Benjamin Lim Directeur des ventes aux entreprises

Le matin du 1er mai 2026, les employés qui se présentaient à l'usine de Foxconn à Mount Pleasant, dans le Wisconsin, se sont vu remettre des feuilles de présence papier.

Ce n'est pas à cause d'une coupure de courant. Ce n'est pas un exercice d'évacuation en cas d'incendie.

Tout le réseau était hors service. Le Wi-Fi avait disparu dès 7 h. L'infrastructure centrale de l'usine était à l'arrêt dès 11 h. L'ensemble de l'atelier de production, dédié à la fabrication de serveurs d'IA pour Apple, Google, NVIDIA, Intel et Dell, s'est retrouvé réduit à l'utilisation du stylo et du papier avant même que la plupart des employés aient fini leur café du matin.

Le 11 mai, le groupe de ransomware Nitrogen avait publié des informations concernant Foxconn sur son site de fuites du dark web et affirmé avoir dérobé huit téraoctets de données. Plus de 11 millions de fichiers. Des plans d'assemblage. Des cartes de topologie des centres de données de Google et d'Intel. Des schémas matériels relatifs à l'infrastructure d'IA de nouvelle génération. Un deuxième site situé à Houston, au Texas, aurait également été touché.

Il ne s'agissait pas d'un simple cambriolage éclair. Il s'agissait d'une attaque mûrement réfléchie, menée avec patience et ciblant spécifiquement les identités — et elle a suivi un scénario que les responsables de la sécurité des identités doivent connaître sur le bout des doigts.


Pourquoi les ransomwares s'attaquent-ils d'abord à l'identité ?

Dans le rapport de Semperis sur les risques liés aux ransomwares, 78 % des personnes interrogées ont indiqué avoir été victimes d’une attaque par ransomware au cours des 12 derniers mois. Le point d’entrée le plus courant ? Le système de gestion des identités.


83 % des attaques par ransomware visant des entreprises manufacturières à l'échelle mondiale ont compromis leur infrastructure d'identité.

Source : Semperis, Rapport 2025 sur les risques liés aux ransomwares


Pour les professionnels expérimentés de la cybersécurité et les équipes chargées de la gestion des incidents, ces statistiques n’ont rien de surprenant. L’infrastructure d’identité est à la base de toutes les autres applications et de tous les autres systèmes de l’entreprise. Lorsque des attaquants parviennent à s’infiltrer dans Active Directory (AD), Entra ID ou Okta, ils peuvent s’y implanter durablement, se déplacer latéralement et élever leurs privilèges afin d’étendre leur champ d’action à l’ensemble de l’environnement.

L'attaque « Nitrogen » a suivi un schéma bien connu, dans lequel des identifiants piratés permettent d'accéder à des privilèges élevés, au domaine et aux clés d'accès aux systèmes de sauvegarde.


Comment fonctionne la chaîne d'attaque axée sur l'identité ?

Dans les attaques par ransomware de type « identity-first », le point d’entrée est presque toujours le même : un identifiant compromis ou un terminal exposé. Il s’agit parfois d’un e-mail de hameçonnage ciblant spécifiquement les administrateurs informatiques — des personnes disposant de privilèges élevés, d’un accès au domaine et des clés d’accès aux systèmes de sauvegarde. Ils ne s’intéressent pas à l’ordinateur portable d’un utilisateur lambda. Ils recherchent des comptes qui leur permettent d’agir.

Cette tendance correspond à ce qu’ont observé les chercheurs en cybersécurité de Semperis au cours de dizaines d’enquêtes sur des ransomwares : Active Directory n’est pas seulement une cible dans ces attaques. C’est la surface d’attaque elle-même.

  1. Accès initial via l'utilisation abusive d'identifiants. Les identifiants compromis — obtenus par hameçonnage ou achetés auprès de courtiers en accès initiaux — constituent souvent un point d'ancrage initial. Aucune faille de sécurité n'est nécessaire. Il suffit d'un nom d'utilisateur et d'un mot de passe valides.
  2. Élévation des privilèges via des erreurs de configuration d’Active Directory. Une fois à l’intérieur, les attaquants recherchent les cibles faciles qui existent dans presque tous les AD d’entreprise : des comptes de service « kerberoastables » dotés de privilèges excessifs, une délégation sans restriction, des comptes administrateurs obsolètes, des erreurs de configuration des listes de contrôle d’accès (ACL) permettant à un utilisateur standard de réinitialiser le mot de passe d’un compte privilégié.

    Pour des fabricants comme Foxconn, un réseau de fabrication intelligente en pleine expansion — intégré à l’IoT, connecté au cloud et développé à un rythme soutenu — est précisément le type d’environnement où de telles erreurs de configuration s’accumulent à l’insu de tous.
  3. Mouvement latéral et prise de contrôle du domaine. Une fois qu’ils ont établi un point d’ancrage et une voie d’escalade, les attaquants progressent vers le domaine. Ils recherchent des cibles disposant de privilèges élevés, telles que les administrateurs de domaine, les administrateurs d’entreprise et les comptes dotés de droits DCSync. Dès qu’ils s’en sont emparés, ils contrôlent l’environnement. Tous les systèmes faisant confiance à cette instance d’Active Directory sont désormais compromis.
  4. Identification et mise de côté des sauvegardes. Avant de provoquer toute perturbation visible, le cyberattaquant repère et neutralise l’infrastructure de sauvegarde. Lors de la cyberattaque subie par Foxconn en 2020, DoppelPaymer a supprimé 30 To de données de sauvegarde. Des cyberattaquants comme Nitrogen peuvent adopter une approche plus « chirurgicale », en mettant discrètement de côté des données pour s’en servir comme moyen de pression lors des négociations. Mais l’objectif reste le même : rendre la restauration aussi difficile que possible.
  5. Exfiltration, puis chantage. Huit téraoctets de données ne se transfèrent pas du jour au lendemain. La plupart des attaques par ransomware nécessitent des semaines d’exfiltration patiente, progressive et discrète — exactement le genre d’activité qui se fond dans le bruit normal du réseau si l’on ne surveille pas de près le comportement des identités.

Une fois infiltrés dans le système d'authentification, les pirates ne se précipitent pas. Ils passent des semaines à cartographier l'environnement, à identifier les contrôleurs de domaine, à localiser les serveurs de sauvegarde et à préparer discrètement l'exfiltration en arrière-plan. Lorsque quelqu'un se rend compte que quelque chose ne va pas, les données ont déjà disparu. Le chiffrement, lorsqu'il intervient enfin, n'est presque plus qu'une formalité. C'est l'exfiltration qui constituait le véritable levier.


Quelles mesures de protection axées sur l'identité les fabricants peuvent-ils mettre en œuvre dès maintenant ?

Comme le souligne l'étude de Semperis sur les ransomwares, de nombreuses entreprises du secteur industriel considèrent que la sécurité des identités et la résilience constituent les fondements de la résilience cybernétique et opérationnelle, et 90 % des personnes interrogées à l'échelle mondiale ont mis en place une stratégie de détection et de réponse aux menaces liées aux identités (ITDR).

Cependant :

  • Seuls 65 % des fabricants intègrent des procédures de reprise d'activité spécifiques à l'AD dans leur plan de reprise après sinistre
  • Seuls 61 % disposent de systèmes de sauvegarde dédiés, spécifiques à Active Directory

Ces deux éléments sont indispensables à la mise en œuvre d'une stratégie ITDR efficace. Comment votre organisation peut-elle donc lutter efficacement contre les menaces de ransomware liées à l'identité afin de renforcer sa résilience opérationnelle ?

Voyons ensemble ce que vous pouvez faire pour protéger votre environnement d'identité — avant, pendant et après une cyberattaque — et où des failles spécifiques peuvent exister dans des environnements de production complexes comme celui de Foxconn.


Commencez dès maintenant : voyez ce que voit l'attaquant, avant même qu'il ne s'en rende compte

Deux outils communautaires proposés par Semperis vous permettent d'évaluer immédiatement votre niveau de sécurité, et ce gratuitement.

Un rapport conjoint publié par l'alliance « Five Eyes» — qui regroupe notamment le Centre australien de cybersécurité et l'Agence nationale de sécurité américaine (NSA) — recommande Purple Knight, l’outil gratuit d’évaluation de la sécurité Active Directory de Semperis, comme un outil efficace de prévention et de détection qui vous permet de surveiller l’état de sécurité de vos identités au fil du temps. Et il est entièrement gratuit.

Purple Knight une analyse sans agent de vos environnements Active Directory, Entra ID et Okta, et attribue une note en fonction de plus de 218 indicateurs de sécurité répartis dans plusieurs catégories :

  • Délégation AD
  • Sécurité du compte
  • Infrastructure AD
  • ID d'entra
  • Politique de groupe Sécurité
  • Sécurité hybride
  • Sécurité Kerberos
  • Okta

Dans un environnement d'entreprise classique, cet outil met en évidence les erreurs de configuration et les vulnérabilités qui sont restées inaperçues pendant des années. Il fournit ensuite des conseils d'experts pour vous aider à hiérarchiser les menaces les plus risquées et à y remédier de manière systématique.

Un autre outil gratuit, Forest Druid, améliore encore la visibilité sur votre sécurité identitaire en cartographiant les chemins d’attaque de niveau 0, c’est-à-dire les itinéraires qu’un attaquant peut emprunter depuis un compte utilisateur standard compromis jusqu’à la prise de contrôle d’un administrateur de domaine ou d’un contrôleur de domaine. Cet outil gratuit répond à la question à laquelle la plupart des entreprises ne peuvent pas répondre seules :

« Si un pirate parvient à s’introduire ici, combien d’étapes lui faudra-t-il pour prendre le contrôle de notre domaine ? »

Dans un environnement où le réseau de l'atelier de production, l'infrastructure informatique de l'entreprise et l'infrastructure d'assemblage des serveurs d'IA sont tous interconnectés, le nombre de voies d'accès non intentionnelles de niveau 0 est très certainement important. Forest Druid les Forest Druid visuellement, les classe par ordre de priorité en fonction du risque et fournit aux responsables de la sécurité une feuille de route pour y remédier, avant même qu'un attaquant ne découvre lui-même ces voies d'accès.


Améliorer la visibilité du système d'identité afin de réduire la durée de séjour

Les semaines ou les mois qu'un pirate passe au sein d'un réseau avant de provoquer des perturbations constituent une fenêtre d'opportunité pour les défenseurs. Pendant cette période de présence, il est possible de le démasquer, mais seulement si l'on surveille les bons indicateurs.

Les outils SIEM standard enregistrent les événements . Ils ne comprennent pas ce que ces événements signifient dans le contexte de votre environnement Active Directory hybride. Un attaquant qui effectue une opération DCSync, crée un « Golden Ticket », modifie AdminSDHolder ou ajoute discrètement un utilisateur à un groupe privilégié générera des journaux, mais la plupart des SIEM ne les feront pas apparaître sous forme d’alertes hautement prioritaires, car ils ne disposent pas des informations spécifiques à Active Directory nécessaires pour comprendre ce qu’ils sont en train d’analyser.

Semperis Directory Services Protector DSP) surveille en permanence l’infrastructure d’identité, met en corrélation les modifications avec les schémas d’attaque connus et, surtout, assure la restauration automatique en temps réel des modifications non autorisées.

Cela signifie que si un pirate ajoute un compte malveillant au groupe « Domain Admins » à 2 h du matin, DSP d'émettre une alerte. Il annule la modification avant même que le compte ne puisse être utilisé.


Préparez-vous à répondre aux questions auxquelles personne ne veut répondre

Voici une question à laquelle tout RSSI devrait pouvoir répondre avant qu'un incident ne se produise, et non pendant celui-ci :

« Si nos contrôleurs de domaine sont actuellement hors service, combien de temps nous faudra-t-il pour restaurer Active Directory dans un état dont nous savons qu’il est sain ? Et sommes-nous sûrs que la sauvegarde à partir de laquelle nous effectuons la restauration n’est pas déjà compromise ? »

La plupart des entreprises ne peuvent pas répondre à cette question avec certitude. La plupart n’ont pas testé ce scénario. Et dans le cas d’une attaque par ransomware, la restauration à partir d’une sauvegarde compromise n’est pas une véritable restauration : cela revient à rétablir la présence de l’attaquant.


Soyez sûr de pouvoir nettoyer efficacement, et pas seulement rapidement

Les entreprises du secteur industriel ayant répondu à l'étude de Semperis sur les ransomwares ont indiqué que, lorsque les attaques par ransomware aboutissaient, elles n'étaient pas touchées une seule fois, mais à plusieurs reprises, sur plusieurs jours ou semaines :

  • 39 % ont été agressés à deux reprises.
  • 25 % ont été agressés à trois reprises.
  • 8 % ont été agressés au moins quatre fois.

Ces attaques répétées soulignent le fait que la restauration de sauvegardes dans lesquelles l'attaquant est toujours présent ne sert à rien. Vous devez vous assurer de pouvoir restaurer le système dans un état fiable et sain.

Semperis Active Directory Forest Recovery ADFR) automatise le processus de restauration de la forêt AD, éliminant ainsi les étapes manuelles et sources d’erreurs décrites dans le guide de restauration de Microsoft, qui peuvent prendre plusieurs jours et entraîner des erreurs humaines en situation de stress. Plus important encore, ADFR la forêt dans un état exempt de logiciels malveillants. Il ne se contente pas de restaurer la dernière sauvegarde ; il garantit que l’environnement restauré est sain.

Le réseau de Foxconn a cessé de fonctionner le 1er mai. Le 11 mai, soit dix jours plus tard, l'entreprise indiquait toujours que la production était en phase de « reprise progressive ». Ce délai n'est pas inhabituel pour les organisations qui procèdent manuellement à la restauration d'un domaine Active Directory. Avec ADFR, ce délai de restauration passe de plusieurs jours à quelques heures.


Testez votre plan de reprise avant d'en avoir besoin

Même si vous disposez de sauvegardes et d'un plan de reprise, comment pouvez-vous être sûr que tout fonctionnera si le pire devait arriver ?

Selon le rapport de Semperis intitulé étude « State of Enterprise Crisis Readiness » :

  • 96 % des entreprises mondiales déclarent disposer d'un plan d'intervention en cas de cybercrise
  • Mais… 71 % ont tout de même été victimes d'incidents cybernétiques ayant entraîné l'arrêt de leurs activités

Le problème n'est pas que ces organisations manquent d'efforts ou de talent. C'est qu'elles ne disposent pas des moyens nécessaires pour s'assurer de l'efficacité de leur intervention.

Semperis Ready1 est une plateforme de gestion de crise d’entreprise qui fait office de centre de commandement et de contrôle avant, pendant et après un incident cybernétique. C’est là que vos équipes peuvent élaborer vos plans d’intervention en cas de crise cybernétique, tester votre capacité de reprise avant d’en avoir besoin, valider l’intégrité des sauvegardes, identifier les lacunes dans les guides d’intervention — et s’assurer que, lorsque vous devrez effectuer une reprise, vous n’aurez pas à improviser sous la pression à 2 heures du matin alors que la production est à l’arrêt.


Une vision d'ensemble : comment le secteur industriel peut-il renforcer la résilience identitaire ?

La violation de données chez Foxconn est importante non seulement en raison de son ampleur, mais aussi en raison de la nature des données volées.

Cartes de topologie des centres de données pour les infrastructures de Google et d’Intel
Spécifications d’assemblage pour le matériel d’IA
Propriété intellectuelle dont le développement a nécessité des années de travail et des centaines de millions de dollars

Tous ont quitté les lieux au cours de plusieurs semaines d'exfiltration discrète, alors que personne ne surveillait le domaine.

Le secteur industriel continue de considérer Active Directory comme un problème informatique plutôt que comme un risque opérationnel. Dans un environnement de l'Industrie 4.0 — où le contrôleur de domaine constitue le pilier de confiance pour tout, de l'usine au cloud —, cette vision est dangereusement dépassée.

Les pirates en sont bien conscients : la couche d'identité constitue la principale surface d'attaque.

La question qui se pose à tout responsable de la sécurité des systèmes d’information (RSSI) dans les secteurs de l’industrie manufacturière, des infrastructures critiques et de la chaîne d’approvisionnement technologique ne se limite pas à savoir si vos systèmes opérationnels sont suffisamment sécurisés. Il s’agit de déterminer si, lorsqu’un pirate parvient à s’introduire, vos dispositifs de protection des identités parviendront à le bloquer… ou s’ils lui donneront libre accès à tout.


Pour en savoir plus