Alors que les tensions dans le détroit d’Ormuz ravivent les risques de cyber-déstabilisation, l’OTAN et les infrastructures critiques renforcent leurs endpoints. Cette mesure vise à contrer la compromission d’identité, les techniques living-off-the-land et les stratégies de double extorsion.
Dans ce climat instable, marqué par son refus de soutien supplémentaire aux États-Unis, le risque de cyber-opérations visant à perturber la prise de décision augmente nettement.
Geert Baudewijns, PDG de Secutec et négociateur reconnu dans les affaires de rançongiciels :
« Toute ingérence politique accroît mécaniquement le risque cyber. Les infrastructures sensibles deviennent des cibles prioritaires, notamment pour déstabiliser leurs opérations internes. »
Sur le terrain, la menace se concentre sur les endpoints. Ordinateurs, serveurs et objets connectés demeurent les points d’accès les plus exposés. L’attribution récente du projet EPPE (Endpoint Protection Enhancement), mené par la NCIA avec Secutec et Aricoma, confirme ce virage.
Chaque endpoint doit désormais résister à la pression, pour permettre aux organisations de gérer les crises avec lucidité, et non sous contrainte.
Les trois vecteurs d’entrée les plus fréquents et dommageables sur les endpoints
Selon Geert Baudewijns, trois vecteurs dominent aujourd’hui, aussi bien dans le secteur privé que dans les environnements les plus sensibles. Le premier étant la compromission d’identité, dont le vol d’identifiants, le détournement de session, le contournement de la MFA deviennent le vecteur dominant.
Cette technique permet aux attaquants d’entrer dans les systèmes en se faisant passer pour des utilisateurs légitimes. Ils contournent ainsi une grande partie des détections traditionnelles basées sur les signatures ou les anomalies de comportement.
Cependant, le phishing et l’ingénierie sociale assistée par IA restent la méthode d’accès initiale la plus fréquente. De plus en plus sophistiquée, elle sert désormais moins à déployer directement des malwares qu’à voler des identités. L’attaque est plus discrète et plus durable.
Le troisième s’agit de l’exploitation de vulnérabilités. Geert Baudewijns mentionne notamment les zero-day et les failles connues patchées trop tard, offrant souvent un accès direct et privilégié aux endpoints.
Ces trois vecteurs se combinent fréquemment, créant des chaînes d’attaque particulièrement difficiles à interrompre.
Endpoints, porte d’entrée privilégiée malgré EDR, XDR et zero-trust
Malgré la généralisation des solutions EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) et des architectures zero-trust, les terminaux continuent d’être cités comme le point d’ancrage privilégié des attaquants. Les raisons sont structurelles.
Le PDG de Secutec explique : « Le poste de travail reste un point d’ancrage et de pivotement fréquent, mais dans les attaques modernes, il est souvent combiné, voire contourné, par des accès basés sur l’identité ».
Même durci, il concentre habituellement des privilèges élevés, des connexions à des systèmes critiques et des utilisateurs humains, source inépuisable d’erreurs. Dans les attaques modernes, cet endpoint est cependant de plus en plus combiné – voire contourné – par des accès basés purement sur l’identité compromise.
De plus, la surface d’attaque s’est élargie avec la multiplication des appareils connectés (IoT industriel, ordinateurs portables en télétravail, serveurs cloud hybrides). Les configurations sont complexes à maintenir uniformément, et les outils de gestion à distance (RMM) eux-mêmes deviennent parfois des vecteurs d’intrusion.
Leçons tirées des attaques réelles
Les observations de Geert Baudewijns, qui dialogue directement avec les groupes hackers lors de négociations de rançongiciels, sont particulièrement éclairantes.
La tendance majeure des 12 à 18 derniers mois est la furtivité. Geert Baudewijns ajoute : « L’IA accélère cette évolution, mais le cœur du problème réside dans l’abus d’identités et d’outils légitimes ».
Les attaquants privilégient les techniques « living-off-the-land » : ils utilisent des outils et des commandes légitimes présents sur le système (PowerShell, WMI, PsExec, etc.) pour se déplacer latéralement, exfiltrer des données ou déployer leur charge utile. Ils se comportent comme des utilisateurs normaux, rendant la détection par les outils classiques extrêmement difficile.
Autre évolution marquante : le modèle économique très organisé de la cybercriminalité. Un premier groupe réalise l’intrusion initiale, puis revend l’accès à d’autres acteurs.
Dans 96 % des cas, les données sont non seulement chiffrées mais aussi exfiltrées avant le chiffrement. Cette double extorsion (rançon pour le déchiffrement + menace de publication ou de revente des données) exerce une pression maximale sur les victimes.
Face à des cibles comme l’OTAN, ces groupes peuvent aussi être relayés ou inspirés par des acteurs étatiques (APT), ce qui rend les attaques encore plus sophistiquées et persistantes.
Priorités pour durcir les endpoints
Pour contrer ces menaces, les organisations critiques comme l’OTAN doivent adopter une approche multicouche centrée sur les endpoints. La visibilité en temps réel et l’analyse comportementale avancée sont essentielles.
Les solutions XDR modernes combinent la détection sur endpoint, réseau et identité. Elles permettent de repérer les mouvements latéraux suspects même lorsque les attaquants utilisent des outils légitimes.
L’investissement dans des outils robustes associant IA défensive et analyse comportementale est nécessaire. Ces outils permettent détecter les malwares polymorphes, les leurres dynamiques et les attaques assistées par IA malveillante.
D’autres mesures concrètes incluent :
- Le renforcement strict de la gestion des identités et des accès (least privilege, rotation fréquente des credentials, MFA contextuelle) ;
- La segmentation fine du réseau et la limitation des outils de gestion à distance ;
- La mise en place de mécanismes de détection et de réponse automatisée sur les endpoints les plus critiques.
Geert Baudewijns conclut en conseillant de comprendre le modus operandi des groupes criminels. Cette connaissance permet de réduire la surface d’attaque en amont. Elle aide surtout à préparer une réponse rapide et efficace.
