Mouvement latéral : comment les attaquants se déplacent dans votre réseau

Une intrusion est détectée. Un compte utilisateur compromis. L'alerte est traitée, le mot de passe réinitialisé, l'incident clos. Vous pensez avoir circonscrit le problème.

Sauf que le plus gros du travail reste à faire.

Selon CrowdStrike 2026, le temps de propagation moyen des intrusions est désormais de 29 minutes, avec un cas record à 27 secondes entre le point d'entrée et le mouvement latéral. Pendant que vous traitez une alerte, l'attaquant est déjà ailleurs, silencieusement, en train d'explorer votre réseau.

Cette phase s'appelle le déplacement latéral. L'ANSSI la considère comme critique. Plus elle dure, plus les conséquences peuvent être lourdes : exfiltration massive de données, ransomware, sabotage.

Cette étape reste mal connue et insuffisamment surveillée. Cet article vous propose de suivre pas à pas le parcours d'un attaquant, et surtout de comprendre comment bloquer sa progression.

1-Qu'est-ce que le mouvement latéral et comment fonctionne-t-il?

Imaginez un voleur qui entre dans un immeuble par le parking souterrain. La porte n'était pas verrouillée. Une fois à l'intérieur, il ne reste pas là. Il emprunte les escaliers, essaie des portes, monte aux étages, cherche les appartements les plus riches.

Le mouvement latéral, c'est exactement cela : la façon dont un attaquant, après avoir pénétré votre système, se déplace de machine en machine pour étendre son emprise.

Techniquement, cela repose sur un levier simple mais redoutable : les identifiants. L'attaquant utilise des comptes volés, des mots de passe faibles, des tickets d'authentification détournés pour se connecter légitimement à d'autres machines. Pas de virus bruyant, pas de malware qui alerte l'antivirus. Juste des identifiants valides utilisés à bon escient.

C'est pourquoi la gestion des accès à privilèges est au cœur du problème. Si un attaquant met la main sur un compte administrateur, il peut littéralement ouvrir toutes les portes. Les solutions comme PAM360 de ManageEngine permettent justement de verrouiller ces accès sensibles : coffre-fort de mots de passe, rotation automatique des identifiants, surveillance des sessions à risque.

Les vulnérabilités de sécurité ne sont pas toujours techniques. Parfois, elles sont organisationnelles : un compte avec trop de droits, un mot de passe qui n'a pas changé depuis trois ans, un ancien collaborateur toujours actif dans l'annuaire.

2-Où se cache l'attaquant ? Les signaux qui ne trompent pas

Le mouvement latéral a ceci de particulier qu'il cherche à passer inaperçu. L'attaquant utilise les outils du système, les connexions légitimes, les horaires de bureau. Alors comment le repérer?

Les signaux faibles à surveiller :

• Des connexions inhabituelles : un poste de travail qui se connecte soudainement à un serveur de bases de données, c'est suspect.
   

• Des exécutions à distance : PsExec, WMI, WinRM utilisés depuis des machines qui ne sont pas celles des administrateurs.
   

• Destâches planifiées qui apparaissent sur des serveurs sans justification métier.
   

• Des accès en dehors des horaires : un compte qui se connecte à 3 heures du matin, surtout s'il n'a jamais eu ce comportement.
   

• Des requêtes DNS étranges : vers des domaines récents ou peu fréquentés.

La détection repose sur la corrélation. Un outil de supervision centralisé peut rapprocher des événements qui, isolés, paraissent anodins, mais qui, mis bout à bout, racontent une tout autre histoire.

3-La boîte à outils de l'attaquant : techniques les plus courantes

Les attaquants ont une boîte à outils bien fournie. En voici les principaux instruments :

• Le pass-the-hash: plutôt que de craquer un mot de passe, l'attaquant utilise directement son hash pour s'authentifier. Une technique qui fonctionne tant que les comptes ne sont pas protégés.
   

• Le pass-the-ticket : sur les domaines Windows, les tickets Kerberos peuvent être volés et réutilisés pour se faire passer pour un autre utilisateur.
   

• RDP : le protocole de bureau à distance est un moyen de déplacement classique. D'autant plus efficace que de nombreux administrateurs l'utilisent quotidiennement.
   

• PsExec et WMI : des outils d'administration légitimes, donc rarement détectés, qui permettent d'exécuter du code à distance.
   

• Les tâches planifiées : créer une tâche sur une machine distante pour lancer un programme malveillant, c'est discret et efficace.
   

• WinRM : le protocole de gestion à distance moderne, de plus en plus utilisé par les attaquants pour sa discrétion.
   

Chaque technique repose sur un point commun : l'usage d'identifiants valides. C'est pourquoi la protection des comptes sensibles est la clé.

4- Les 5 étapes clés du mouvement latéral

Le mouvement latéral n'est pas un acte unique. C'est un processus en plusieurs phases, que l'on peut décomposer ainsi :

Étape 1 : le point d'entrée

L'attaquant pénètre dans le système via un phishing, un mot de passe faible ou une vulnérabilité non patchée.

Étape 2 : la reconnaissance

Une fois sur une première machine, il observe : quels autres équipements sont accessibles? Quels utilisateurs sont connectés ? Quels partages sont visibles ?

Étape 3 : l'élévation de privilèges

Pour se déplacer efficacement, l'attaquant a besoin de droits. Il cherche à passer d'un compte standard à un compte administrateur.

Étape 4 : le déplacement proprement dit

Avec des identifiants valides, il se connecte à d'autres machines, de proche en proche, jusqu'à atteindre sa cible.

Étape 5 : l'accès aux données critiques

L'objectif final : le serveur contenant les données sensibles. Exfiltration ou chiffrement, selon le but de l'attaque.

Selon Palo Alto Networks, dans le quart des incidents les plus rapides, l'exfiltration a lieu en 72 minutes; quatre fois plus vite qu'en 2024.

 5- remparts pour bloquer l'attaquant

1. Moindre privilège : personne n'a plus de droits que nécessaire.

2. Segmentation réseau : si l'attaquant ne peut pas joindre d'autres machines, il ne peut pas se déplacer.

3. Authentification forte : MFA partout où c'est possible.

4. Durcissement : désactiver les services inutiles, restreindre PsExec, RDP.

5. Supervision continue : centraliser les logs, corréler les événements.

6. Protection des accès à privilèges : c'est le point le plus sensible. PAM360 permet de mettre les comptes administrateurs sous clé.

6-Zero Trust + PAM360 : le duo gagnant

Le mouvement latéral repose sur les identifiants. Pas de virus, pas de faille zero-day. Juste des comptes utilisés légitimement… par quelqu'un qui ne devrait pas les utiliser.

C'est exactement là qu'intervient le modèle Zero Trust : ne jamais faire confiance, vérifier toujours. Chaque accès, même interne, doit être authentifié et surveillé.

PAM360 centralise la gestion des accès à privilèges : coffre-fort de mots de passe, rotation automatique, surveillance des sessions. La supervision réseau détecte les comportements anormaux. Ensemble, ils rendent le mouvement latéral beaucoup plus difficile.

Selon le Forum Économique Mondial 2026, 94 % des organisations considèrent l'IA comme le principal facteur de risque, mais le facteur humain — les identifiants — reste le premier vecteur d'attaque.

Pour aller plus loin, nous avons rassemblé les 10 erreurs de configuration AD les plus critiques qui exposent votre infrastructure aux mouvements latéraux. Un guide pratique à garder sous la main.

Téléchargez le e-book gratuit : Les 10 principales erreurs de configuration AD

FAQ