Passer au contenu principal

Les 7 étapes d’une cyberattaque

|W. Perry Wortman

Lorsque des cyberattaques se produisent dans les films ou à la télé, elles sont souvent spectaculaires. Mais, dans la réalité, elles sont bien plus discrètes. Les cybercriminels sont généralement sournois. Ils s’installent discrètement dans les systèmes, récoltent des informations et évaluent ce qu’ils pourraient obtenir avant de choisir le moment opportun pour frapper.

En moyenne, il faut 277 jours pour identifier et contenir une faille de données. C’est une très longue attente. Lisez la suite pour savoir comment une attaque se déroule et découvrir des exemples concrets de ces étapes dans la réalité.

Comment se déroule une cyberattaque classique ?

Les professionnels de la cybersécurité utilisent souvent un modèle en 7 étapes appelé « Cyber kill chain » (terme utilisé pour la première fois par Lockheed Martin Corp.) pour décrire les étapes d’une attaque. Voici à quoi ressemble chaque étape, bien que certaines attaques ne suivent pas ce modèle. 

  1. Reconnaissance
    Les acteurs malveillants mettent en place l’infrastructure (les outils, les tactiques, etc.) nécessaire pour l’attaque. Cette mise en place peut nécessiter l’utilisation d’un kit de phishing, la recherche de vulnérabilités dans les systèmes de l’entité cible, la recherche de cibles de grande valeur au sein de l’organisation, la collecte d’informations sur les employés sur les réseaux sociaux, et la collecte d’autres informations sur l’organisation. Ils peuvent également « acheter » sur le dark Web des identifiants d’entreprise qui ont été compromis.

  2. Armement
    Les pirates créent leur vecteur d’attaque et leur charge utile, tels que des logiciels malveillants, pour récolter des identifiants ou exploiter une vulnérabilité.

  3. Livraison
    Les adversaires lancent l’attaque. Cette attaque peut être exécutée par le biais d’un e-mail de phishing contenant un lien malveillant pour voler des identifiants ou un e-mail avec un logiciel malveillant en pièce jointe. Le pirate peut également pénétrer dans un système ou un réseau privé virtuel (VPN).

  4. Exploitation
    Une fois à l’intérieur, les pirates recherchent des faiblesses supplémentaires à exploiter. Ils peuvent intensifier leurs privilèges en accédant à plus d’identifiants, en cartographiant l’environnement ou en compromettant de nouveaux systèmes.

  5. Installation
    Les pirates prennent le contrôle en installant plus de logiciels malveillants, des chevaux de Troie avec accès à distance et des portes dérobées.

  6. Commande et contrôle (C2) 
    La mise en place d’une connexion C2 permet aux pirates de contrôler le système ou l’identité à distance pour fournir d’autres instructions, étendre l’accès et établir un nouvel accès pour des intrusions futures.

  7. Actions
    Au cours de cette dernière étape, les intrus réalisent leurs objectifs. Par exemple, si leur objectif est de voler des données, ils peuvent commencer à les collecter sur un serveur de stockage, puis les exfiltrer.

« Nos principaux atouts sont notre réputation et nos réseaux. Bien plus qu’un problème de sécurité, une attaque risquerait de nous faire perdre la réputation de fiabilité pour laquelle nous avons tant travaillé. »

Chelsea Richardson
Directrice et vice-présidente de JD+A

Quelques exemples de cyberattaques réelles impliquant des identifiants compromis

Uber (septembre 2022)

Un pirate informatique qui prétend avoir 18 ans a obtenu l’accès à de nombreux systèmes critiques d’Uber, notamment les e-mails, Slack et le code source. Le pirate a utilisé les identifiants d’un sous-traitant, obtenus probablement sur le dark Web, ainsi que la technique de l’ingénierie sociale, pour amener la personne à approuver une demande de double authentification (2FA). Bien que l’impact de l’attaque ne sera pas connu avant un certain temps, la réputation d’Uber a été impactée, d’autant plus que ce n’est pas la première fois que les systèmes de l’entreprise sont compromis.

SolarWinds (décembre 2020)

Il s’agit d’une attaque sophistiquée de la chaîne d’approvisionnement qui a compromis la sécurité de dizaines d’organisations du secteur public et privé. Elle a commencé lorsque des pirates informatiques ont obtenu l’accès au code du logiciel de SolarWinds. Le point d’accès initial a été attribué à un stagiaire qui a utilisé le mot de passe solarwinds123, que les pirates ont probablement obtenu sur le dark Web. Les pirates, qui ont été invisibles durant des mois, ont inséré un code malveillant dans l’une des mises à jour du logiciel de SolarWinds, ce qui leur a permis d’accéder à des entreprises de grande envergure et à des agences gouvernementales américaines.

Twitter (juillet 2020)

Un groupe de pirates amateurs dirigé par un génie de 17 ans a eu recours à l’ingénierie sociale pour convaincre des employés de Twitter de révéler leurs identifiants de connexion. Ils ont pris le contrôle d’un outil d’assistance interne pour la plateforme de médias sociaux et ont piraté plus de 130 comptes, notamment ceux de célébrités telles qu’Elon Musk, Barack Obama, Bill Gates et Kanye West. Les pirates ont tweeté une série de messages promouvant une arnaque au Bitcoin, ce qui n’a pas manqué de nuire à la réputation de Twitter.


Aucune organisation n’est protégée à 100 % contre une cyberattaque. Mais, plus vous sensibiliserez vos employés sur les éléments à surveiller et sur les habitudes à adopter concernant la sécurité des mots de passe, plus vous serez armé pour faire face aux méthodes courantes et aux attaques de ce type.

Vous souhaitez en savoir plus sur les bonnes pratiques en matière de sécurité des mots de passe ? Notre livre blanc sur les bases de la gestion des mots de passe contient les informations dont vous avez besoin.

Inscrivez-vous pour connaître toute l'actualité de Dashlane