Qu'est-ce que le mouvement latéral ?
Le mouvement latéral regroupe les techniques par lesquelles un attaquant se déplace d'un système à un autre à l'intérieur d'un réseau déjà pénétré. Une fois un premier pied posé, rarement sur la cible finale, il cherche à étendre son emprise : récupérer des identifiants, compromettre de nouveaux comptes, accéder à des serveurs plus sensibles.
Cette phase s'appuie souvent sur des outils légitimes (techniques living off the land) et sur des identifiants volés, ce qui la rend difficile à distinguer de l'activité normale d'administration.
Pourquoi c'est important pour votre organisation
La gravité d'une intrusion se joue en grande partie pendant le mouvement latéral. Un accès initial limité peut sembler bénin, mais s'il permet de rebondir librement, il conduit à une compromission de grande ampleur, jusqu'au contrôle du domaine ou à l'accès aux données les plus critiques.
Ralentir et détecter le mouvement latéral, c'est contenir l'incident : on transforme une compromission potentiellement totale en un problème localisé et gérable.
Comment le limiter
- Segmentation réseau : cloisonner pour empêcher la libre circulation.
- Moindre privilège : réduire ce qu'un compte compromis permet d'atteindre.
- Gestion des accès à privilèges : protéger et surveiller les comptes administrateurs.
- Authentification forte pour limiter l'usage d'identifiants volés.
- Détection comportementale des schémas de propagation anormaux.
Où les organisations pèchent le plus souvent
L'erreur la plus répandue est le réseau « plat », sans segmentation, où un accès obtenu quelque part ouvre la porte à tout le reste. L'autre écueil est de concentrer toute la défense sur le périmètre extérieur en négligeant l'intérieur : une fois cette barrière franchie, plus rien ne ralentit l'attaquant.