Lundi de la cybersécurité : APT (Advanced Persistent Threat) Les menaces persistantes avancées

16 avril 2025
CMS header image

Une menace terrible pèse sur vos données : Les APT

Contrairement aux idées reçues, les attaques APT (Advanced Persistent Threats) ne ciblent pas uniquement les grandes entreprises. Elles peuvent frapper aussi bien les TPE/PME que les multinationales. Ces menaces avancées, persistantes et furtives sont conçues pour infiltrer en profondeur un système d’information, souvent à des fins d’espionnage ou de vol de données sensibles.

Une attaque APT commence généralement par une phase de reconnaissance approfondie (souvent via les réseaux sociaux), suivie d’une attaque ciblée, comme l’envoi d’un e-mail piégé semblant provenir d’un contact de confiance. Une fois infiltré, le vecteur d’attaque établit une connexion avec le serveur de l’attaquant, escalade les privilèges, se propage en interne, et exfiltre les données, parfois pendant des mois… en toute discrétion.

Sans dispositifs de détection avancés (SIEM, DLP, IA, etc.), ces attaques peuvent passer totalement inaperçues. Et lorsqu’elles sont terminées, l’attaquant efface toutes les traces.

Lors de notre prochain Lundi de la Cybersécurité, nous vous proposerons une plongée dans les différentes phases d’une attaque APT et les bonnes pratiques pour en limiter les risques. Car si le risque zéro n’existe pas, s’en prémunir reste possible.

Découvrez les lundi de la cybersécurité décembre 2024

Qui est Gérard PELIKS ?

Gérard Peliks a travaillé plus de 40 ans dans l’industrie ( Thomson, Digital Equipment, AIRBUS Cybersecurity) dont plus de 20 ans dans la sécurité du numérique.

Aujourd’hui retraité, il est impliqué dans des associations comme l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) pour laquelle il est dans le Conseil d’Administration. Il est chargé de cours sur la cybercriminalité/cybersécurité/cryptologie dans des mastères et MBA d’écoles d’ingénieurs et d’universités.

Il anime les « Lundi de la cybersécurité » sur une base mensuelle.

Découvrez le MBA Management de la Cybersécurité

Demande d'inscription pour le Lundi de la cybersécurité du mois de mai 2025

Lundi 19 mai, à partir de 18 h 00, par visio-conférence Zoom.

Nos Lundi de la Cybersécurité sont gratuits et traitent de sujets d’actualité en cybersécurité. Pour vous inscrire, envoyez un email à beatricelaurent.CDE@gmail.com. Quelques jours avant l’événement, vous recevrez le lien vers la visioconférence.

Les informations des inscrits seront partagées avec les organisateurs et les intervenants.

La salle d’attente Zoom ouvrira à 17 h 00.

Demandez votre inscription

Téléchargez la brochure du MBA Management de la Cybersécurité

Quelques minutes avec Claire ALBERIO

Suivant la tradition de nos « Lundi de la cybersécurité », entre l’exposé de l’intervenant et la séance questions/réponses, autour de 19 h 15, nous donnons pour une quinzaine de minutes la parole à une organisation ou à une personne qui opère dans l’écosystème du numérique et dans la sécurité de l’information.

Cette séquence du Lundi d’avril sera animée par Claire ALBERIO . Avec 30 ans d’expérience dans les réseaux et la cybersécurité, Claire Alberioa évolué du consulting à l’architecture et la stratégie, jusqu’à ladirection de la cybersécurité chez Orange. Elle vient d’entrer au Conseil d’Administration de la prestigieuse ARCSI. En parallèle, elle poursuit un doctorat àl’Université Paris-Saclay, explorant la gestion des risques perçus ou ignorés.

Toujours animée par la diversité des défis, elle conjugue expertise technique, stratégie et transmission avec passion.Pour le prochain lundi cyber, elle nous parlera desréserves citoyennes et opérationnelles de la Gendarmerie nationale. Aujourd’huilieutenant-colonel de la réserve Spécialiste du Comcyber-MI, elle accompagne les collectivités nationales sur la gouvernance et la prévention des risques numériques, tout en coachant gendarmes et ingénieurs.

Le coin des « Lundi de la cybersécurité » précédents.

Le coin-coin de l’IA Générative

Comment le DLP protège-t-il nos données ?

Allons-nous obtenir une « hallucination » ou une réponse qui décrit une situation bien réelle ?
Prompt que j’ai posé à Gemini (l’IA Générative de Google) :
Quels sont les groupes APT connus ?  Voici une partie de la réponse de cette IA générative :
Voici une liste de quelques groupes APT (Advanced Persistent Threat) connus, classés par affiliation supposée ou zone d’activité :
Chine :

  • APT1 (Comment Crew, PLA Unit 61398) : Un des groupes les plus anciens et notoires, connu pour des attaques d’espionnage économique à grande échelle.
  • APT3 (Gothic Panda, Buckeye) : Ciblant les secteurs de l’aérospatiale, des communications et de la technologie.
  • APT10 (MenuPass, Stone Panda) : Visez les secteurs de la technologie, de l’automobile et de la pharmacie.
  • APT17 (Deputy Dog, Elderwood) : Impliqué dans de nombreuses campagnes d’espionnage.
  • APT19 (Deep Panda, C0d0so0) : Connu pour cibler les entreprises et les cabinets d’avocats.
  • APT27 (Emissary Panda) : Vise divers secteurs, y compris le gouvernement et la défense.
  • APT31 (Judgment Panda, Zirconium) : Ciblant les secteurs de l’aérospatiale, des télécommunications et le gouvernement.
  • APT41 (Winnti) : Mêle espionnage et activités de cybercriminalité financière.
  • Volt Typhoon : Se concentre sur les infrastructures critiques aux États-Unis et en Asie-Pacifique.
  • Flax Typhoon : Ciblant des organisations aux États-Unis.
  • Salt Typhoon (GhostEmperor, FamousSparrow) : Ciblant les réseaux de communication critiques.
Russie :
  • APT28 (Fancy Bear, Sofacy) : Lié au renseignement militaire russe (GRU), connu pour cibler des gouvernements, des organisations militaires et politiques.
  • APT29 (Cozy Bear, The Dukes) : Associé au service de renseignement étranger russe (SVR), ciblant des gouvernements et des organisations diplomatiques.
  • Sandworm (Voodoo Bear) : Lié au GRU, connu pour des attaques destructrices contre des infrastructures critiques.
  • Turla (Snake, Venomous Bear) : Groupe sophistiqué ciblant des entités gouvernementales et diplomatiques.
  • Gamaredon (Ours Primitif) : Ciblant principalement l’Ukraine.
L’Iran :
  • APT33 (Elfin, Refined Kitten) : Vise les secteurs de l’aérospatiale et de l’énergie.
  • APT35 (Charming Kitten, Phosphorus) : Ciblant la recherche médicale, les infrastructures et les élections.
  • APT39 (Chafer, Remix Kitten) : Ciblant les télécommunications et d’autres secteurs au Moyen-Orient.
Corée du Nord :
  • Lazarus Group (APT38) : Connu pour des vols financiers, des cyberattaques destructrices et des opérations d’espionnage.
  • Kimsuky : Se concentre sur la collecte de renseignements en Corée du Sud et dans la région.
  • APT43 : Mène des activités d’espionnage et de cybercriminalité pour soutenir les intérêts nord-coréens.
Autres groupes notables :
  • Equation Group : Un groupe très sophistiqué, dont certains liens permettent une affiliation avec les États-Unis.
  • APT40 (TEMP.Periscope) : Un groupe chinois ciblant divers secteurs, notamment l’ingénierie et la marine.
  • Blind Eagle (APT-C-36) : Un groupe d’espionnage ciblant principalement la Colombie.
  • Bahamut : Un groupe de mercenaires cybernétiques.
Il est important de noter que l’attribution des attaques à des groupes spécifiques peut être complexe et sujette à des incertitudes. Les noms et les affiliations des groupes APT peuvent également évoluer avec le temps. De plus, de nouveaux groupes sont découverts régulièrement.
Cette liste n’est pas exhaustive, mais elle donne un aperçu des groupes APT les plus connus et de leurs activités. N’hésitez pas si vous avez d’autres questions.