/ Sécurité informatique et Cyber / Anatomie d’une tentative d’intrusion : comment les pirates ciblent et pénètrent votre réseau
Publié le 15 mars 2024

Vous croyez que votre pare-feu est un mur infranchissable ? Pour nous, les attaquants, c’est un puzzle à résoudre, et chaque réseau a ses failles.

  • Une attaque n’est pas un acte unique mais une campagne méthodique : reconnaissance, exploitation, et pivot à l’intérieur de vos défenses.
  • La plus grande vulnérabilité n’est souvent pas technologique, mais le fait de ne surveiller que la porte d’entrée en ignorant les mouvements internes.

Recommandation : Adoptez notre perspective. Cessez de simplement « défendre » et commencez à « chasser » activement les menaces en comprenant nos méthodes pour les anticiper.

En tant qu’administrateur réseau ou DSI au Québec, vous avez coché les cases : un pare-feu de nouvelle génération est en place, les antivirus sont à jour et vous pensez avoir bâti une forteresse numérique. Pourtant, le sentiment que quelque chose pourrait glisser entre les mailles du filet persiste. Et vous avez raison. Le problème est que vous pensez en défenseur, en construisant des murs. Nous, les attaquants, nous ne voyons pas de murs ; nous voyons une surface d’attaque, une série de portes, de fenêtres et de fissures à tester. Les chiffres le prouvent : selon une analyse récente, 78% des entreprises au Canada ont été victimes d’une cyberattaque réussie, malgré leurs défenses.

La plupart des guides se concentrent sur les outils à acheter ou les politiques à écrire. Ils vous disent de bâtir des murs plus hauts. Cet article fait le contraire. Nous allons vous asseoir de notre côté de la table. Je vais vous montrer comment nous pensons, comment nous procédons, de la première reconnaissance discrète à l’établissement d’une présence durable dans votre réseau. L’objectif n’est pas de vous effrayer, mais de vous armer de la connaissance la plus puissante qui soit : la perspective de votre adversaire. Comprendre notre « kill chain » (notre chaîne d’attaque) est la seule façon de la briser.

Nous n’allons pas parler de produits magiques. Nous allons décortiquer nos tactiques : le scan de ports, la force brute, et surtout, ce que nous faisons une fois que nous avons passé votre fameux périmètre de sécurité. Car la vraie bataille ne se joue pas à la porte d’entrée, mais dans les couloirs de votre réseau. Préparez-vous à voir votre infrastructure avec nos yeux. C’est seulement ainsi que vous pourrez la défendre efficacement.

Pour un aperçu rapide et percutant de la psychologie derrière l’une de nos techniques les plus courantes, la vidéo suivante sur l’hameçonnage illustre parfaitement comment nous exploitons le facteur humain pour obtenir un premier point d’accès.

Cet article est structuré pour vous faire suivre notre cheminement logique d’attaquant. Chaque section dévoile une étape de notre processus, des premières reconnaissances aux stratégies avancées, afin de vous donner les clés pour anticiper chacun de nos mouvements.

Sommaire : Comprendre la chaîne d’attaque pour mieux la déjouer

Le scan de ports : comment les pirates « frappent à toutes les portes » de votre réseau pour en trouver une d’ouverte

Notre premier travail, avant toute attaque sophistiquée, est la reconnaissance. Pensez à votre réseau comme à un bâtiment. Avant de tenter de crocheter une serrure, nous faisons le tour pour trouver les portes et les fenêtres. Le scan de ports est exactement cela : nous « frappons » numériquement à chaque porte (port) de votre adresse IP publique pour voir laquelle répond. Un port qui répond nous donne deux informations cruciales : il est ouvert et un service (une application, un serveur) écoute derrière. C’est notre premier point d’intérêt.

Nous n’utilisons pas d’outils mystérieux. Des logiciels comme Nmap sont nos couteaux suisses. En quelques minutes, nous pouvons cartographier votre surface d’attaque externe. Un port 22 (SSH) ouvert ? C’est une porte d’accès direct au serveur. Un port 3389 (RDP) ? Une invitation à prendre le contrôle d’un poste Windows. Un port 445 (SMB) exposé sur Internet ? C’est une négligence grave que nous exploiterons sans hésiter. Chaque port ouvert est une promesse d’accès potentiel.

L’erreur que vous commettez est de croire que seuls les ports « connus » sont dangereux. Nous cherchons aussi les ports non standards utilisés par des applications métiers ou des équipements industriels (OT/SCADA), souvent moins sécurisés. Une fois notre carte établie, nous ne lançons pas une attaque massive. Nous choisissons la porte la plus prometteuse, celle qui semble la moins gardée, et nous concentrons nos efforts dessus. Votre travail n’est pas seulement de fermer les portes inutiles, mais de savoir exactement lesquelles sont ouvertes, pourquoi, et qui les surveille.

Plan d’action : Audit de sécurité de vos ports réseau

  1. Scan exhaustif : Effectuez un scan complet de tous les ports ouverts sur votre réseau avec des outils d’audit approuvés pour avoir la même vue que nous.
  2. Fermeture immédiate : Identifiez et fermez sans délai les ports non essentiels, en particulier les plus risqués comme le FTP (21), Telnet (23), SMB (445) et RDP (3389) s’ils ne sont pas absolument requis et sécurisés.
  3. Liste blanche industrielle : Mettez en place une liste blanche stricte (whitelist) pour les ports critiques de vos équipements industriels (PLC, SCADA) : n’autorisez que les communications connues et nécessaires.
  4. Configuration d’alertes : Configurez des alertes automatiques pour toute tentative de connexion sur des ports que vous avez volontairement fermés. C’est un indicateur précoce de reconnaissance.
  5. Révision et conformité : Révisez trimestriellement la configuration des ports et documentez chaque ouverture. C’est une pratique essentielle pour la conformité, notamment avec la Loi 25 au Québec.

L’attaque par force brute : comment des millions de mots de passe sont testés sur votre serveur chaque jour

Une fois que nous avons trouvé une porte ouverte, comme un accès SSH (port 22) ou RDP (port 3389), notre prochain défi est de trouver la clé. L’attaque par force brute est notre méthode la plus directe. Le concept est simple : nous essayons toutes les combinaisons de mots de passe possibles jusqu’à ce que l’une fonctionne. Avec la puissance de calcul moderne et des listes de mots de passe courants (dictionnaires) contenant des milliards d’entrées, ce qui semble fastidieux est en réalité une question de temps et de méthode.

Nous ne tapons pas « 123456 » ou « password ». Nos scripts automatisés testent des listes de mots de passe issus de précédentes fuites de données, des variantes communes, et des combinaisons complexes. Si votre politique de mot de passe est faible, nous trouverons la clé. Un mot de passe de 8 caractères sans complexité peut être cassé en quelques heures. Un accès administrateur obtenu par cette méthode nous donne les clés du royaume, et les conséquences financières peuvent être désastreuses. Les statistiques canadiennes sont claires : le coût moyen d’une rançon payée suite à une attaque réussie est de 160 652 CAD, avec seulement 60% des données restaurées en moyenne.

La meilleure défense n’est pas seulement un mot de passe long, mais une stratégie de verrouillage. Mettre en place un verrouillage de compte après 3 à 5 tentatives infructueuses nous ralentit considérablement. L’authentification multifacteur (MFA) est notre pire ennemie : même si nous volons votre mot de passe, nous ne pouvons pas entrer sans le second facteur. Au Québec, la conformité avec la Loi 25 n’est plus une option, et elle a un impact direct sur vos politiques de sécurité et même vos primes d’assurance.

Le tableau suivant illustre clairement les enjeux financiers et légaux liés à la robustesse de vos politiques d’accès, un aspect directement ciblé par nos attaques par force brute.

Impact de la Loi 25 sur les politiques de mots de passe et les primes d’assurance cyber
Aspect Sans conformité Loi 25 Avec conformité Loi 25
Obligation de déclaration Non structurée Obligatoire sous 72h à la CAI
Politique mots de passe Variable/faible Minimum 12 caractères + MFA
Primes cyber-assurance +40-60% surcharge Tarif standard
Amende maximale N/A 25M$ ou 4% du CA mondial
Couverture incidents Limitée/exclusions Complète

IDS ou IPS : faut-il simplement détecter l’intrus ou le bloquer à la porte ?

Imaginons que vous ayez renforcé vos portes et vos serrures. Notre prochaine étape est de devenir plus subtils. Nous n’allons plus essayer de forcer la porte, mais plutôt de manipuler la serrure avec des techniques plus fines (exploits). C’est là que votre système de surveillance entre en jeu. Vous avez deux options principales : un Système de Détection d’Intrusion (IDS) ou un Système de Prévention d’Intrusion (IPS). Pour nous, la différence est fondamentale.

Un IDS est comme une caméra de surveillance. Il observe le trafic réseau et, s’il voit quelque chose de suspect correspondant à une signature d’attaque connue, il vous envoie une alerte. C’est utile, mais il ne fait rien pour nous arrêter. Il nous dit simplement : « Je vous ai vu ». Pour un attaquant, une alerte est un simple contretemps si personne ne réagit immédiatement. Un IPS, en revanche, est comme un garde de sécurité armé. Non seulement il détecte la tentative, mais il peut aussi la bloquer activement en temps réel, en coupant la connexion ou en rejetant les paquets malveillants. Un IPS bien configuré peut tuer notre tentative d’exploitation dans l’œuf.

Alors, pourquoi ne pas toujours choisir un IPS ? Le risque, surtout dans un environnement industriel québécois, est le faux positif. Un IPS trop zélé pourrait bloquer une communication légitime d’un automate programmable (PLC), paralysant une chaîne de production. C’est pourquoi le Centre canadien pour la cybersécurité recommande souvent une approche hybride. L’architecture ci-dessous montre comment ces systèmes peuvent coexister : l’IDS surveille et journalise (essentiel pour la Loi 25), tandis que l’IPS protège activement les zones les plus critiques du réseau.

Architecture de sécurité réseau montrant le positionnement stratégique des systèmes IDS et IPS dans un environnement industriel

Cette dualité est votre avantage. L’IDS nous force à être plus discrets pour ne pas déclencher d’alertes, tandis que l’IPS nous oblige à trouver des angles d’attaque qui ne correspondent à aucune signature connue. Votre stratégie doit donc être de positionner ces outils non pas comme une seule barrière, mais comme des couches de détection et de blocage tout au long de votre infrastructure.

L’ennemi est déjà dans la place : l’erreur de ne surveiller que la porte d’entrée de votre réseau

C’est ici que 90% des défenses échouent. Vous avez dépensé une fortune sur un pare-feu de pointe et un IPS, en vous concentrant sur la protection du périmètre. Mais vous partez du principe que nous sommes toujours à l’extérieur. C’est votre erreur la plus dangereuse. Notre objectif n’est pas de rester à la porte ; c’est d’entrer, par n’importe quel moyen (un email de phishing réussi, une clé USB infectée, un portable de maintenance compromis), puis de devenir « l’ennemi intérieur ».

Une fois à l’intérieur, même sur un poste de travail anodin, le jeu change. Le pare-feu périmétrique ne nous voit plus. Nous sommes dans votre « zone de confiance ». Notre objectif devient alors le mouvement latéral. Nous explorons discrètement le réseau interne, cherchant à « pivoter » d’une machine à l’autre, élevant progressivement nos privilèges jusqu’à atteindre nos véritables cibles : les serveurs de fichiers, les bases de données clients, ou, dans un contexte industriel, les systèmes de contrôle (OT). Comme le souligne une autorité en la matière, cette phase est le cauchemar de tout DSI.

Le mouvement latéral dans un contexte de convergence IT/OT représente le scénario catastrophe où un poste administratif compromis permet à l’attaquant de pivoter vers les systèmes de production industrielle.

– Centre canadien pour la cybersécurité, Évaluation des cybermenaces nationales 2025-2026

Ne pas surveiller le trafic Est-Ouest (entre les machines de votre réseau interne) est comme installer des caméras uniquement sur la porte d’entrée d’un musée tout en laissant les salles intérieures sans surveillance. Pour nous contrer à ce stade, vous devez mettre en place une micro-segmentation réseau, créant des cloisons étanches entre les différents services (par exemple, isoler le réseau administratif du réseau de production). Vous devez également déployer des outils qui analysent les communications internes pour repérer les comportements anormaux : un poste de comptable qui tente de se connecter à un serveur de R&D à 3h du matin est un drapeau rouge que seule une surveillance interne peut lever.

Le pot de miel : comment tendre un piège aux hackers pour mieux comprendre leurs méthodes ?

Maintenant que vous comprenez que nous pouvons déjà être à l’intérieur, comment nous trouver ? Vous pouvez attendre de voir les dégâts, ou vous pouvez nous tendre un piège. C’est le principe du « pot de miel », ou honeypot. Un honeypot est un système leurre, une fausse cible que vous placez sur votre réseau. Il est conçu pour être attractif, vulnérable et très surveillé.

Pour nous, un honeypot ressemble à une cible légitime : un serveur de fichiers mal configuré, une vieille version d’un portail web, ou même un faux automate industriel. En l’attaquant, nous pensons avoir trouvé une faille. Mais en réalité, nous tombons dans votre piège. Chaque commande que nous tapons, chaque outil que nous utilisons, chaque fichier que nous tentons d’exfiltrer est enregistré. Vous ne faites pas que nous bloquer : vous nous étudiez. Vous apprenez nos tactiques, techniques et procédures (TTPs) en temps réel, sur votre propre réseau.

Cette stratégie est particulièrement pertinente pour les PME québécoises qui, comme le révèle une étude KPMG 2024, voient 70% d’entre elles manquer de personnel qualifié pour une surveillance active. Le honeypot devient un soldat automatisé qui non seulement sonne l’alarme, mais collecte aussi des renseignements précieux sur qui vous attaque et comment.

Étude de cas : Les honeypots pour protéger le secteur manufacturier québécois

Les honeypots configurés pour imiter des systèmes SCADA ou des serveurs de données permettent aux PME manufacturières québécoises de collecter des renseignements précieux sur les tactiques des attaquants ciblant spécifiquement leur secteur. En analysant les types d’attaques menées contre ces leurres (recherche de vulnérabilités spécifiques aux PLC, tentatives d’arrêt de production simulées), ces entreprises peuvent ajuster leurs règles de pare-feu et leurs systèmes de détection pour contrer les menaces réelles. Cette approche proactive, recommandée par des organismes comme le Centre canadien pour la cybersécurité, aide à anticiper les menaces et à développer des stratégies de défense adaptées au contexte local, transformant une posture de défense passive en une chasse aux menaces active.

La règle d’or du pare-feu : pourquoi vous devriez tout bloquer, sauf le strict nécessaire

Revenons à votre première ligne de défense : le pare-feu. La plupart des organisations le configurent sur un principe de « tout autoriser, sauf ce qui est explicitement interdit » (Allow by default). C’est une erreur fondamentale. Pour nous, c’est une invitation. Chaque service que vous laissez passer « au cas où » est une porte potentielle. La bonne approche, la seule qui soit vraiment sécurisée, est l’inverse : « tout interdire, sauf ce qui est explicitement autorisé » (Deny by default).

Cela signifie que par défaut, aucune communication n’est permise. Vous devez ensuite créer des règles pour autoriser, une par une, uniquement les communications absolument essentielles au fonctionnement de votre entreprise. Le serveur web doit être accessible sur le port 443 depuis Internet ? Créez une règle pour cela. Le service de comptabilité doit accéder au serveur de paie sur le port 1433 ? Créez une règle spécifique entre ces deux machines uniquement. Tout le reste est bloqué.

Visualisation de la micro-segmentation réseau pour protéger les serveurs R&D dans l'industrie québécoise

Cette approche réduit drastiquement votre surface d’attaque. Pour nous, c’est un cauchemar. Au lieu d’un champ ouvert avec quelques barrières, nous faisons face à un mur solide avec seulement quelques petites ouvertures très surveillées. Appliquer ce principe non seulement au périmètre (trafic Nord-Sud) mais aussi à l’intérieur de votre réseau (micro-segmentation) est la clé. Si nous parvenons à compromettre un poste, une politique de « Deny by default » interne nous empêchera de nous déplacer latéralement, nous confinant à un petit segment du réseau. Votre pare-feu devient alors non plus une simple porte, mais un ensemble de cloisons étanches qui limitent la propagation de l’incendie.

La mise en place d’une telle politique demande de la rigueur et une excellente connaissance de vos flux applicatifs, mais c’est l’un des contrôles de sécurité les plus efficaces que vous puissiez déployer. Chaque règle d’exception doit être documentée et justifiée. C’est la base d’une architecture Zero Trust, où aucune communication n’est approuvée par défaut.

L’analyse de flux : la « facture téléphonique détaillée » de votre réseau pour savoir qui consomme la bande passante

Même avec les meilleures règles du monde, comment savoir ce qui se passe réellement sur votre réseau ? Comment détecter une communication anormale qui aurait réussi à passer entre les mailles du filet ? La réponse est dans l’analyse de flux. Si les logs de pare-feu vous disent quelles portes ont été ouvertes ou fermées, l’analyse de flux vous donne la « facture téléphonique détaillée » de votre réseau : qui a parlé à qui, quand, pendant combien de temps et avec quelle quantité de données.

Pensez à cette analogie très québécoise : « Analyser vos flux réseau, c’est comme vérifier votre relevé de compteur Hydro-Québec et constater une consommation anormale à 3h du matin alors que l’usine est fermée ». C’est un indicateur puissant qu’une activité illégitime a lieu. Pour nous, l’exfiltration de données est une étape clé. Nous essayons de voler vos informations. Cette action génère un flux de données sortant, souvent vers une destination inhabituelle et à des heures indues. Sans analyse de flux, vous êtes aveugle à ce vol qui se déroule sous vos yeux.

Des protocoles comme NetFlow ou sFlow, intégrés dans la plupart des équipements réseau modernes, collectent ces métadonnées. En les centralisant dans un outil d’analyse (un collecteur de flux), vous pouvez visualiser le comportement de votre réseau, établir une ligne de base de ce qui est « normal », et configurer des alertes pour tout ce qui en dévie. C’est un outil de chasse aux menaces exceptionnel pour repérer les mouvements latéraux et les tentatives d’exfiltration de données, deux de nos activités favorites une fois à l’intérieur. Le choix de la technologie a des implications en termes de coût et de conformité, notamment au regard des exigences de conservation des logs de la Loi 25.

Le tableau ci-dessous compare les deux principaux protocoles de flux pour vous aider à choisir la solution la plus adaptée à votre contexte de PME au Québec.

Comparaison des outils d’analyse de flux NetFlow vs sFlow pour la conformité à la Loi 25
Critère NetFlow sFlow Exigence Loi 25
Granularité données Flux complets Échantillonnage Traçabilité complète requise
Impact performance Modéré Minimal Sans impact production
Conservation logs 1-2 ans possible 6-12 mois typique Minimum 1 an obligatoire
Coût déploiement PME 5-10k CAD 3-7k CAD Budget cybersécurité requis
Intégration SIEM Native Via convertisseur Centralisation recommandée

À retenir

  • Pensez comme l’attaquant : Votre défense la plus efficace est d’anticiper nos actions en comprenant notre méthodologie (reconnaissance, exploitation, mouvement latéral).
  • Le périmètre n’est qu’une illusion : Une fois à l’intérieur, nous sommes dans votre « zone de confiance ». La surveillance du trafic interne est plus critique que celle de la porte d’entrée.
  • De la défense à la chasse : Les outils passifs ne suffisent pas. Déployez des pièges (honeypots) et analysez les flux pour chasser activement les menaces plutôt que d’attendre l’impact.

Le pare-feu, bien plus qu’une simple « boîte » : la stratégie pour en faire le pilier de votre cybersécurité

Nous avons parcouru les étapes de notre offensive, du scan de ports à l’analyse de flux. Il est clair maintenant que la sécurité ne réside pas dans un seul outil, mais dans une stratégie cohérente. Votre pare-feu n’est pas une « boîte magique » que l’on installe et que l’on oublie. Il doit être le chef d’orchestre de votre stratégie de sécurité, le point central où les politiques de blocage, de détection et de segmentation convergent.

Un pare-feu moderne (NGFW) doit faire bien plus que filtrer les ports. Il doit inspecter le trafic chiffré (SSL/TLS), comprendre les applications (filtrage applicatif), et s’intégrer nativement avec vos autres systèmes de sécurité (IDS/IPS, analyse de flux). Il doit appliquer la règle d’or du « deny by default » non seulement aux frontières de votre réseau, mais aussi entre vos segments internes. C’est cette orchestration qui transforme une défense passive en une architecture Zero Trust, où chaque communication est validée.

Le plus grand risque, cependant, n’est pas technologique. Selon KPMG Canada, un nombre alarmant de 66% des PME n’ont pas de plan pour faire face aux attaques par rançongiciel. Cela montre un décalage dangereux entre l’achat d’un outil et la mise en place d’une véritable stratégie. La technologie sans la stratégie, c’est un mur sans gardien. Votre pare-feu est un outil puissant, mais il n’est que le reflet de la stratégie que vous y inscrivez. Une revue trimestrielle des règles, la documentation de chaque exception et l’intégration avec une surveillance continue sont ce qui le transforme de simple « boîte » en pilier de votre cybersécurité.

Pour que cette stratégie devienne une réalité, il est crucial de ré-évaluer constamment votre approche en vous basant sur la vision stratégique de votre pare-feu.

Maintenant que vous avez vu à travers nos yeux, l’étape suivante n’est pas d’acheter un nouvel équipement, mais de lancer une évaluation honnête de votre posture actuelle. Commencez par un audit de votre configuration de pare-feu et une cartographie de vos flux réseau pour identifier les failles que nous exploiterions aujourd’hui.

Rédigé par Isabelle Girard, Forte de 20 ans d'expérience en gestion de la sécurité et des mesures d'urgence, Isabelle Girard est une consultante reconnue pour son approche terrain et sa maîtrise des situations critiques. Ancienne gestionnaire dans le secteur public, elle conçoit des plans de sécurité physique et de réponse aux crises qui fonctionnent sous la pression.
Actualités du site
Le monitoring réseau : l’art de rendre visible l’invisible pour garantir performance et sécurité
L’antivirus en 2025 au Québec : simple outil ou obligation de gouvernance sous la Loi 25 ?
Le pare-feu, bien plus qu’une simple « boîte » : la stratégie pour en faire le pilier de votre cybersécurité
Anatomie d’une cyber-infection : comment les logiciels malveillants pénètrent et détruisent vos systèmes
L’accident vient d’arriver : le guide pour gérer la situation avec méthode, calme et humanité
Articles similaires
Loi 25, et après ? La stratégie pour protéger ce qui fait vraiment la valeur de votre entreprise