1 Introduction
Dans le monde physique, il existe différents types de criminels : le pickpocket, le cambrioleur organisé, l'espion industriel, l'activiste qui tague des murs. Chacun a ses motivations, ses méthodes et ses cibles. Le monde de la cybersécurité fonctionne exactement de la même façon : les attaquants se regroupent en grandes familles de menaces, chacune avec son profil distinct.
Comprendre ces familles permet de mieux anticiper les attaques. Un hôpital ne fait pas face aux mêmes menaces qu'un ministère de la défense ou qu'une boutique en ligne. En identifiant les acteurs qui vous ciblent, vous pouvez adapter vos défenses de manière efficace.
Les cinq grandes familles
États-nations
Cybercriminels
Hacktivistes
Insiders
Script kiddies
2 Comment ça marche
Chaque famille de menaces se distingue par sa motivation, ses ressources et ses méthodes. Voici un panorama détaillé :
Groupes APT (Advanced Persistent Threat) / Etats-nations
Ce sont les "services secrets" du cyberespace. Financés par des gouvernements, ces groupes disposent de moyens considérables, de patience et de compétences techniques de haut niveau. Leur objectif principal est l'espionnage politique, militaire ou industriel. Certains pratiquent aussi le sabotage d'infrastructures.
| Groupe | Attribution | Cibles principales |
|---|---|---|
| APT28 (Fancy Bear) | Russie (GRU) | Gouvernements, élections, OTAN, médias |
| APT29 (Cozy Bear) | Russie (SVR) | Diplomatie, recherche COVID, supply chain |
| Lazarus Group | Corée du Nord | Banques, cryptomonnaies, secteur de la défense |
| APT41 (Winnti) | Chine | Technologie, jeux vidéo, télécoms, santé |
Cybercriminels (eCrime)
Leur motivation est simple : l'argent. Ces groupes fonctionnent comme de vraies entreprises criminelles, avec une hiérarchie, des "employés", un service client (pour les victimes de ransomware qui doivent payer) et même des programmes d'affiliation. Le ransomware est devenu leur outil favori.
LockBit
Le gang de ransomware le plus actif ces dernières années. Modèle d'affiliation : ils fournissent le malware, les affiliés mènent les attaques et partagent les gains.
ALPHV/BlackCat
Ransomware sophistiqué écrit en Rust. Connu pour la triple extorsion : chiffrement des données, vol et menace de publication, attaque DDoS si la victime ne paie pas.
Hacktivistes
Les hacktivistes utilisent le piratage pour porter un message politique ou social. Comme des manifestants numériques, ils ciblent les organisations qu'ils jugent contraires à leurs valeurs. Leurs actions les plus courantes sont les attaques DDoS (saturer un site pour le rendre inaccessible), le défacement (modifier la page d'accueil d'un site) et les fuites de données. Des groupes comme Anonymous ou, plus récemment, des collectifs pro-russes comme KillNet illustrent cette catégorie.
Menaces internes (Insiders)
La menace la plus insidieuse vient parfois de l'intérieur. Un employé mécontent, un sous-traitant négligent ou un administrateur corrompu possède déjà les accès au système. Pas besoin de forcer la porte quand on a la clé. Les menaces internes se divisent en deux catégories : les malveillantes (vol de données intentionnel, sabotage par vengeance) et les accidentelles (clic sur un lien de phishing, partage involontaire de fichiers sensibles, mauvaise configuration).
3 Analyse détaillée
Comparatif des familles de menaces
| Famille | Motivation | Ressources | Persistance | Sophistication |
|---|---|---|---|---|
| Etats-nations | Espionnage, sabotage | Tres elevees | Mois/Annees | Tres haute |
| Cybercriminels | Argent | Elevees | Semaines | Haute |
| Hacktivistes | Idéologie | Variables | Jours | Moyenne |
| Insiders | Vengeance, argent | Acces interne | Variable | Variable |
| Script kiddies | Notoriété, amusement | Faibles | Heures | Faible |
L'écosystème du cybercrime moderne
Le cybercrime s'est industrialisé. Aujourd'hui, il fonctionne comme un marché avec des services spécialisés. On parle de Crime-as-a-Service (CaaS) :
Initial Access Brokers (IAB)
Ils vendent des accès déjà compromis à des entreprises. Un IAB pirate une entreprise et revend l'accès au plus offrant sur le dark web.
Ransomware-as-a-Service (RaaS)
Les développeurs créent le ransomware, les affiliés le déploient. Les profits sont partagés, comme une franchise criminelle.
Bulletproof Hosting
Des hébergeurs qui ignorent délibérément les plaintes et protègent les infrastructures d'attaque contre les démantèlements.
Money Mules
Des intermédiaires (souvent recrutés sans le savoir) qui blanchissent les rançons en les transférant entre comptes bancaires et cryptomonnaies.
Etudes de cas marquantes
SolarWinds (2020) -- APT29 / Russie
Attaque par la supply chain : les attaquants ont compromis une mise à jour du logiciel SolarWinds Orion, utilisé par des milliers d'entreprises et d'agences gouvernementales. La mise à jour piégée a été installée par les victimes elles-mêmes, donnant un accès silencieux pendant des mois.
WannaCry (2017) -- Lazarus / Corée du Nord
Ransomware qui a paralysé des hôpitaux, des usines et des entreprises dans 150 pays en un week-end. Il exploitait une vulnérabilité Windows (EternalBlue) divulguée par un groupe de hackers. Les hôpitaux britanniques du NHS ont été particulièrement touchés, annulant des milliers d'opérations.
Colonial Pipeline (2021) -- DarkSide / Cybercriminel
Le plus grand pipeline de carburant des Etats-Unis arrêté pendant 6 jours par un ransomware. Pénurie d'essence dans tout le sud-est américain. L'entreprise a payé 4,4 millions de dollars de rançon. L'attaque est partie d'un simple mot de passe compromis sur un VPN.
Essayez sur mlab.sh
Explorez la matrice MITRE ATT&CK sur mlab.sh pour visualiser les tactiques et techniques utilisees par les differentes familles de menaces. Comprenez comment les attaquants operent.
Explorer MITRE ATT&CK sur mlab.sh4 Red Flags
Voici les signaux d'alerte qui indiquent que vous êtes peut-être ciblé par l'une de ces familles :
Connexions depuis des pays inhabituels
Des connexions VPN ou des tentatives d'authentification depuis des pays avec lesquels vous n'avez aucune relation commerciale peuvent indiquer un groupe APT ou des cybercriminels.
Emails de spear-phishing ciblés
Des emails très personnalisés mentionnant des projets internes, des noms de collègues ou des détails non publics sont typiques des groupes APT qui font de la reconnaissance avant d'attaquer.
Chiffrement de fichiers soudain
Des fichiers qui deviennent illisibles avec des extensions étranges (.locked, .encrypted, .crypt) signalent une attaque par ransomware en cours. Agissez immédiatement en isolant la machine.
Accès en dehors des heures de bureau
Des connexions administratives à 3h du matin ou le dimanche, surtout sur des systèmes critiques, peuvent révéler un insider malveillant ou un attaquant qui exploite des identifiants volés.
Votre site web est modifié
Un défacement (modification de votre page d'accueil avec un message politique) est typique des hacktivistes. Souvent lié à un contexte géopolitique ou social.
Exfiltration de données volumineuse
Des transferts de données anormalement importants vers des destinations inconnues, surtout la nuit, peuvent indiquer un vol de données par un APT ou un insider sur le départ.
Modules connexes
Comment lire un rapport CTI
Décrypter un rapport de Cyber Threat Intelligence : structure, indicateurs et recommandations.
C'est quoi un feed de threat intel ?
Les flux de renseignement sur les menaces : comment ils fonctionnent et pourquoi ils sont essentiels.
C'est quoi un malware ?
Virus, ransomware, trojans : comprendre les différentes familles de logiciels malveillants.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/familles-menaces
Module : Les grandes familles de menaces — Threat Intelligence
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.