Comprendre les différentes attaques cyber
Panorama des menaces, typologies d'attaques, profils et motivations des attaquants, et repères CTI pour se défendre.
Qui • Quoi • Pourquoi • Comment • Quand
🧭 Sommaire de la page
Introduction
Bienvenue dans ce cours dédié à la compréhension des menaces cybernétiques. Pour se défendre efficacement, il ne suffit pas d'installer un antivirus; il faut avant tout comprendre l'adversaire: qui il est, ce qu'il cherche, comment il opère et quand ses actions surviennent.
À la fin de ce module, vous n'aurez plus une vision monolithique du « hacker », mais une compréhension structurée de l'écosystème des menaces selon le cadre 5W: qui, quoi, pourquoi, comment et quand.
Objectif du module
Donner des repères concrets pour identifier les menaces, comprendre le déroulement des attaques (rapides vs longues/APT), reconnaître les profils et motivations des adversaires et prioriser la défense.
Public visé
Décideurs, praticiens sécurité/IT, étudiants et équipes opérationnelles souhaitant une compréhension structurée des menaces.
Pré-requis
Aucun prérequis technique dur; une familiarité avec les SI et le vocabulaire courant aide.
À l'issue, vous saurez
- Relier acteurs, motivations, cibles et méthodes d'attaque.
- Identifier les actifs critiques et les scénarios d'abus plausibles.
- Prioriser des contrôles concrets et des pistes de détection.
Qui ? — Typologies d'attaquants
Les attaquants n'ont ni les mêmes compétences, ni les mêmes ressources, ni les mêmes objectifs. Voici les principaux profils.
Cybercriminels (appât du gain)
Organisations structurées (modèle « as-a-service », revente d'accès sur le dark web) opérant avec une logique de retour sur investissement.
- Profil: très organisés; filières de blanchiment; « support » pour rançons.
- Niveau: variable, du simple utilisateur d'outils au développeur de malwares.
états-nations (APT)
Groupes étatiques/contractors aux moyens élevés menant des opérations discrètes et persistantes d'espionnage et de préparation d'effet.
- Profil: agences de renseignement, unités spécialisées; priorité à la discrétion.
- Niveau: très élevé; développement d'outils dédiés et exploitation de zero-day.
Hacktivistes
Collectifs motivés par l'idéologie, la politique ou le social; recherche d'impact médiatique.
- Actions: déni de service, defacement, doxxing, fuite d'informations.
- Niveau: très variable; du bruit médiatique à des intrusions ciblées.
Menace interne (insider)
Acteurs déjà légitimes dans le SI: malveillance, négligence ou comptes non révoqués.
- Employé malveillant: vengeance, gain, idéologie.
- Employé négligent: clic phishing, poste non chiffré, partage excessif.
- Ex-employé: accès non révoqués ou clés non renouvelées.
Script kiddies
Débutants utilisant des scripts/outils existants pour le défi et la notoriété.
- Niveau: faible à moyen; menace diffuse par le volume et l'opportunisme.
Cyber-terroristes
Groupes cherchant l'impact sociétal et la peur par des effets sur des infrastructures critiques.
- Niveau: potentiellement élevé; proche de capacités étatiques selon le contexte.
Illustration synthétique
Discrétion ⟶ faible (hacktivistes, script kiddies) … élevée (APT, insiders)
Ressources ⟶ faibles (opportunistes) … fortes (étatiques)
Repères tactiques par acteur
- Cybercriminels: campagnes massives, initial access brokers, double/triple extorsion, exfiltration avant chiffrement.
- états-nations: spear phishing de qualité, zero-day/0‑click, abuse de fournisseurs, outils custom et living off the land.
- Hacktivistes: DDoS, defacement, doxxing, leak sites; objectifs médiatiques courts.
- Insiders: utilisation d'accès légitimes, exfiltration lente, canaux discrets (cloud perso, messagerie).
- Script kiddies: utilisation d'outils publics, scans opportunistes, mots de passe par défaut.
- Cyber-terroristes: focalisation sur ICS/OT, effets physiques ou perturbations sociétales.
Signaux faibles typiques
- Augmentation anormale d'essais d'authentification, MFA fatigue, créations d'applications OAuth inattendues.
- Volumétrie réseau sortante irrégulière, pics DNS vers domaines récents, usage d'outils d'admin hors créneaux.
- Modifications de partages cloud, créations de boîtes mails de transfert, exportations massives depuis SaaS.
| Acteur | Capacités | Bruit | Durée | Risque principal |
|---|---|---|---|---|
| Cybercriminels | Industrialisation, accès achetés | Moyen à élevé | Jours à semaines | Interruption + extorsion |
| états-nations | Ressources fortes, 0‑day | Faible | Mois à années | Espionnage, préparation |
| Hacktivistes | Variable, forte communication | Élevé | Heures à jours | Atteinte à l'image |
| Insiders | Accès natifs | Faible | Soutenue | Fuite discrète |
| Script kiddies | Outils publics | Élevé | Heures | Dégradation visible |
| Cyber-terroristes | Ciblage OT/ICS | Variable | Événementiel | Impact sociétal |
Quoi ? — Cibles selon la typologie
Les cibles dépendent des motivations. Un même vecteur peut servir des objectifs très différents selon l'adversaire.
| Typologie d'attaquant | Cibles principales | Exemples concrets |
|---|---|---|
| Cybercriminels | Toute donnée monétisable; PME/ETI/GE, particuliers | Bases clients, cartes bancaires, identifiants, systèmes critiques à rançon (hôpitaux, collectivités, usines) |
| états-nations (APT) | Cibles à haute valeur stratégique | Ministères, défense, opérateurs d'énergie, R&D, partis/ONG, aérospatial |
| Hacktivistes | Cibles symboliques et médiatiques | Sites à forte visibilité, fuites de documents, défiguration |
| Menace interne | L'organisation, ses secrets et systèmes | Vol de fichiers clients, sabotage de serveurs, divulgation d'informations |
| Script kiddies | Cibles vulnérables et exposées | Sites mal sécurisés, mots de passe par défaut, petites attaques DDoS |
| Cyber-terroristes | Infrastructures critiques vitales | Énergie, eau, transports, systèmes de contrôle industriels |
Identités et accès
- Risques: credential stuffing, spraying, sessions volées, abus OAuth/SSO.
- Contrôles: MFA robuste, moindre privilège, durcissement SSO, surveillance des jetons.
Postes et serveurs
- Risques: exécution code, élévation privilèges, mouvement latéral.
- Contrôles: durcissement, EDR, gestion des correctifs, contrôle des outils d'admin.
Messagerie et collaboration
- Risques: phishing, usurpation, exportations massives.
- Contrôles: filtrage, DMARC/DKIM/SPF, DLP, sensibilisation.
Données et propriété intellectuelle
- Risques: exfiltration, corruption, chiffrement.
- Contrôles: classification, chiffrement, sauvegardes 3‑2‑1, contrôle des partages.
Cloud, SaaS et API
- Risques: tokens persistants, partages laxistes, API trop permissives.
- Contrôles: revue des scopes, rotation des secrets, logs d'audit, CASB.
Réseau, périmètre et OT/ICS
- Risques: exposition de services, pivot vers ICS, DDoS.
- Contrôles: segmentation, bastions, NDR, anti‑DDoS, inventaire de l'exposition.
Pourquoi ? — Motivations des attaquants
- Appât du gain (financier) — qui ? surtout cybercriminels. comment ? vol de données bancaires, extorsion via ransomware, revente sur le dark web, fraude au président.
- Espionnage (géopolitique, économique, industriel) — qui ? surtout APT et parfois menace interne. comment ? exfiltration de secrets d'État, de R&D et d'informations sensibles.
- Idéologie — qui ? hacktivistes et parfois cyber-terroristes. comment ? déni de service, defacement, pression et déstabilisation.
- Vengeance/ressentiment — qui ? menace interne malveillante. comment ? suppression de données, sabotage, divulgation.
- Défi technique et notoriété — qui ? script kiddies et certains hacktivistes. comment ? intrusion pour la reconnaissance par les pairs.
Leviers d'extorsion courants
- Double extorsion: chiffrement + menace de fuite publique.
- Triple extorsion: ajout de DDoS ou pression sur partenaires/clients.
- Hack-and-leak: fuite organisée pour impact réputationnel.
Indices orientés motivation
- Financier: chiffrement rapide, négociation visible, exfil préalable.
- Espionnage: persistance silencieuse, ciblage R&D/dirigeants, compression chiffrée low and slow.
- Influence: revendications publiques, synchronisation médiatique.
| Motivation | Indicateurs | Mesures utiles |
|---|---|---|
| Financier | Exfil + chiffrement, notes de rançon | Backups isolés, plans de continuité, blocage egress |
| Espionnage | Outillage discret, ciblage sélectif | Surveillance comptes sensibles, durcissement SSO, chasse pro‑active |
| Sabotage | Wipers, destruction | Séparation privilèges, immutabilité sauvegardes, contrôle changements |
| Influence | Leaks, defacement, DDoS | Comms de crise, anti‑DDoS, monitoring externe |
Comment ? — Méthodes d'attaque
Ingénierie sociale (manipuler l'humain)
Objectif: amener la cible à révéler des informations ou exécuter une action.
- phishing (hameçonnage): e-mails imitant une entité légitime pour voler des identifiants.
- spear phishing: hameçonnage ciblé, très personnalisé.
- vishing et smishing: variantes par téléphone et SMS.
Logiciels malveillants (malwares)
- Ransomware (rançongiciel): chiffrement et demande de rançon.
- Spyware (espion): collecte d'informations (frappes, mots de passe) à l'insu de l'utilisateur.
- Cheval de Troie (trojan): application apparemment légitime ouvrant une porte dérobée.
- Virus et vers (worms): propagation via programme hôte ou autonome sur le réseau.
Attaques systèmes et réseaux
- DDoS: déni de service volumétrique ou applicatif via botnet.
- Exploitation de vulnérabilités: failles logicielles/configuration, y compris zero-day.
- homme du milieu (MITM): interception/modification des échanges.
- Force brute/spraying: essai de combinaisons de mots de passe.
Portes d'entrée fréquentes
Messagerie (phishing, pièces jointes)
Services exposés (VPN, RDP/SSH, applications web)
Tiers et chaîne d'approvisionnement (MSP, SaaS, intégrations)
Compromission d'identités
- Techniques: spraying, stuffing, vol de sessions, consent phishing, MFA fatigue.
- Détection: anomalies d'authent, créations d'apps OAuth, connexions géo/horaires atypiques.
- Contrôles: MFA robuste, protections anti‑spraying, revue des applications, PAM/JIT.
Vulnérabilités et exposition
- Techniques: exploitation CVE, misconfig cloud, services non durcis, supply chain.
- Détection: scans réguliers, veille CVE, journaux WAF/proxy, anomalies trafic.
- Contrôles: gestion des correctifs, baselines, réduction de surface, SBOM.
Post‑exploitation et mouvement latéral
- Techniques: living off the land (LOLBins), credential dumping, RDP/PSExec, privilèges locaux.
- Détection: exécutions anormales, élévations, connexions inter‑postes inhabituelles.
- Contrôles: segmentation, contrôle outils d'admin, EDR, journalisation renforcée.
DDoS et sabotage
- Formes: volumétrique, protocole, applicatif.
- Détection/atténuation: scrubbing, CDN/WAF, limitation de débit, plans de bascule.
Quand ? — Temporalité: moment, durée, détection
Moment de l'attaque
- Attaques opportunistes: campagnes automatisées et permanentes (phishing, scans), déclenchées dès qu'une vulnérabilité est trouvée.
- Attaques planifiées: week-ends/jours fériés (surveillance réduite), périodes sensibles (migrations, fusions), contexte géopolitique tendu.
Durée de l'attaque
- « Flash » (minutes à heures): ransomware, DDoS — impact immédiat, pas de persistance recherchée.
- Persistantes (mois à années): espionnage APT — discrétion et cycle long: intrusion → dormance → reconnaissance interne (low and slow) → mouvement latéral → exfiltration discrète.
Temps de détection et de réponse
Le « dwell time » (présence avant détection) reste élevé. À titre indicatif (IBM 2023), le cycle de vie moyen d'une brèche atteint ~277 jours: ~204 jours pour identifier et ~73 jours pour contenir.
| Typologie | Durée typique avant détection | Complexité de détection |
|---|---|---|
| Script kiddies | Heures à jours | Faible à moyenne |
| Cybercriminels (ransomware) | Jours à semaines | Moyenne |
| Menace interne | Mois à années | Élevée |
| états-nations (APT) | Mois à années | Très élevée |
Schéma simplifié
Préparer ⟶ Déployer ⟶ Explorer ⟶ Exploiter ⟶ Impact
Fenêtre de détection: souvent entre « explorer » et « exploiter »
Rythme opérationnel
- Fenêtres d'opportunité: week‑ends, nuits, périodes de changement (migrations, M&A).
- Temporalité par acteur: e‑crime rapide; APT lent et discret; insiders soutenu.
- Facteurs internes: maturité SOC, couverture de logs, rétention et qualité d'alerting.
Réduire MTTD/MTTR
- Instrumentation: EDR/NDR/siem bien configurés; sources d'autorité (SSO/AD, cloud, email).
- Détections comportementales prioritaires: authent anormales, élévations, exfil, C2.
- Procédures: triage clair, jeu d'escalade, exercices réguliers, purple teaming.
Mesurez et suivez: couverture des sources de logs, temps de collecte, part d'alertes actionnables, délais de correctifs critiques, taux d'activation MFA.