Qu'est-ce que le lateral movement ?

L'expression « lateral movement » désigne les techniques utilisées par un cyberattaquant, après avoir obtenu un accès initial à un réseau, pour s'y insinuer plus profondément à la recherche de données sensibles et d'autres ressources de grande valeur. Une fois qu'il s'est introduit dans le réseau, le cyberattaquant maintient un accès persistant en se déplaçant dans l'environnement compromis et en obtenant des privilèges toujours plus importants grâce à divers outils.

Le déplacement latéral est une tactique fondamentale qui différencie les menaces persistantes avancées d'aujourd'hui des menaces rudimentaires d'hier.

Le déplacement latéral permet à un cybercriminel d'éviter toute détection et de conserver l'accès au réseau, même s'il est détecté sur la machine à l'origine de l'infection. La durée d'implantation relativement longue fait que le vol de données peut n'intervenir que plusieurs semaines, voire plusieurs mois, après la compromission initiale.

Une fois qu'il a obtenu un accès initial à un endpoint, par le biais d'une attaque de phishing ou d'une infection par logiciel malveillant, par exemple, le cyberattaquant se fait passer pour un utilisateur légitime et se déplace d'un système à l'autre sur le réseau jusqu'à ce qu'il atteigne son objectif. Cela nécessite de recueillir des informations sur différents comptes et systèmes, de récupérer des identifiants de connexion, d'élever les privilèges et de finalement obtenir un accès à la charge active identifiée.