Le risque de mouvement latéral augmente à mesure que les entreprises privilégient la commodité plutôt que le confinement

Lucas Morel

Les réseaux d’entreprise dépendent trop des protocoles existants et des chemins administratifs fiables, laissant les serveurs internes facilement accessibles une fois que les attaquants pénètrent dans le réseau, selon la télémétrie.

Des réseaux mal segmentés et des contrôles de sécurité faibles continuent de nuire à la capacité des organisations de sécurité à identifier et à contenir les attaques, laissant libre cours aux attaquants après une compromission initiale, selon une étude récente basée sur la télémétrie de sécurité d’entreprise réelle.

Le rapport 2026 sur l’exposition aux mouvements latéraux de Zero Networks, basé sur l’analyse de 54 000 milliards d’activités dans 312 environnements d’entreprise en direct, a révélé que plus de 80 % des serveurs d’entreprise sont accessibles depuis n’importe où à l’intérieur du réseau.

L’étude a révélé que 87 % des serveurs d’entreprise acceptent les connexions entrantes Remote Desktop Protocol (RDP) ou SSH (Secure Shell) provenant de larges sources internes, offrant ainsi aux attaquants de larges voies d’accès une fois à l’intérieur du réseau.

De plus, 78 % des serveurs d’entreprise sont accessibles via SMB (Server Message Block) ou WinRM (Windows Remote Management) – des protocoles réseau que les attaquants exploitent généralement pour réaliser un mouvement latéral dans le cadre d’un ransomware ou d’autres attaques.

De plus, 43 % du trafic d’authentification interne repose toujours sur NTLM (New Technology Lan Manager), un protocole existant fréquemment utilisé de manière abusive pour les attaques par relais d’informations d’identification et par élévation de privilèges. Et 12 % des organisations maintiennent des voies administratives directes utilisateur-serveur, ce qui signifie qu’un seul appareil d’employé compromis peut fournir un accès immédiat à des systèmes de grande valeur.

L’accessibilité de la plupart des serveurs d’entreprise à partir d’un réseau compromis signifie que les attaquants n’ont guère besoin d’exploits sophistiqués du jour zéro une fois qu’ils franchissent le périmètre.

« Ils (les attaquants) « vivent simplement de la terre » en utilisant exactement les mêmes outils administratifs et les mêmes voies ouvertes (comme RDP et SMB) que celles utilisées par les équipes informatiques », ajoute Agha.

Robby Winchester, directeur mondial des services professionnels de la société de cybersécurité SpecterOps, affirme également que les conclusions de Zero Networks « correspondent parfaitement à ce que nous observons habituellement ».

« Dans presque tous les tests d’équipe rouge et de pénétration que nous avons effectués, nos testeurs ont réalisé un mouvement latéral », explique Winchester. « L’utilisation d’outils comme BloodHound nous montre que les voies d’attaque sont omniprésentes et difficiles à éliminer sans visibilité, soulignant à quel point il est difficile d’empêcher les mouvements latéraux. »

Interconnecté par conception

Le problème réside dans le fait que les équipes de sécurité ont passé des années à renforcer le périmètre tout en acceptant un degré important de confiance implicite au sein du réseau.

Mais s’éloigner de cette approche est loin d’être anodin, déclare David Sancho, chercheur principal en menaces chez Trend Micro.

« La réalité inconfortable est que de nombreux environnements d’entreprise restent fortement interconnectés par conception », explique Sancho. « RDP, SMB, SSH et WinRM existent parce que les administrateurs doivent travailler. »

Les protocoles existants tels que NTLM persistent car leur remplacement peut s’avérer difficile sur le plan opérationnel, mais le remplacement de ces technologies vieillissantes est néanmoins conseillé car leur présence permet aux attaquants de pénétrer plus facilement dans les réseaux compromis.

Sancho note néanmoins qu’une large exposition n’équivaut pas automatiquement à une exploitation généralisée en toutes circonstances.

« L’accessibilité indique un rayon d’explosion potentiel, et non une certitude de compromis », explique-t-il. « Dans le même temps, les résultats mettent en évidence un défi opérationnel permanent : trouver l’équilibre entre sécurité et convivialité. »

De plus, ajoute Sancho, « restreindre les voies administratives, abandonner les protocoles existants et mettre en œuvre une segmentation plus forte sont autant de mesures judicieuses, mais elles sont souvent difficiles à mettre en œuvre dans des environnements complexes construits au fil des décennies ».

Dhruv Datta, fondateur et co-CTO de GolfWiz AI, considère également les serveurs accessibles comme seulement un aspect du problème plus large de la résilience de la sécurité des entreprises.

Néanmoins, les défenseurs doivent faire davantage pour limiter les déplacements d’un attaquant afin d’avoir une chance de protéger les systèmes sensibles, affirme Joe Brinkley, directeur de la recherche sur la sécurité offensive chez Cobalt, société de services de tests d’intrusion. Cette exigence devient encore plus pressante avec l’utilisation croissante de mouvements latéraux automatisés et pilotés par l’IA.

« Les organisations doivent s’éloigner d’une stratégie de détection pure et donner la priorité au confinement déterministe via la micro-segmentation et le moindre privilège strict et axé sur l’identité », conseille Brinkley.

Contre-mesures

L’accessibilité interne des systèmes sensibles crée des risques majeurs liés aux ransomwares et à l’élévation des privilèges. Se concentrer uniquement sur l’amélioration des défenses périmétriques est totalement inadéquat.

Atténuer le cheminement des attaques et rendre la vie plus difficile aux attaquants implique une combinaison d’une segmentation améliorée du réseau, de contrôles d’identité, de tests par équipe rouge et d’une séparation plus stricte des accès privilégiés.

Sécurité du réseauSécuritéGestion des risquesRéponse aux incidentsPratiques de sécurité