Reconnaissance
Qu'est-ce que Reconnaissance ?
ReconnaissancePremière phase d'une attaque, durant laquelle l'adversaire collecte des informations sur les personnes, la technologie et l'exposition de la cible avant d'agir.
La reconnaissance est l'étape de collecte d'informations qui précède l'intrusion. Dans MITRE ATT&CK, elle correspond à la tactique TA0043 et regroupe des techniques telles que le balayage de plages d'IP, la récolte de noms d'employés sur LinkedIn, l'OSINT, l'énumération DNS et la recherche d'identifiants exposés sur des sites de paste. C'est aussi la première phase de la Cyber Kill Chain de Lockheed Martin. Elle peut être passive — exploitation de données déjà publiques — ou active, lorsque l'attaquant sonde directement la cible et peut générer de la télémétrie. Les défenseurs en réduisent la valeur via la gestion de la surface d'attaque, la déception, la surveillance de marque, les services de takedown, et la détection de balayages ou énumérations suspectes.
● Exemples
- 01
Récupérer l'organisation GitHub d'une entreprise pour y trouver des identifiants en dur et des noms d'hôtes internes.
- 02
Scanner massivement Internet à la recherche de serveurs RDP exposés et de bannières de pré-authentification.
● Questions fréquentes
Qu'est-ce que Reconnaissance ?
Première phase d'une attaque, durant laquelle l'adversaire collecte des informations sur les personnes, la technologie et l'exposition de la cible avant d'agir. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Reconnaissance ?
Première phase d'une attaque, durant laquelle l'adversaire collecte des informations sur les personnes, la technologie et l'exposition de la cible avant d'agir.
Comment fonctionne Reconnaissance ?
La reconnaissance est l'étape de collecte d'informations qui précède l'intrusion. Dans MITRE ATT&CK, elle correspond à la tactique TA0043 et regroupe des techniques telles que le balayage de plages d'IP, la récolte de noms d'employés sur LinkedIn, l'OSINT, l'énumération DNS et la recherche d'identifiants exposés sur des sites de paste. C'est aussi la première phase de la Cyber Kill Chain de Lockheed Martin. Elle peut être passive — exploitation de données déjà publiques — ou active, lorsque l'attaquant sonde directement la cible et peut générer de la télémétrie. Les défenseurs en réduisent la valeur via la gestion de la surface d'attaque, la déception, la surveillance de marque, les services de takedown, et la détection de balayages ou énumérations suspectes.
Comment se défendre contre Reconnaissance ?
Les défenses contre Reconnaissance combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- defense-ops№ 265
Cyber Kill Chain
Modèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
- compliance№ 687
MITRE ATT&CK
Base de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
- defense-ops№ 072
Gestion de la surface d'attaque (ASM)
Découverte, inventaire, classification et surveillance continus de tous les actifs qui exposent l'organisation à une cyberattaque potentielle.
- defense-ops№ 1148
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.
- defense-ops№ 535
Accès initial
Tactique MITRE ATT&CK (TA0001) regroupant les techniques par lesquelles un attaquant établit son premier point d'appui dans l'environnement cible.
- defense-ops№ 325
Découverte (tactique MITRE)
Tactique MITRE ATT&CK (TA0007) couvrant les techniques utilisées par l'attaquant pour cartographier l'environnement compromis après son intrusion.