● Silicon.fr Télécom 📅 01/06/2026 à 13:04

📡 Télécom & Opérateurs 👤 Jérémie Schram *

🏷️ Tags : réseau

Les ransomwares évoluent vers des modèles d’extorsion de données plus rapides et plus ciblés, dans lesquels le chiffrement n’est plus l’objectif principal. Selon nos prévisions cybersécurité 2026, les crypto-ransomwares vont progressivement céder la place à des modèles axés sur l’exfiltration de données et le chantage à la réputation de la victime. C’est ainsi que les attaques deviennent moins techniques, tout en étant malgré tout encore plus rapides. Mais cette évolution a également une autre conséquence directe : l’attention des attaquants se déplace de l’intrusion initiale vers les mouvements latéraux à l’intérieur du réseau. Dans ce contexte, des outils internes, largement utilisés et semblant donc « de confiance » comme le protocole Remote Desktop Protocol (RDP) sont devenus l’une des méthodes les plus efficaces pour se déplacer latéralement. Les données de Google Threat Intelligence (GTIG) montrent que le RDP est présent dans 85 % de ces attaques, ce qui met en évidence une tendance claire : les attaquants abandonnent les malwares complexes au profit du « living off the land », c’est-à-dire l’utilisation d’outils légitimes afin de rester invisibles. Lire aussi : EDR Killers : l’évasion industrialisée, socle des attaques par ransomware Il ne s’agit donc plus seulement de savoir comment les attaquants entrent dans le système, mais surtout de comprendre ce qu’ils font une fois à l’intérieur. Le RDP : un vecteur de menace discret Le RDP est un outil fiable, largement utilisé pour permettre aux collaborateurs d’accéder à leurs environnements de travail à distance, mais également par les administrateurs IT et les MSP (fournisseurs de services managés) pour la gestion et le support des appareils. C’est précisément parce qu’il est profondément intégré aux usages quotidiens des entreprises qu’il est devenu un vecteur d’attaque privilégié : il permet aux attaquants de se fondre dans le trafic habituel de l’entreprise, souvent sans être détectés pendant de longues périodes, durant lesquelles ils peuvent causer des dégâts considérables. Les cybercriminels exploitent le RDP pour : Élever leurs privilèges à l’aide d’identifiants compromis. Se déplacer discrètement entre différents systèmes. Préparer des vols de données ou lancer des attaques sans déclencher d’alertes évidentes. Pour les MSP, le défi est encore plus grand. Ils doivent apprendre à distinguer les sessions légitimes des activités malveillantes dans des environnements variés où le RDP fait souvent partie des opérations quotidiennes. Le vrai défi : détecter le danger dans les activités ordinaires Pour les MSP qui gèrent d’innombrables terminaux et clients, la plupart des actions quotidiennes paraissent normales : des connexions à distance aux transferts de données, en passant par les modifications de configuration. C’est précisément cette « normalité » que recherchent les cybercriminels et qui rend leur détection plus difficile. Lire aussi : Cyberattaques : les entreprises françaises mieux armées mais toujours sous pression S’ils parviennent à se cacher dans des processus légitimes, ils peuvent se déplacer dans les réseaux sans être détectés et provoquer des dommages importants. Cela crée un nouveau défi : différencier les sessions légitimes des comportements non autorisés dans un environnement où les deux semblent pratiquement identiques. Cette tâche peut devenir écrasante, notamment pour les MSP déjà submergés d’alertes, ce qui réduit leur efficacité opérationnelle et ralentit les temps de réponse. Résoudre ce problème nécessite une stratégie plus structurée, centrée sur : Une surveillance continue des endpoints, avec détection comportementale des menaces et visibilité claire sur les incidents. Une authentification multifacteur (MFA) étendue à l’ensemble des accès critiques, y compris les ouvertures de session Windows et les connexions RDP, afin d’empêcher qu’un identifiant compromis ne puisse être utilisé pour se déplacer latéralement au sein du réseau. La corrélation d’événements, qui transforme des données isolées en alertes exploitables. La priorisation des incidents selon le niveau de risque réel, afin que les équipes se concentrent sur les menaces les plus importantes. En adoptant ce modèle, les équipes peuvent identifier les anomalies cachées derrière des activités « normales », réduire le bruit et améliorer significativement leur capacité de réponse. Comment détecter et stopper les mouvements latéraux en pratique Les solutions EDR alimentées par l’IA répondent directement à ce problème en regroupant prévention, détection et réponse au sein d’une plateforme unique. Cependant, le véritable changement ne réside pas uniquement dans la détection des menaces, mais il se trouve aussi dans la visibilité continue et le contexte comportemental qu’elles offrent aux MSP, ce qui leur permet de mieux protéger leurs clients et de développer leur activité. Concrètement, cela signifie : Une visibilité complète sur les endpoints, unifiant la télémétrie des processus, connexions et utilisateurs, ainsi qu’une analyse des causes racines pour comprendre l’origine et l’étendue des menaces. La détection des mouvements latéraux, notamment les connexions RDP inhabituelles, les manipulations d’identifiants et les schémas de connexion suspects, avec un mapping des alertes selon le framework MITRE ATT&CK. Une corrélation automatisée des incidents, reliant plusieurs événements pour reconstituer le scénario complet d’une attaque, aidant les équipes à mieux concentrer leurs efforts et réduisant la fatigue liée aux alertes. L’isolation et la réponse sur les endpoints, avec mise en quarantaine des appareils et arrêt des processus suspects, accompagnés d’outils d’analyse et de remédiation à distance. Des consoles multi-tenant pour améliorer l’efficacité opérationnelle, permettant aux MSP de gérer davantage de clients sans augmenter la complexité ni les coûts. Visibilité et contexte : la nouvelle ligne de défense Ce n’est pas un hasard si 85 % des cyberattaques exploitent le RDP. Cela rappelle surtout la manière dont les cybercriminels opèrent aujourd’hui : en utilisant des outils légitimes pour rester invisibles. Plus une attaque ressemble à une activité normale, plus il devient difficile pour une organisation de la détecter et plus elle a de chances de réussir. C’est là que réside le véritable défi pour les MSP. La sécurité des endpoints ne se limite plus à la prévention ; elle repose désormais sur une visibilité claire et un contexte comportemental permettant des détections plus rapides et plus précises, associées à une capacité de réponse immédiate. Lire aussi : EDR au CHRU de Brest : le déploiement expliqué par son RSSI Adopter ce modèle ne permet pas seulement de neutraliser les mouvements latéraux ; cela contribue aussi à construire des opérations de sécurité plus efficaces, évolutives et résilientes face aux menaces actuelles en constante évolution. *Jérémie Schram est directeur technique France de WatchGuard Technologies

🔗 Lire l'article original 👁️ 0 lecture