Menace persistante avancée (APT)
Qu'est-ce que Menace persistante avancée (APT) ?
Menace persistante avancée (APT)Acteur malveillant furtif et bien doté — souvent étatique — qui maintient un accès durable et non détecté à un réseau cible pour exfiltrer des données ou se prépositionner en vue d'une perturbation.
Une APT désigne à la fois l'acteur et la campagne : des adversaires qualifiés qui passent des semaines voire des années à l'intérieur d'un environnement cible, en privilégiant la discrétion et la persistance plutôt que des attaques bruyantes de type « smash-and-grab ». Les APT enchaînent généralement spear-phishing, compromission de la chaîne d'approvisionnement, malwares sur mesure, techniques living-off-the-land et exploits zero-day. Leurs objectifs sont le plus souvent l'espionnage (propriété intellectuelle, télégrammes diplomatiques, recherche de défense), le prépositionnement en vue d'un sabotage d'infrastructures critiques, ou le vol financier au long cours.
Des campagnes nommées illustrent tout l'éventail. APT29 (Cozy Bear) a trojanisé les mises à jour de SolarWinds Orion avec la porte dérobée SUNBURST en 2020, atteignant des milliers d'organisations à travers un unique fournisseur de confiance. Volt Typhoon, un groupe lié à la RPC, a employé des techniques living-off-the-land — des outils intégrés comme wmic, netsh et PowerShell plutôt que des malwares sur mesure — pour maintenir un accès persistant au sein des réseaux américains de communications, d'énergie, d'eau et de transport ; la CISA, le FBI et la NSA ont averti dans l'avis conjoint AA24-038A (février 2024) que l'intention était un prépositionnement en vue d'attaques perturbatrices lors d'une crise future, et non de l'espionnage.
La défense exige des contrôles en couches : détection guidée par la threat intelligence, EDR/XDR avec analytique comportementale, segmentation réseau, contrôles d'identité stricts, journalisation renforcée de l'authentification et de l'activité en ligne de commande, et threat hunting proactif sur les TTP catalogués dans MITRE ATT&CK.
flowchart LR A[Reconnaissance] --> B[Accès initial<br/>spear-phish / supply chain / 0-day] B --> C[Pied dans la place &<br/>persistance] C --> D[Élévation de privilèges<br/>+ vol d'identifiants] D --> E[Déplacement latéral<br/>living off the land] E --> F[Collecte furtive<br/>à long terme] F --> G[Exfiltration ou<br/>prépositionnement] F -.évasion.-> H[EDR / threat hunting<br/>MITRE ATT&CK] H -.détecter & évincer.-> C
● Exemples
- 01
APT29 (Cozy Bear) et la compromission de la chaîne d'approvisionnement SolarWinds SUNBURST.
- 02
APT1 (Unité 61398 de l'APL) et les campagnes d'espionnage industriel décrites par Mandiant en 2013.
- 03
Volt Typhoon et son prépositionnement au sein des infrastructures critiques américaines (avis CISA AA24-038A).
● Questions fréquentes
Qu'est-ce que Menace persistante avancée (APT) ?
Acteur malveillant furtif et bien doté — souvent étatique — qui maintient un accès durable et non détecté à un réseau cible pour exfiltrer des données ou se prépositionner en vue d'une perturbation. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Menace persistante avancée (APT) ?
Acteur malveillant furtif et bien doté — souvent étatique — qui maintient un accès durable et non détecté à un réseau cible pour exfiltrer des données ou se prépositionner en vue d'une perturbation.
Comment se défendre contre Menace persistante avancée (APT) ?
Les défenses contre Menace persistante avancée (APT) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Menace persistante avancée (APT) ?
Noms alternatifs courants : Attaque ciblée, Acteur étatique.