La phase 7 de la kill chain, les actions sur les objectifs, est le moment où l'attaquant récolte le fruit de son intrusion : il vole vos données, chiffre vos serveurs pour extorsion, détruit vos systèmes ou étend son emprise vers d'autres machines. C'est ici que le risque devient un dommage réel et souvent irréversible. Cette page vous explique les quatre buts finaux les plus fréquents, leur impact métier et les défenses qui limitent la casse quand la prévention a échoué.
Elle s'adresse aux personnes qui découvrent la sécurité offensive ou qui veulent comprendre pourquoi une intrusion coûte si cher, sans autre prérequis que la notion de cyberattaque. Cette phase peut durer quelques minutes pour un ransomware automatisé, ou plusieurs mois pour de l'espionnage étatique.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »Comprendre les objectifs possibles d'un attaquant aide à prioriser les défenses et à ne pas se focaliser sur la seule prévention de l'accès initial. Concrètement, vous saurez :
- Distinguer les quatre buts finaux, exfiltration, chiffrement, sabotage et mouvement latéral.
- Comprendre le modèle économique de la double et triple extorsion qui domine la cybercriminalité actuelle.
- Évaluer l'impact métier réel d'une compromission, coûts directs, interruption d'activité et atteinte à la réputation.
- Appliquer les défenses qui limitent l'impact, sauvegardes isolées, DLP, segmentation et plan de réponse à incident.
- Relier cette phase aux tactiques MITRE ATT&CK « Exfiltration (
TA0010) » et « Impact (TA0040) », dont la techniqueT1486(données chiffrées pour impact, le ransomware) etT1041(exfiltration via le canal C2). Voir MITRE ATT&CK et le domaine Runtime et exploitation du socle.
Où se situe cette phase dans l'attaque
Section intitulée « Où se situe cette phase dans l'attaque »La phase 7 est l'aboutissement de tout le travail précédent. Une fois que l'attaquant a établi un canal de commande et contrôle (C2) fonctionnel, il pilote les systèmes compromis et peut enfin accomplir sa mission initiale. Rien de ce qui précède, reconnaissance, intrusion, persistance, n'était une fin en soi : tout convergeait vers cet instant.
Cette étape porte deux tactiques ATT&CK distinctes. L'Exfiltration
(TA0010) couvre la sortie des données hors du réseau. L'Impact (TA0040)
couvre la destruction, le chiffrement et la perturbation. Un même incident
combine souvent les deux : un groupe ransomware exfiltre d'abord les données
sensibles, puis chiffre les serveurs. C'est cette combinaison qui donne son
pouvoir de nuisance à la double extorsion.
Les quatre buts finaux d'un attaquant
Section intitulée « Les quatre buts finaux d'un attaquant »Selon la motivation, gain financier, espionnage, sabotage, l'attaquant vise un ou plusieurs objectifs. Ils ne s'excluent pas : une attaque évoluée enchaîne souvent mouvement latéral, exfiltration et chiffrement dans la même campagne.
L'exfiltration de données
Section intitulée « L'exfiltration de données »Le vol de données est l'objectif le plus fréquent, car presque toute donnée a une valeur marchande. L'attaquant cible en priorité la propriété intellectuelle (code source, brevets, R&D), les données personnelles (PII, dossiers santé), les données financières (numéros de carte, comptes) et les secrets techniques (clés API, mots de passe), qui ouvrent d'autres portes.
| Catégorie de données | Exemples | Ce que l'attaquant en fait |
|---|---|---|
| Propriété intellectuelle | Code source, brevets, R&D | Espionnage industriel |
| Données personnelles | PII, données de santé | Revente, usurpation d'identité |
| Données financières | Cartes bancaires, comptes | Fraude directe |
| Secrets techniques | Clés API, jetons, mots de passe | Accès à d'autres systèmes |
L'exfiltration passe par des canaux discrets : trafic HTTPS vers des services
cloud légitimes (le trafic vers un Dropbox ne surprend personne), tunneling
DNS pour contourner les filtres, ou le canal C2 existant (technique
ATT&CK T1041). Les attaquants sophistiqués sortent les données lentement, par
petits volumes, car une fuite de 10 Go étalée sur six mois est bien plus
difficile à repérer qu'un transfert massif unique.
Le chiffrement pour extorsion, le ransomware
Section intitulée « Le chiffrement pour extorsion, le ransomware »Le ransomware (rançongiciel) chiffre vos fichiers et exige un paiement pour
la clé de déchiffrement. C'est la technique ATT&CK T1486, « données chiffrées
pour impact ». Son modèle économique a évolué vers une pression maximale sur
la victime, avec la double extorsion. Le
rançongiciel est traité en détail sur sa page dédiée ;
il est abordé ici comme l'une des actions finales possibles parmi d'autres.
L'extorsion se joue aujourd'hui sur plusieurs niveaux. La simple extorsion chiffre les données : payez pour les récupérer. La double extorsion ajoute la menace de publier les données volées avant chiffrement, ce qui rend la sauvegarde insuffisante à elle seule. La triple extorsion y ajoute un DDoS ou le contact direct de vos clients et partenaires, pour amplifier le chantage.
L'exécution suit un enchaînement quasi standard : l'attaquant désactive d'abord les sauvegardes et les copies fantômes Windows, arrête les services qui verrouillent les fichiers, chiffre avec une clé unique, dépose la note de rançon, puis efface ses traces. Comprendre cet ordre est utile : neutraliser la protection des sauvegardes est le geste qui doit déclencher l'alerte la plus forte.
Le sabotage et la destruction
Section intitulée « Le sabotage et la destruction »Certains acteurs ne cherchent ni argent ni renseignement : ils veulent détruire. C'est le mode opératoire d'acteurs étatiques et de certains hacktivistes. Le wiper malware rend les données irrécupérables (les cas NotPetya en 2017 et WhisperGate en 2022 ont paralysé des organisations entières), souvent en se déguisant en ransomware alors qu'aucune clé n'existe.
Le sabotage prend d'autres formes plus insidieuses : la corruption discrète de bases de données altère les données sans les détruire, ce qui empoisonne la confiance dans le système ; le déni de service rend les serveurs inutilisables ; le défacement et la fuite embarrassante visent la réputation. Dans tous ces cas, contrairement au ransomware, il n'y a rien à négocier : seule la restauration compte.
Le mouvement latéral
Section intitulée « Le mouvement latéral »Avant d'agir sur sa cible finale, l'attaquant étend rarement son emprise depuis la seule machine compromise au départ. Le mouvement latéral est la progression d'un poste ordinaire vers les actifs critiques : serveur de fichiers, contrôleur de domaine, serveurs de production. C'est la tactique qui transforme une intrusion isolée en compromission de tout le système d'information.
Les techniques employées réutilisent des accès légitimes plutôt que de forcer les portes. Le Pass-the-Hash et le Pass-the-Ticket rejouent des identifiants volés sans même les casser. Les protocoles d'administration RDP, SSH, WMI servent de canaux normaux avec des identifiants dérobés. L'exploitation de vulnérabilités réseau (le ver EternalBlue en est l'exemple type) propage l'attaque automatiquement. Détecter cette progression avant l'objectif final, c'est encore pouvoir limiter les dégâts.
L'impact métier d'une compromission
Section intitulée « L'impact métier d'une compromission »L'intérêt de comprendre cette phase est d'en mesurer le coût réel, qui dépasse largement la seule technique. Une compromission additionne des coûts directs immédiats et des coûts indirects qui s'étalent dans le temps.
Les coûts directs incluent la rançon éventuelle (de dizaines de milliers à plusieurs millions d'euros), l'investigation forensique et la réponse, la restauration des systèmes, et les amendes RGPD qui peuvent atteindre 4 % du chiffre d'affaires mondial en cas de fuite de données personnelles. Payer la rançon ne garantit d'ailleurs ni la récupération, ni la non-publication des données.
Les coûts indirects pèsent souvent plus lourd : l'interruption d'activité ampute directement le chiffre d'affaires, l'atteinte à la réputation fait fuir des clients, les primes d'assurance cyber grimpent et les frais juridiques s'accumulent. Le temps de récupération est un facteur clé : une restauration après ransomware prend 2 à 4 semaines en moyenne, l'éviction d'un groupe APT installé se compte en mois, et l'impact réputationnel d'une fuite se prolonge sur des années.
Comment limiter l'impact
Section intitulée « Comment limiter l'impact »Quand la prévention a échoué et que l'attaquant agit, l'objectif change : il faut contenir les dégâts et récupérer vite. Ces défenses ne s'opposent pas à la prévention, elles la complètent en supposant que l'intrusion aura lieu un jour.
Sauvegardes isolées et testées : c'est la dernière ligne de défense contre le ransomware et le wiper. Une sauvegarde doit être hors ligne ou immuable (que l'attaquant ne peut ni chiffrer ni supprimer depuis le réseau) et surtout restaurée régulièrement pour tester sa validité. Une sauvegarde jamais testée est une fausse sécurité.
Prévention de la fuite de données (DLP) : classifier les données sensibles puis surveiller leurs mouvements permet de détecter un transfert anormal vers l'extérieur. Couplée au chiffrement au repos, la DLP limite la valeur des données volées : un fichier chiffré exfiltré reste illisible pour l'attaquant.
Segmentation réseau : cloisonner les environnements freine le mouvement latéral. Un poste de bureautique compromis ne doit pas ouvrir de route directe vers le contrôleur de domaine ou les serveurs de production. Séparer les comptes d'administration par niveau et n'accorder les privilèges qu'à la demande (just-in-time) réduit d'autant la surface d'extension.
Détection d'exfiltration et de chiffrement : surveillez les signaux
faibles. Un volume sortant anormal, une compression massive de fichiers ou des
connexions vers un cloud non autorisé trahissent l'exfiltration. Une modification
massive de fichiers, l'apparition d'extensions inhabituelles ou la suppression
des copies fantômes (vssadmin delete shadows) trahissent le ransomware en cours.
Plan de réponse à incident : préparez la réponse avant la crise, pas pendant. Un plan documenté et testé, une équipe identifiée avec des contacts hors bande (joignables même réseau coupé), une capacité d'investigation forensique et une communication de crise prête font gagner les heures qui déterminent l'ampleur des dégâts.
À retenir
Section intitulée « À retenir »-
Cette phase concrétise l'impact. Tout ce qui précède, intrusion, persistance, C2, n'était que préparation ; ici le risque devient dommage.
-
Quatre buts finaux dominent : exfiltration de données, chiffrement pour extorsion, sabotage destructeur et mouvement latéral vers les actifs critiques.
-
La double extorsion rend la sauvegarde insuffisante seule. L'attaquant vole les données avant de chiffrer, puis menace de les publier.
-
Le mouvement latéral précède souvent l'action finale. Détecter la progression, c'est encore pouvoir contenir l'attaque.
-
Les sauvegardes isolées et testées sont la dernière ligne de défense. Non testées, elles ne valent rien le jour de la restauration.
-
Préparez la réponse à incident maintenant. Plan documenté, contacts hors bande et forensique prêts changent l'ampleur des dégâts.
-
Cette phase s'ancre dans le modèle de menaces du socle. Le domaine Runtime et exploitation couvre la détection de l'exfiltration et du sabotage en production, et le domaine Cloud traite du rançongiciel visant les environnements cloud.