{"id":7790,"date":"2025-01-22T09:00:00","date_gmt":"2025-01-22T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-3701\/"},"modified":"2026-05-10T19:09:39","modified_gmt":"2026-05-10T19:09:39","slug":"etude-de-cas-une-pme-decouvre-une-apt-apres-9-mois-grace-a-un-scan-thor","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2025\/01\/22\/etude-de-cas-une-pme-decouvre-une-apt-apres-9-mois-grace-a-un-scan-thor\/","title":{"rendered":"\u00c9tude de cas : Une PME d\u00e9couvre une APT apr\u00e8s 9 mois  &#8211;  gr\u00e2ce \u00e0 un scan THOR"},"content":{"rendered":"<p><strong>Une entreprise de construction de machines a d\u00e9couvert lors d&rsquo;une \u00e9valuation de compromis de routine avec THOR que des attaquants \u00e9taient actifs dans le r\u00e9seau depuis 9 mois sans \u00eatre d\u00e9tect\u00e9s. Le cas montre : EDR seul ne suffit pas &#8212; des \u00e9valuations de compromis r\u00e9guli\u00e8res sont indispensables.<\/strong><\/p>\n<h2>L&rsquo;essentiel<\/h2>\n<p>Une entreprise de construction de machines a d\u00e9couvert lors d&rsquo;une \u00e9valuation de compromis de routine avec THOR de Nextron Systems que des attaquants \u00e9taient actifs dans le r\u00e9seau depuis 9 mois sans \u00eatre d\u00e9tect\u00e9s. Le groupe APT avait exfiltr\u00e9 des donn\u00e9es de conception et des informations de brevets. Le cas montre : EDR seul ne suffit pas &#8212; des \u00e9valuations de compromis r\u00e9guli\u00e8res sont indispensables.<\/p>\n<h2>Contexte<\/h2>\n<p>L&rsquo;entreprise est un sp\u00e9cialiste de la construction de machines avec 450 employ\u00e9s et des sites en Allemagne, en Chine et aux \u00c9tats-Unis. L&rsquo;infrastructure informatique \u00e9tait \u00e9quip\u00e9e d&rsquo;un produit EDR renomm\u00e9. Il n&rsquo;y avait pas d&rsquo;incidents de s\u00e9curit\u00e9 connus.<\/p>\n<p>Dans le cadre d&rsquo;une mesure de pr\u00e9paration \u00e0 la NIS2, l&rsquo;entreprise a mandat\u00e9 un prestataire pour une \u00e9valuation de compromis. THOR Full a \u00e9t\u00e9 utilis\u00e9 en combinaison avec Velociraptor pour le contr\u00f4le centralis\u00e9.<\/p>\n<h2>Ce que THOR a trouv\u00e9<\/h2>\n<p>Le scan de 320 points de terminaison et 40 serveurs a fourni plusieurs r\u00e9sultats critiques en 48 heures :<\/p>\n<ul>\n<li><strong>Fichiers syst\u00e8me Windows modifi\u00e9s<\/strong> sur trois postes de travail d&rsquo;ing\u00e9nierie (correspondance YARA avec un ensemble d&rsquo;outils APT connu)<\/li>\n<li><strong>T\u00e2ches planifi\u00e9es anormales<\/strong> pour la communication persistante de backdoor<\/li>\n<li><strong>Correspondances Sigma<\/strong> dans les journaux d&rsquo;\u00e9v\u00e9nements Windows : motifs de mouvement lat\u00e9ral suspects sur 9 mois<\/li>\n<li><strong>Webshell<\/strong> sur un serveur web interne utilis\u00e9 comme point de pivot<\/li>\n<\/ul>\n<h2>Pourquoi l&rsquo;EDR n&rsquo;a pas d\u00e9tect\u00e9 l&rsquo;attaque<\/h2>\n<p>Les attaquants ont utilis\u00e9 des techniques Living-off-the-Land (LOLBins) : outils Windows l\u00e9gitimes tels que PowerShell, certutil et wmic pour leurs activit\u00e9s. L&rsquo;EDR a class\u00e9 ces ex\u00e9cutions comme normales, car elles se produisaient fr\u00e9quemment dans le contexte des logiciels d&rsquo;ing\u00e9nierie.<\/p>\n<p>THOR, en revanche, ne cherchait pas des ex\u00e9cutions suspectes, mais les artefacts laiss\u00e9s par les attaquants : fichiers modifi\u00e9s, entr\u00e9es de registre suspectes et traces de journalisation.<\/p>\n<h2>Ampleur de la compromission<\/h2>\n<p>L&rsquo;analyse forensique a r\u00e9v\u00e9l\u00e9 :<\/p>\n<ul>\n<li>Acc\u00e8s initial via un e-mail de phishing cibl\u00e9 \u00e0 un ing\u00e9nieur<\/li>\n<li>Mouvement lat\u00e9ral sur 5 syst\u00e8mes en 9 mois<\/li>\n<li>Exfiltration d&rsquo;environ 12 Go de donn\u00e9es de conception et de 3 demandes de brevet<\/li>\n<li>Aucun dommage destructeur (espionnage, pas de sabotage)<\/li>\n<\/ul>\n<h2>Le\u00e7ons apprises<\/h2>\n<ul>\n<li>EDR ne d\u00e9tecte pas tout &#8212; les APT bas\u00e9es sur LOLBin sont souvent ignor\u00e9es<\/li>\n<li>Des \u00e9valuations de compromis r\u00e9guli\u00e8res (au moins semestrielles) trouvent ce que l&rsquo;EDR ignore<\/li>\n<li>THOR + Velociraptor est une combinaison rentable pour les scans d&rsquo;entreprise<\/li>\n<li>Les postes de travail d&rsquo;ing\u00e9nierie sont des cibles de haute valeur et n\u00e9cessitent une surveillance particuli\u00e8re<\/li>\n<\/ul>\n<h2>Key Facts<\/h2>\n<p><strong>Secteur :<\/strong> Construction de machines<\/p>\n<p><strong>Dur\u00e9e de pr\u00e9sence des attaquants :<\/strong> 9 mois (Dwell Time)<\/p>\n<p><strong>D\u00e9tection par :<\/strong> \u00c9valuation de compromis THOR<\/p>\n<p><strong>Donn\u00e9es exfiltr\u00e9es :<\/strong> 12 Go de donn\u00e9es de conception, 3 demandes de brevet<\/p>\n<p><strong>EDR \u00e9tait install\u00e9, mais n&rsquo;a pas d\u00e9tect\u00e9 l&rsquo;APT<\/strong><\/p>\n<p><strong>Fait :<\/strong> Mandiant \u00e9value la dur\u00e9e moyenne de pr\u00e9sence (Dwell Time) lors des attaques APT en 2024 \u00e0 10 jours &#8212; mais souvent plus de 200 jours pour les compromissions non d\u00e9tect\u00e9es.<\/p>\n<p><strong>Fait :<\/strong> Selon CrowdStrike, le nombre de groupes d&rsquo;attaquants soutenus par des \u00c9tats s&rsquo;est plus que doubl\u00e9 depuis 2020 &#8212; \u00e0 plus de 230 groupes actifs dans le monde.<\/p>\n<h2>Questions fr\u00e9quentes<\/h2>\n<h3>Pourquoi l&rsquo;EDR n&rsquo;a-t-il pas d\u00e9tect\u00e9 l&rsquo;APT ?<\/h3>\n<p>Les attaquants ont utilis\u00e9 des techniques Living-off-the-Land &#8212; c&rsquo;est-\u00e0-dire des outils Windows l\u00e9gitimes comme PowerShell et certutil. Les syst\u00e8mes EDR ne reconnaissent souvent pas ces outils comme suspects lorsqu&rsquo;ils apparaissent dans le contexte des processus commerciaux normaux.<\/p>\n<h3>\u00c0 quelle fr\u00e9quence faut-il effectuer des \u00e9valuations de compromis ?<\/h3>\n<p>Au moins semestriellement pour les entreprises \u00e0 haut risque. De plus, apr\u00e8s chaque incident suspect, lors des fusions et acquisitions (due diligence) et en compl\u00e9ment des tests de p\u00e9n\u00e9tration r\u00e9guliers.<\/p>\n<h3>Pourquoi les attaques APT restent-elles si longtemps non d\u00e9tect\u00e9es ?<\/h3>\n<p>Les groupes APT utilisent des techniques dites Living-off-the-Land, o\u00f9 ils utilisent des outils syst\u00e8me l\u00e9gitimes comme PowerShell ou WMI pour se d\u00e9placer dans le r\u00e9seau. Comme ces outils font partie du fonctionnement normal, ils d\u00e9clenchent rarement des alarmes. Seuls des outils sp\u00e9cialis\u00e9s d&rsquo;\u00e9valuation de compromis comme THOR d\u00e9tectent les traces subtiles de telles attaques.<\/p>\n<h2>Articles compl\u00e9mentaires<\/h2>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2024\/01\/15\/post_id-3683\/\">NIS2-Richtlinie: Was Unternehmen wissen m\u00fcssen<\/a><\/p>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/05\/post_id-3551\/\">Cyber-Versicherung 2026<\/a><\/p>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2024\/03\/05\/post_id-3671\/\">Zero Trust: Die 7 h\u00e4ufigsten Fehler<\/a><\/p>\n<h2>Articles connexes<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/05\/post_id-3821\/\">secIT by Heise 2026: La roadshow s\u00e9curit\u00e9 pour les administrateurs et les responsables informatiques<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/05\/post_id-3819\/\">DsiN-Jahreskongress 2026: La s\u00e9curit\u00e9 num\u00e9rique dans la soci\u00e9t\u00e9 interconnect\u00e9e<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/03\/05\/post_id-3817\/\">Cybersec Europe 2026: La conf\u00e9rence de s\u00e9curit\u00e9 de Bruxelles au c\u0153ur de la r\u00e9glementation de l&rsquo;UE<\/a><\/li>\n<\/ul>\n<h3>Plus du r\u00e9seau MBF Media<\/h3>\n<ul>\n<li><a href=\"https:\/\/mybusinessfuture.com\/ki-made-in-germany-935-startups-oekosystem\/\" target=\"_blank\" rel=\"noopener\">Plus de tendances en s\u00e9curit\u00e9 informatique sur mybusinessfuture.com<\/a><\/li>\n<li><a href=\"https:\/\/www.digital-chiefs.de\/149-000-offene-it-stellen-wie-cios-ki-copiloten-als-fachkraeftersatz-nutzen\/\" target=\"_blank\" rel=\"noopener\">Strat\u00e9gies informatiques pour les d\u00e9cideurs sur digital-chiefs.de<\/a><\/li>\n<\/ul>\n<p style=\"text-align: right; font-size: 0.85em; color: #888; margin-top: 2em;\"><em>Source de l&rsquo;image : Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Une entreprise de construction de machines a d\u00e9couvert lors d&rsquo;une \u00e9valuation de compromis de routine avec THOR que des attaquants \u00e9taient actifs dans le r\u00e9seau depuis 9 mois sans \u00eatre d\u00e9tect\u00e9s. Le cas montre : EDR seul ne suffit pas &#8212; des \u00e9valuations de compromis r\u00e9guli\u00e8res sont indispensables. L&rsquo;essentiel Une entreprise de construction de machines [&hellip;]","protected":false},"author":55,"featured_media":3700,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"apt","_yoast_wpseo_title":"\u00c9tude de cas : Une PME d\u00e9couvre une APT apr\u00e8s 9 mois - gr\u00e2ce \u00e0 un scan THOR","_yoast_wpseo_metadesc":"APT d\u00e9tect\u00e9e apr\u00e8s 9 mois : une PME stoppe une menace persistante avec un scan THOR \u2013 D\u00e9couvrez comment agir avant qu\u2019il ne soit trop tard.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_wp_old_slug":["post_id-3701"],"footnotes":""},"categories":[219],"tags":[],"class_list":["post-7790","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-case-studies"],"wpml_language":"fr","wpml_translation_of":3701,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7790","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=7790"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7790\/revisions"}],"predecessor-version":[{"id":10246,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7790\/revisions\/10246"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/3700"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=7790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=7790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=7790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}