurs semaines, voire plusieurs années. Bien que divers modèles décrivent ce processus de différentes manières — allant de schémas en trois étapes à des cadres en sept phases —, le cycle de vie en six étapes présenté ci-dessous rend compte des phases essentielles que les défenseurs doivent comprendre.

1. Reconnaissance — Étude des cibles, cartographie des infrastructures et analyse des vulnérabilités afin d'identifier les points d'entrée et les actifs de grande valeur.
2. Accès initial — Selon l'étude 2026 de l'Unit 42, phishing spear phishing et l'exploitation de vulnérabilités arrivent ex aequo en tête des vecteurs d'accès initial, avec 22 % chacun. Les attaques APT exploitent également zero-day , les compromissions de la chaîne d'approvisionnement et les failles des périphériques de périphérie, notamment dans les routeurs et les appareils VPN.
3. Assurer la persistance — Les pirates installent des portes dérobées, des rootkits et des canaux de commande et de contrôle (C2) afin de conserver leur accès même si le point d'entrée initial est découvert et fermé.
4. Déplacement latéral et élévation des privilèges — Les opérateurs se déplacent d'un segment de réseau à l'autre en utilisant des identifiants volés et en exploitant des identités, à la recherche d'un accès privilégié et de cibles de grande valeur.
5. Collecte et préparation des données — Les pirates identifient, regroupent et préparent les données de grande valeur en vue de leur extraction, en les compressant et en les chiffrant souvent pour éviter toute détection.
6. Exfiltration ou impact — Vol de données, espionnage, sabotage par le biais d'attaques de type « wiper » ou escroquerie financière. Le braquage de Bybit par le groupe Lazarus et les attaques de type « wiper » ZEROLOT menées par Sandworm représentent les deux extrêmes de cette dernière étape.

Selon le rapport 2026 Global Incident Response Report de l'Unit 42, dans les cas les plus rapides observés, l'ensemble du processus, de l'accès initial à l'exfiltration, ne prend désormais que 72 minutes — soit quatre fois plus vite que l'année précédente.

L'identité comme principal vecteur d'attaque APT

Les failles d'identité sont devenues le principal vecteur d'attaque des APT en 2025 et 2026. Les recherches menées par Unit 42 montrent que les failles d'identité ont joué un rôle déterminant dans près de 90 % des enquêtes, et que 65 % des accès initiaux sont désormais liés à l'identité. Cela marque un changement fondamental dans le mode opératoire des APT.

Les campagnes APT modernes exploitent le vol d'identifiants, la manipulation de jetons, la compromission des services d'annuaire et l'usurpation d'identité non humaine — en ciblant les clés API, les comptes de service et les jetons OAuth dont dépendent les systèmes automatisés. Plutôt que de déployer malware sur mesure malware déclencher endpoint , les groupes sophistiqués se connectent à l'aide d'identifiants légitimes et opèrent via l'infrastructure d'identité, ce qui rend la détection bien plus difficile pour les outils de sécurité traditionnels.

Outils et techniques d'APT

Les groupes APT déploient plusieurs catégories d'outils de menaces persistantes avancées, tous conçus pour échapper à la détection.

• malware sur mesure — Des implants spécialement conçus, tels que TernDoor et PeerTime Salt Typhoon ou GearDoor de Silver Dragon, destinés à des cibles et des campagnes spécifiques
• Techniques « living-off-the-land » — Utilisation d'outils système légitimes déjà présents dans l'environnement pour éviter d'introduire malware détectables
• Outils d'accès à distance légitimes — Utilisation détournée de logiciels d'administration à distance autorisés pour obtenir un accès non autorisé
• AbusCloud — Utilisation cloud pour les communications C2, à l'instar de Silver Dragon (APT41) qui a utilisé Google Drive pour ses opérations C2

Pour les défenseurs, l'essentiel est de bien comprendre ces catégories afin d'élaborer des stratégies de détection adaptées, et non pas de se concentrer sur les outils eux-mêmes. Le cadre de la « cyber kill chain » fournit des informations supplémentaires sur la manière dont ces outils s'inscrivent dans les différentes phases d'une attaque.

Les groupes APT et des exemples concrets

Des groupes spécialisés dans les menaces persistantes avancées (APT) continuent de cibler les secteurs des télécommunications, des administrations publiques, de l'énergie et de la finance au moyen de campagnes de plus en plus sophistiquées. Selon les rapports sur les menaces publiés par le secteur, la Chine et la Corée du Nord sont à l'origine de 55 % des attaques APT à l'échelle mondiale.

Salt Typhoon RPC/MSS). Ce groupe soutenu par l'État chinois a mené la campagne d'espionnage télécom la plus importante de l'histoire récente, compromettant plus de 600 organisations dans 80 pays, dont neuf opérateurs télécoms américains et les systèmes d'écoute téléphonique CALEA. En 2026, Salt Typhoon a étendu ses opérations aux opérateurs télécoms sud-américains avec de nouveaux logiciels espions, notamment TernDoor, PeerTime et BruteEntry.

Le groupe Lazarus (RPDC). Le groupe APT le plus actif de Corée du Nord a orchestré le vol de cryptomonnaies d'une valeur de 1,5 milliard de dollars sur la plateforme Bybit en exploitant une faille dans la chaîne d'approvisionnement de l'environnement de développement de Safe{Wallet} — il s'agit du plus important vol financier jamais enregistré dans le cadre d'une attaque APT.

APT41/Silver Dragon (RPC). Ce groupe à double mission a mené des opérations d'espionnage contre des gouvernements européens en utilisant une porte dérobée GearDoor avec Google Drive comme système de commande et de contrôle (C2), démontrant ainsi des techniques d'attaque cloud.

Sandworm/APT44 (Russie/GRU). Ce groupe d'attaquants avancés (APT) lié aux services de renseignement militaires russes a lancé des attaques de type « wiper » à l'aide du logiciel ZEROLOT contre les infrastructures énergétiques ukrainiennes et a tenté des attaques similaires contre les réseaux énergétiques polonais, poursuivant ainsi sa stratégie visant à perturber les infrastructures critiques.

Le rapport « ENISA Threat Landscape 2025 » a recensé 4 875 incidents dans l'Union européenne entre juillet 2024 et juin 2025, les acteurs liés à des États ayant intensifié leurs campagnes d'espionnage à long terme. L'Agence de cybersécurité de Singapour a lancé l'opération CYBER GUARDIAN en réponse à l'attaque contre les télécommunications menée par UNC3886, déployant plus de 100 cyberdéfenseurs.

Groupes APT classés par attribution à un État-nation

Tableau : « Principaux groupes APT actifs en 2025-2026, avec attribution à des États-nations et campagnes récentes ». Texte alternatif : « Tableau répertoriant les principaux groupes APT classés par attribution à des États-nations, avec leurs cibles principales et leurs activités récentes ».

Ces groupes APT ne représentent que les opérations les plus visibles. Des centaines d'autres groupes opèrent avec des niveaux variables de soutien étatique, et la frontière entre les groupes APT soutenus par des États et les organisations cybercriminelles sophistiquées continue de s'estomper. Pour une analyse plus approfondie de cybercriminels spécifiques, consultez les ressources Vectra AI consacrées aux acteurs des cybermenaces ainsi que sa couverture des récentes violations de données.

Les APT dans la pratique : impact sur les entreprises et tendances

Les groupes de piratage avancé (APT) opèrent désormais quatre fois plus vite qu'il y a un an, exploitent de plus en plus les infrastructures cloud d'identité, et tirent parti de l'IA pour étendre leurs opérations à des centaines d'organisations simultanément.

L'impact financier des campagnes APT va de plusieurs millions de dollars en frais d'enquête et de remédiation à des pertes catastrophiques liées à un seul incident. Le vol de 1,5 milliard de dollars commis par le groupe Lazarus chez Bybit constitue l'incident APT ayant eu le plus fort impact financier jamais enregistré. Les entreprises réagissent : le marché de la protection contre les APT a atteint environ 9,2 milliards de dollars en 2025 et connaît une croissance annuelle moyenne de 19,9 %, reflétant l'intensification de la menace.

Les techniques de piratage optimisées par l'IA transforment les opérations APT. Selon le rapport « Threat Landscape 2025 » de l'ENISA, plus de 80 % des phishing intègrent désormais du contenu généré par l'IA. APT36 est devenu le premier acteur étatique répertorié à utiliser l'IA comme une « chaînemalware », accélérant ainsi la production de malware polymorphes. Parallèlement, 48 % des professionnels de la cybersécurité classent l'IA agentique comme le principal vecteur d'attaque pour 2026, reconnaissant que les agents IA introduisent de nouvelles identités non humaines et élargissent les surfaces d'attaque en matière de sécurité IA.

Modèles d'APT spécifiques aux environnements Cloud et au SaaS

Les groupes d'attaques avancées (APT) ciblent de plus en plus cloud à l'aide de techniques spécialement conçues pour les infrastructures cloud. Parmi celles-ci figurent l'exploitation abusive de la fédération d'identités pour passer cloud sur site aux cloud , le vol de jetons OAuth pour obtenir un accès persistant aux applications SaaS, la compromission de la chaîne d'approvisionnement SaaS via les outils de développement et les pipelines de compilation, ainsi que la réutilisation cloud à des fins de communication C2.

La campagne « Silver Dragon » illustre parfaitement cette tendance, puisqu’elle utilise Google Drive comme canal de commande et de contrôle qui se fond dans le trafic normal de l’entreprise. APT31 a eu recours à des services cloud pour ses opérations de commande et de contrôle, exploitant ainsi la confiance que les organisations accordent cloud légitimes. À mesure que les entreprises accélèrent cloud , ces techniques ne feront que se généraliser, ce qui exigera des capacités de détection couvrant à la fois l’identité, le réseau et cloud .

Détection et prévention des menaces avancées persistantes (APT)

Une défense efficace contre les attaques APT nécessite des contrôles à plusieurs niveaux combinant l'analyse comportementale, la surveillance des identités, détection et réponse aux incidents, les renseignements sur les menaces et le renforcement de la sécurité des terminaux, plutôt qu'un outil ou une approche unique.

Analyse comportementale et NDR. La surveillance continue du trafic réseau permet de détecter les comportements post-intrusion caractéristiques des menaces avancées (APT) — mouvements latéraux, communications C2 et transfert de données — que les outils basés sur les signatures manquent systématiquement. détection et réponse aux incidents une visibilité sur ces comportements à l'échelle de l'ensemble du réseau, y compris le trafic chiffré.

Surveillance des identités. Étant donné que des failles liées aux identités sont constatées dans 90 % des enquêtes sur les attaques APT et que 65 % des accès initiaux reposent sur l'exploitation d'identités, la détection et la réponse aux menaces liées aux identités ne sont plus une option. Surveillez les schémas d'authentification anormaux, la manipulation des jetons, la compromission de l'authentification unique (SSO) et la persistance des accès privilégiés.

Recherche de menaces. Des opérations de recherche proactives régulières, axées sur les schémas de déplacement latéral et les indicateurs C2, permettent de détecter les activités APT que les outils automatisés pourraient ne pas repérer.

Renforcement de la sécurité des terminaux périphériques. Les routeurs, les pare-feu et les appareils VPN sont de plus en plus souvent pris pour cibles en tant que points d'accès initiaux, comme l'ont démontré les campagnes Salt Typhoon UNC3886. Il est essentiel de disposer d'une visibilité au niveau de la couche réseau sur ces appareils.

Mise en œuvre des renseignements sur les menaces. Exploiter les flux de renseignements sur les menaces provenant de la CISA et de sources du secteur, et agir en conséquence. La collecte de renseignements sans leur mise en œuvre crée un faux sentiment de préparation.

Préparation à la gestion des incidents. Conservez des sauvegardes hors ligne et des plans d'intervention testés, spécialement conçus pour les scénarios d'attaques APT destructrices, telles que les attaques de type « wiper ».

Indicateurs d'une intrusion de type APT

Les responsables de la sécurité doivent surveiller les signes suivants d'activité liée à des menaces persistantes avancées :

• Des schémas inhabituels de trafic sortant, en particulier des transferts de données volumineux vers des destinations inconnues
• Événements d'authentification anormaux, notamment les connexions en dehors des heures de travail et les scénarios de déplacement impossibles
• Mise en place ou compression inattendue de données dans des répertoires inhabituels
• Mécanismes de persistance tels que de nouvelles tâches planifiées, des modifications du registre ou des services non autorisés
• Requêtes DNS anormales suggérant un comportement de tunneling DNS ou de balisage
• Indicateurs de déplacement latéral, y compris l'utilisation inhabituelle de protocoles d'administration à distance

Mettre en place une défense multicouche contre les attaques APT

Aucun outil ne permet à lui seul de bloquer les menaces APT. L'approche la plus efficace consiste à associer une solution NDR à des solutions EDR et SIEM afin d'assurer une couverture complète du réseau, endpoint et des données de télémétrie des journaux. Appliquez zero trust pour limiter l'étendue des dégâts. Imposez l'authentification multifactorielle sur tous les points d'accès. Mettez en place une surveillance continue plutôt que des évaluations périodiques.

Tableau : « Liste de contrôle pour la détection des attaques APT destinée aux équipes SOC, couvrant endpoint du réseau, des identités et endpoint . »

Les APT et les cadres de conformité

La norme NIST SP 800-172 prévoit des mesures de sécurité renforcées spécialement conçues pour la défense contre les menaces de type APT visant les informations non classifiées contrôlées (CUI) émanant d'États-nations. Ses principes clés — double autorisation, segmentation du réseau, surveillance continue et principe du moindre privilège — répondent directement à la persistance et à la sophistication qui caractérisent les opérations APT.

MITRE ATT&CK cartographie les comportements des APT à travers les 14 tactiques d'entreprise, offrant ainsi un langage commun pour l'ingénierie de la détection. Parmi les principales techniques liées aux APT, on peut citer T1566 (Phishing), T1547 (Exécution automatique au démarrage ou à la connexion), T1021 (Services à distance), T1071 (protocole de la couche application pour le C2), et T1041 (Exfiltration via le canal C2). Le texte complet Cadre MITRE ATT&CK de MITRE ATT&CK fournit une cartographie au niveau technique pour la création de règles de détection.

Tableau : « Cartographie du cadre réglementaire et de conformité pour la défense contre les APT ». Texte alternatif : « Tableau mettant en correspondance les exigences en matière de défense contre les APT avec la norme NIST SP 800-172, MITRE ATT&CK, la norme ISO 27001, les contrôles CIS et les recommandations de la CISA. »

Les organisations soumises à des cadres de conformité réglementaire devraient aligner leurs programmes de défense contre les menaces avancées persistantes (APT) sur ces cadres de sécurité afin de garantir à la fois leur efficacité opérationnelle et leur préparation aux audits.

Approches modernes de la défense contre les APT

Le secteur fait évoluer la défense contre les menaces avancées (APT) au-delà de la sécurité périmétrique traditionnelle. Les menaces APT s'appuyant de plus en plus sur l'usurpation d'identité plutôt que malware une évolution mise en évidence par Intelligent CISO —, les responsables de la sécurité ont besoin de capacités de détection comportementale couvrant à la fois l'identité, le réseau et cloud .

Les solutions modernes de lutte contre les menaces persistantes avancées s'articulent autour de trois fonctionnalités. Premièrement, la détection des menaces basée sur l'IA, qui identifie les comportements des attaquants en temps réel plutôt que de s'appuyer sur des signatures connues. Deuxièmement, la détection et la réponse aux menaces liées à l'identité, qui surveille l'utilisation abusive des identifiants, la manipulation des jetons et les schémas d'accès anormaux au niveau de la couche d'identité. Troisièmement, la couverture unifiée de la surface d'attaque, qui met en corrélation les signaux provenant des réseaux sur site, cloud , des systèmes d'identité et des applications SaaS.

Vectra AI en matière de défense contre les menaces avancées persistantes (APT)

L'approche Vectra AI en matière de défense contre les menaces APT repose sur la philosophie du « assume-compromise » (partir du principe que le système est déjà compromis). Étant donné que des attaquants sophistiqués finiront par obtenir un accès, la capacité essentielle consiste à détecter leurs comportements post-compromission — mouvements latéraux, élévation de privilèges, communications C2 et préparation des données — grâce à Attack Signal Intelligence ) basée sur l'IA Attack Signal Intelligence met en corrélation les signaux sur l'ensemble du réseau moderne. Cela signifie une couverture s'étendant aux environnements sur site, cloud, d'identité et SaaS via la Vectra AI , permettant aux équipes SOC de repérer et d'arrêter les opérateurs APT avant qu'ils n'atteignent leurs objectifs, même lorsque ces opérateurs utilisent des identifiants légitimes et des techniques « living-off-the-land » qui contournent les défenses traditionnelles.

Tendances futures et considérations émergentes

Le paysage des menaces persistantes avancées entre dans une période de transformation rapide, sous l'impulsion de l'adoption de l'IA par les deux camps. Au cours des 12 à 24 prochains mois, les organisations doivent se préparer à plusieurs évolutions majeures.

Les opérations APT basées sur l'IA vont connaître une expansion spectaculaire. Alors que 80 % des phishing utilisent déjà du contenu généré par l'IA et que le groupe APT36 a démontré que l'IA pouvait servir de chaîne malware , il faut s'attendre à ce que davantage de groupes APT adoptent l'IA pour automatiser la reconnaissance, personnaliser l'ingénierie sociale et malware polymorphes. Les 48 % de professionnels de la cybersécurité qui classent l'IA agentique parmi les principaux vecteurs d'attaque pour 2026 réagissent à une menace réelle et immédiate : les agents IA introduisent de nouvelles identités non humaines qui élargissent la surface d'attaque.

Les attaques ciblant les identités vont s'intensifier. La transition des opérations APT malware vers celles axées sur les identités s'accélère. À mesure que les entreprises déploient davantage cloud , d'applications SaaS et d'agents d'IA, le nombre d'identités non humaines — clés API, comptes de service, jetons OAuth — va croître de manière exponentielle. Les groupes APT s'attaqueront à ces identités.

Les cadres réglementaires vont se durcir. La norme NIST SP 800-172 Rev. 1 devrait traiter des modèles d'APT cloud et des menaces liées à l'IA. La réduction budgétaire de 495 millions de dollars proposée par la CISA, si elle était adoptée, pourrait réduire la capacité nationale de coordination en matière de défense contre les APT, précisément au moment où celle-ci est la plus nécessaire. Les organisations ne devraient pas compter uniquement sur la coordination gouvernementale et devraient investir dans leurs propres capacités de détection et d'intervention.

Les périphériques en périphérie de réseau resteront des cibles de choix. L'exploitation des routeurs et des appareils VPN Salt Typhoon a démontré que les périphériques en périphérie de réseau constituent des points d'accès initiaux très attractifs. Les entreprises devraient accorder la priorité à la visibilité au niveau de la couche réseau et à la surveillance de l'intégrité du micrologiciel pour ces périphériques.

Conclusion

Les menaces persistantes avancées (APT) constituent la catégorie la plus sophistiquée de cyberattaques, et leurs opérations s'intensifient. Alors que les attaques passent de la phase d'accès à celle d'exfiltration en à peine 72 minutes, que l'exploitation des identités est constatée dans 90 % des enquêtes et que les techniques d'attaque optimisées par l'IA permettent une expansion mondiale des opérations APT, les défenseurs sont confrontés à un défi radicalement différent de celui qu'ils devaient relever il y a encore deux ans.

La réponse la plus efficace combine une détection multicouche couvrant le réseau, les identités, endpoint et cloud avec une recherche proactive des menaces et une intelligence sur les menaces mise en œuvre de manière opérationnelle. Aucun outil ne suffit à lui seul. Les organisations doivent aligner leurs défenses sur des référentiels établis tels que la norme NIST SP 800-172 et MITRE ATT&CK, investir dans des capacités de détection comportementale capables d'identifier les comportements post-compromission quels que soient les outils utilisés par l'attaquant, et préparer des plans de réponse aux incidents tant pour les opérations furtives de longue durée que pour les campagnes d'exfiltration rapide.

Les organisations qui partent du principe qu'une intrusion est inévitable et mettent en place des capacités de détection en conséquence — plutôt que de se contenter de miser sur la prévention — sont les mieux placées pour repérer et neutraliser les auteurs d'attaques APT avant qu'ils n'atteignent leurs objectifs.