/
  • Last updated
/
  • 10 min de lecture

5 outils pour briser les chaînes de cyberattaques

par Jonathan Crowe, Director of Community & Advocacy   |  
traduit par Hedi Zayani
Image d’en-tête des chaînes d’attaque

Instant Summary

Summarize Blog

This NinjaOne blog post offers a comprehensive basic CMD commands list and deep dive into Windows commands with over 70 essential cmd commands for both beginners and advanced users. It explains practical command prompt commands for file management, directory navigation, network troubleshooting, disk operations, and automation with real examples to improve productivity. Whether you’re learning foundational cmd commands or mastering advanced Windows CLI tools, this guide helps you use the Command Prompt more effectively.

Free Trial

Points clés

Briser les chaînes de cyberattaques avec 5 outils Windows intégrés

  • Les outils Windows peuvent être utilisés contre les chaînes de cyberattaques: Cette approche s’appuie sur cinq outils natifs de Windows : Passerelle RDP (RDP Gateway), règles ASR (réduction de la surface d’attaque), pare-feu Windows, PowerShell et Autoruns pour se défendre contre les différentes étapes de la chaîne de cyberattaque.
  • Comment les outils intégrés perturbent la chaîne des cyberattaques : Chaque outil correspond directement à une ou plusieurs étapes de la chaîne des cyberattaques : RDP Gateway et ASR empêchent l’accès initial ; le pare-feu Windows bloque les mouvements latéraux ; PowerShell permet une détection précoce ; et Autoruns s’occupe de la persistance.
  • Qui bénéficie le plus de l’utilisation des outils Windows intégrés : Pour les petites équipes ou les environnements dispersés, ces fonctionnalités intégrées offrent une protection de niveau professionnel avec un investissement minimal en ressources.
  • Protection renforcée pour les MSP et les équipes informatiques des entreprises : Les MSP, les équipes informatiques et les entreprises soucieuses de la sécurité peuvent utiliser ces outils avec une plus grande efficacité en envisageant l’automatisation ou en les gérant de manière centralisée par le biais de plateformes telles que NinjaOne.

Les cyberattaques ne cessent d’évoluer, de sorte que les défenses informatiques et les fournisseurs de services s’efforcent toujours d’intercepter et d’éliminer les menaces. Le rapport « The State of Ransomware 2025 » de Sophos révèle que 59 % des entreprises qui ont participé à l’enquête ont été touchées cette année, le coût moyen de récupération atteignant la somme stupéfiante de 2,73 millions de dollars, sans compter les temps d’arrêt et les autres pertes de production.

À grande échelle, la sécurité des terminaux est sans doute en première ligne pour lutter contre ces attaques, en particulier lorsque les coupables recherchent des vulnérabilités dans des outils quotidiens tels que PowerShell, Windows Explorer et des tâches automatisées pour perturber les cibles. Il n’est donc pas étonnant que le CRN’s 2025 Security 100 mette l’accent sur la protection et la détection des terminaux en tant que capacités essentielles pour le classement des fournisseurs de cybersécurité et de gestion informatique.

Mais qu’est-ce qui fait qu’un système de sécurité des terminaux est fiable pour les entreprises ? Pour commencer, les entreprises peuvent utiliser divers outils pour se protéger d’une chaîne d’attaque cybernétique ou kill chain cybernétique, un concept adapté expliquant comment les attaquants peuvent s’infiltrer, exploiter et persister dans un environnement cible. Ce cadre propose différents moyens de rompre la « chaîne » à certains stades, ce qui pourrait arrêter complètement l’attaque ou atténuer les dommages.

Cela dit, la gestion de plusieurs outils sans plateforme de gestion informatique unifiée dédiée ou nécessitera des efforts et des ressources considérables. Mais si vous êtes désireux de créer les bases, voici cinq solutions Windows intégrées qui peuvent être utilisées pour briser les chaînes de cyberattaques modernes.

Avec NinjaOne, prenez le contrôle du déploiement des scripts et de l’automatisation des règles afin de réduire votre surface d’attaque.

📖 Maîtriser l’automatisation des scripts avec NinjaOne

Qu’est-ce qu’une chaîne de cyberattaques ?

Développée par Lockheed et Martin, la « cyber kill chain » (chaîne de la mort cybernétique) est un cadre systématique qui décrit les étapes suivies par les cybercriminels lorsqu’ils mènent des cyberattaques contre des entreprises. La compréhension du cadre de la cyber kill chain aide les entreprises à mettre en place des mesures de sécurité solides à chaque étape d’une attaque.

5 outils Windows intégrés pour stopper les chaînes de cyberattaques

Voici un aperçu de la manière dont RDP Gateway, les règles ASR, le pare-feu WindowsPowerShell, et Autoruns peuvent être utilisés pour lutter contre les différentes étapes d’une cyberattaque (accès initial, vol de données d’identification, mouvement latéral, persistance et exécution de charges utiles) :

Outil Windows recommandé

Attaque(s) courante(s) atténuée(s)
RDP Gateway Accès initial – Empêche les attaques RDP par force brute et expose RDP de manière sécurisée plutôt que directement à l’internet.
Règles de réduction de la surface d’attaque (ASR)  Accès initial – Bloque les paramètres vulnérables d’Office/Adobe/email.

• Vol de données d’identification – Bloque le dumping de lsass.exe.

• Mouvementlatéral – Atténue les abus de WMI/PsExec.

• Persistance – Surveille les abonnements aux événements WMI.

• Exécution de charges utiles – Arrête les scripts malveillants et les ransomwares.
Windows Firewall • Transmission/Accès initial – Restreint les connexions entrantes (par exemple, le port 3389 pour RDP).

• Mouvement latéral – Bloque le trafic réseau interne non sollicité.
PowerShell Détection/audit – Enregistre et surveille les signes de force brute, les accès à distance suspects et les scripts.
Exécutions automatiques • Persistence – Identifie et désactive les entrées de démarrage automatique malveillantes (registre, services, tâches planifiées), et arrête les mécanismes de persistance.

Ces utilitaires Windows intégrés peuvent constituer votre première défense contre diverses menaces numériques. Leur configuration devrait poser moins de problèmes, puisqu’ils sont déjà disponibles dans la plupart des environnements.

1. RD gateway : Assurer la sécurité du réseau RDP

Étant donné que RDP est l’un des outils les plus utilisés pour gérer les terminaux distants, en particulier dans les réseaux informatiques dispersés, il est assez courant que des parties malveillantes tentent d’exploiter ses lacunes.

Heureusement, il existe un moyen simple de gérer ces risques en configurant une passerelle RD. L’implémentation de cette stratégie permet de protéger vos systèmes internes derrière un tunnel sécurisé. Il peut ensuite être associé à des protections modernes telles que l’authentification forte ou multifacteur (MFA), l’authentification au niveau du réseau et les politiques d’accès conditionnel, afin de dévier la chaîne d’attaque avant qu’elle ne commence.

Pour vérifier régulièrement votre configuration, vous pouvez utiliser des outils tiers ou des fonctionnalités RMM comme l’outil de surveillance contre les scans de ports de NinjaOne pour vérifier l’intégrité des connexions réseau et des protocoles de sécurité.

2. Règles ASR : Bloquer les exploits et minimiser l’exposition

Il existe de nombreuses façons d’utiliser les règles de réduction de la surface d’attaque (ASR – Attack Surface Reduction) de Microsoft.

Comme le montre la liste, les règles ASR offrent une couverture étendue et traitent de nombreuses tactiques typiques à plusieurs stades de la chaîne d’attaque.

Microsoft reconnaît également avoir créé des règles ASR pour renforcer les vulnérabilités les plus couramment attaquées. En retour, cela offre une protection accessible aux entreprises qui s’appuient sur des fonctions et des programmes puissants, mais aussi très mal utilisés, tels que les macros Office, WMI, PsExec, et bien d’autres encore.

Les exigences relatives aux règles ASR sont :

  • Windows 10, versions 1709 et ultérieures
  • Microsoft Defender doit être actif (et non en mode passif)
  • Certaines règles exigent que la protection fournie par le cloud soit activée

Le problème avec les règles ASR, c’est que Microsoft a limité les fonctionnalités ASR complètes aux licences pour grande entreprise. En particulier, vous aurez besoin de la licence Office 365 E5 si vous souhaitez bénéficier de l’ensemble des fonctionnalités d’intégration de Defender for Endpoint, ainsi que d’une surveillance, d’alertes et de rapports améliorés.

Cela dit, l’éditeur de logiciels a indiqué qu’il était possible d’utiliser des règles ASR avec une licence Microsoft 365 Business ; cette fonctionnalité n’est toutefois pas officiellement prise en charge. Donc, quand on veut, on peut.

Une autre préoccupation commune concernant les règles ASR est le risque de faux positifs et d’alertes superflues. L’équipe de sécurité interne de Palantir a rédigé un article très complet détaillant ses expériences avec chacune des 15 règles ASR disponibles. Cet article contient des recommandations sur les règles qui peuvent être configurées en toute sécurité en mode Blocage et sur celles qu’il est préférable de laisser en mode audit ou de désactiver complètement, en fonction de votre environnement.

3. Pare-feu Windows: Contenir les menaces et le trafic réseau

Le pare-feu Windows est un outil sous-utilisé pour faire face aux chaînes de cyberattaques qui peut constituer un excellent complément aux couches de défense en profondeur de toute entreprise.

Voici quelques exemples d’activations de pare-feu dans des environnements gérés :

  • Créez des règles de sortie pour bloquer les protocoles hérités et vulnérables au niveau des terminaux.
  • Bloquez les protocoles d’administration entrants inutiles (par exemple, WinRM, RDP) entre les niveaux de postes de travail, sauf pour les hôtes de rebond (jump host) approuvés.
  • Utilisez des règles renforcées par des GPO pour restreindre l’accès à SMB, RDP et WinRM, empêchant ainsi l’attaquant d’utiliser des informations d’identification volées ou des outils tels que PsExec pour se déplacer latéralement.

De plus, l’une de ses capacités les plus précieuses consiste à isoler les systèmes compromis en bloquant le trafic des attaquants via SMB, un protocole fréquemment utilisé de manière abusive pour les mouvements latéraux et le contournement de l’authentification multifacteur (MFA). Il s’agit également d’un outil puissant de surveillance et de contrôle du trafic réseau, à la fois pour les appareils personnels et à grande échelle avec une configuration adéquate du pare-feu Windows.

4. PowerShell : Déploiement et surveillance de l’informatique à grande échelle

Les cas d’utilisation présentés pour les trois outils de chaîne d’attaque informatique précédents ont exploité les capacités de prévention de chaque outil, allant du refus et de la restriction de l’accès initial au blocage des activités malveillantes.

Avec PowerShell et le prochain outil, l’accent est mis sur la détection et la réponse. Par exemple, PowerShell peut exécuter des commandes pour détecter les tentatives de connexion échouées (ID d’événement 4625), qui signalent généralement des attaques par force brute.

Il peut également détecter les comportements suspects ou les accès à distance non autorisés via des outils tels qu’AnyDesk ou TeamViewer. De même, son intégration profonde dans le système d’exploitation peut être utilisée pour identifier les entrées d’exécution automatique et les tâches programmées suspectes.

Avec un RMM, vous pouvez également automatiser les rapports et les actions de remédiation sur les appareils gérés.

5. Autoruns : Identifier les démarrages automatiques malveillants et frauduleux

L’un des moyens les plus couramment utilisés par les pirates pour assurer la persistance de leurs activités consiste à implanter des scripts malveillants dans le registre Windows, souvent de manière à ce qu’ils s’exécutent au redémarrage ou lorsqu’un raccourci ou un fichier batch est lancé.

Microsoft Autoruns est l’outil de référence pour vous montrer quels programmes sont configurés pour s’exécuter au démarrage ou à l’ouverture de session. Pour l’implémenter, voici un guide sur la façon de désactiver Autoruns ou de l’utiliser pour inspecter et identifier les programmes suspects.

Protégez votre entreprise contre les chaînes de cyberattaques en gardant vos logiciels à jour.

Découvrez toutes les fonctionnalités de NinjaOne Patch Management

Ajouter des couches à la sécurité et promouvoir une réponse proactive

Ces cinq outils n’élimineront pas le risque de ransomware. Néanmoins, ils contribueront sans aucun doute à combler les lacunes de vos défenses et à rendre les choses plus difficiles pour les attaquants en supprimant les vulnérabilités évidentes.

Vous savez ce qu’on dit : La question n’est pas de savoir si vous allez faire face à une attaque, mais quand. À cet égard, ces outils et d’autres stratégies modernes de cybersécurité peuvent être combinés pour mettre en place une approche unifiée et durable contre les chaînes de cyberattaques et les ransomwares.

Pour un plan d’action plus solide et plus accessible, vous pouvez utiliser NinjaOne Patch Management pour renforcer la sécurité, automatiser les tâches informatiques de routine et réserver davantage de ressources aux alertes exploitables.

Essai Gratuit
Guide de durcissement des terminaux

FAQs

  1. Reconnaissance

Il s’agit de la première phase de la kill chain cybernétique, parfois appelée phase d’observation. Les attaquants commencent par identifier une cible et par recueillir des informations. Cela peut impliquer des recherches sur les sites web publics de l’entreprise, les profils de médias sociaux et d’autres données accessibles au public afin d’identifier les vulnérabilités potentielles. Ils peuvent également se livrer à des activités telles que l’analyse de réseau et la collecte d’e-mails.

  1. Armement

Une fois que les attaquants disposent de toutes les informations sur une cible et ses vulnérabilités, ils entament la deuxième étape de la kill chain cybernétique. Les attaquants développent ou modifient généralement les outils de la kill chain cybernétique. Il peut s’agir d’un logiciel malveillant qui cible les vulnérabilités découvertes, qui exploite une vulnérabilité logicielle connue ou qui crée un e-mail de phishing avec une pièce jointe infectée.

  1. Livraison

L’étape suivante de la kill chain cybernétique consiste pour les attaquants à s’assurer que leurs logiciels malveillants atteignent leur cible. L’outil « cyber kill chain » peut être diffusé par le biais d’e-amils, de sites web malveillants, de clés USB et d’autres vecteurs. L’objectif est d’amener la cible à activer le logiciel malveillant, souvent par le biais de techniques d’ingénierie sociale.

  1. Exploitation

À cette étape de la kill chain cybernétique, le logiciel malveillant exploite une vulnérabilité dans l’environnement informatique ciblé pour exécuter son plan. Il peut s’agir d’exploiter des systèmes non corrigés ou des mots de passe faibles pour obtenir un accès initial à l’environnement de la cible.

  1. Installation

À ce stade, le logiciel malveillant s’installe sur le système ciblé et permet aux attaquants d’accéder au système infiltré.

  1. Commandement et contrôle

Connue sous le nom de phase C2, cette étape consiste pour le logiciel malveillant à établir un canal de commande et de contrôle. Ce canal permet à l’attaquant d’envoyer à distance des instructions au logiciel malveillant, ce qui lui permet d’atteindre ses objectifs initiaux

  1. Actions sur les objectifs

Dans la phase finale de la kill chain cybernétique, les attaquants atteignent leurs objectifs ultimes, qu’il s’agisse du vol de données sensibles, de la destruction ou du chiffrement pour obtenir une rançon à l’aide d’un ransomware. Les objectifs spécifiques varieront en fonction de l’intention de l’attaquant, qu’il s’agisse de voler la propriété intellectuelle, de perturber les services ou de causer des dommages financiers.

Un schéma d’attaque est essentiel pour aider les experts en informatique et en cybersécurité à déterminer la priorité à accorder à la correction des vulnérabilités dans les environnements informatiques cloud-native. Un chemin d’attaque est une représentation visuelle du chemin utilisé par les attaquants pour exploiter les vulnérabilités et infiltrer les systèmes.

La chaîne d’attaque cybernétique est simplement un autre nom pour la chaîne de mort cybernétique. Lockheed et Martin ont développé ce cadre à partir d’un modèle militaire afin d’aider les entreprises à mieux comprendre comment les cyberattaques se produisent et comment les surmonter.

Le cadre MITRE ATT&CK aide les professionnels de l’informatique à comprendre les étapes d’une cyberattaque à un niveau élevé. Il ne suit pas un ordre spécifique et linéaire comme la chaîne d’une cyberattaque. Il se concentre plutôt sur une approche plus précise. Le projet MITRE ATT&CK étudie les techniques utilisées par les cybercriminels pour mener leurs attaques afin d’aider les professionnels de la cybersécurité à les détecter et à les atténuer.

Les enjeux ne cessant de croître, les MSPS doivent prendre du recul et réfléchir à leurs capacités, non seulement pour bloquer les exécutables malveillants, mais aussi pour repérer, bloquer et réagir aux signaux malveillants plus tôt dans la chaîne d’attaque.

You might also like

Les 5 meilleurs outils d'analyse des vulnérabilités en un coup d'œil

Meilleurs outils d’analyse des vulnérabilités : Top 5 en 2026

La fin de la gestion des vulnérabilités des terminaux basée sur les scans

La fin de la gestion des vulnérabilités des terminaux basée sur les scans

Best Data Protection Software

Meilleur logiciel de protection des données : Les 10 meilleures solutions en 2026

Malware Protection Solutions featured image

Meilleures solutions de protection contre les malwares : Top 10 en 2026

Sécurisez les données de l'entreprise avec le contrôle d'accès

Sécurisez les données de l’entreprise grâce au contrôle d’accès

Nous sommes désormais autorisés par GovRAMP

NinjaOne obtient l’autorisation GovRAMP Moderate pour fournir des technologies de l’information modernes aux agences locales et étatiques

Retour à la page d'accueil du blog
Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
Démarrer un essai gratuit
Demander une démo

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).
J'accepte