Introduction
Une attaque réussie ressemble rarement à un « coup de chance ». Elle suit presque toujours une logique : collecter, tester, exploiter, s’étendre, tenir, puis effacer les traces. C’est exactement ce que la méthodologie CEH (Certified Ethical Hacker) structure : une approche end-to-end qui aide à comprendre comment un attaquant pense — et comment une équipe sécurité peut casser la chaîne.
Ce que vous allez apprendre dans ce guide
- Les phases de la méthodologie d’attaque CEH, dans l’ordre
- Les objectifs et livrables attendus à chaque étape
- Les techniques typiques (niveau conceptuel) utilisées par les attaquants
- Les signaux de détection et contrôles défensifs à renforcer
- Les erreurs courantes en pentest (et en défense) qui coûtent cher
Important : cadre éthique et usage défensif
Ce guide est éducatif et orienté défense. Il décrit une méthodologie et des techniques au niveau conceptuel, sans fournir d’instructions opérationnelles exploitables.
Vue d’ensemble : la chaîne d’attaque CEH
La méthodologie CEH peut être comprise comme une progression en 10 phases :
- Reconnaissance (Footprinting)
- Scanning & Discovery
- Énumération
- Analyse de vulnérabilités
- Exploitation (Gaining Access)
- Élévation de privilèges
- Maintien d’accès (Persistence)
- Mouvement latéral & expansion
- Effacement / camouflage (Covering Tracks)
- Reporting & recommandations
1) Reconnaissance (Footprinting) : comprendre la cible avant d’agir
Objectif : obtenir un maximum d’informations avec un minimum de bruit.
Ce que cherche l’attaquant :
- Surface d’attaque externe : domaines, sous-domaines, IP, services exposés
- Organisation : filiales, partenaires, prestataires, fournisseurs
- Personnes : rôles, emails, habitudes, technologies utilisées
- Indices techniques : stack web, cloud, outils internes, fuites de données
Livrables côté défense / audit :
- Inventaire de surface d’attaque (externe)
- Risques OSINT (exposition d’emails, documents, métadonnées)
- Liste des actifs « oubliés » (sous-domaines, environnements de test)
Détection & contrôles :
- Réduire l’exposition : DNS hygiene, suppression d’actifs non utilisés
- Politique de publication : limiter les infos techniques publiques
- Surveillance : alertes sur nouveaux sous-domaines, certificats, typosquatting
La gouvernance, c’est la prise de décision et la redevabilité. Elle répond à la question : Qui décide, qui porte le risque et comment mesure-t-on les résultats ?
Dans la pratique, la gouvernance consiste à :
- Clarifier les responsabilités (RACI, comités, dirigeants responsables)
- Prioriser selon le risque (ce qui compte le plus)
- Mesurer et reporter (KPI/KRI)
- Améliorer en continu (retours d’expérience, progression de maturité)
2) Scanning & Discovery : cartographier les portes d’entrée
Objectif : identifier les systèmes accessibles et les services potentiellement exploitables.
Ce que cherche l’attaquant :
- Ports/services ouverts, versions, configurations
- Endpoints web, API, pages d’admin, consoles
- Services d’accès distant, VPN, passerelles, bastions
Livrables :
- Carte des services exposés (avec criticité)
- Liste des services obsolètes / mal configurés
Détection & contrôles :
- WAF/Rate limiting sur endpoints sensibles
- Durcissement : fermer ports inutiles, segmentation, MFA
- Détection : pics de requêtes, scans anormaux, patterns d’exploration
3) Énumération : transformer la découverte en compréhension
Objectif : obtenir des informations « exploitables » sur l’identité, les permissions et la structure.
Ce que cherche l’attaquant :
- Comptes, groupes, rôles, politiques
- Partages, ressources, services internes
- Confiances, relations, chemins d’escalade
Livrables :
- Modèle d’accès : qui peut faire quoi
- Liste des chemins de privilèges potentiels
Détection & contrôles :
- Journalisation forte (auth, annuaire, accès aux ressources)
- Moindre privilège, revue des groupes à privilèges
- Détection : énumérations répétées, accès inhabituels à des ressources
4) Analyse de vulnérabilités : prioriser ce qui compte vraiment
Objectif : identifier les failles et les mauvaises configurations qui permettent une compromission.
Ce que cherche l’attaquant :
- Vulnérabilités connues (patch manquants)
- Mauvaises configurations (exposition, droits excessifs)
- Faiblesses d’authentification (MFA absent, mots de passe faibles)
Livrables :
- Liste de vulnérabilités avec sévérité + impact métier
- Plan de remédiation priorisé (quick wins vs chantiers)
Détection & contrôles :
- Gestion de patchs + inventaire réel des actifs
- Scans réguliers + validation manuelle des risques critiques
- Gouvernance : SLA de correction selon criticité
5) Exploitation (Gaining Access) : obtenir un premier point d’appui
Objectif : obtenir un accès initial (compte, session, machine) à partir d’une faiblesse.
Vecteurs typiques (conceptuels) :
- Identité : vol d’identifiants, réutilisation, MFA contourné via fatigue/erreurs
- Web : failles applicatives, erreurs de configuration, secrets exposés
- Endpoint : macro, exécution via pièces jointes, logiciels vulnérables
- Cloud : clés/API exposées, permissions trop larges
Livrables :
- Preuve d’accès (contrôlée) + périmètre atteint
- Analyse de cause racine (pourquoi c’était possible)
Détection & contrôles :
- MFA robuste + protection contre attaques d’auth (conditionnel, risque)
- EDR, durcissement poste, filtrage email, sandbox
- Détection : connexions anormales, nouveaux appareils, impossible travel
6) Élévation de privilèges : passer de “présent” à “puissant”
Objectif : obtenir des droits plus élevés pour agir plus largement.
Ce que cherche l’attaquant :
- Mauvaises configurations de permissions
- Comptes de service trop puissants
- Secrets stockés de façon faible (scripts, partages, dépôts)
Livrables :
- Chemin d’escalade documenté
- Liste des privilèges excessifs à corriger
Détection & contrôles :
- PAM / JIT / JEA (privilèges temporaires)
- Rotation des secrets, coffre-fort, suppression des comptes partagés
- Détection : élévations inhabituelles, création de nouveaux admins
7) Maintien d’accès (Persistence) : rester malgré les corrections
Objectif : conserver un accès même si le point d’entrée est fermé.
Ce que cherche l’attaquant :
- Mécanismes de persistance (comptes, tâches, règles, tokens)
- Accès alternatifs (backups, intégrations, comptes oubliés)
Livrables :
- Inventaire des points de persistance possibles
- Recommandations de durcissement et de surveillance
Détection & contrôles :
- Revue des comptes, règles, intégrations, tokens
- Alertes sur création de comptes, changements de règles, nouveaux secrets
8) Mouvement latéral & expansion : atteindre les actifs critiques
Objectif : passer d’un système compromis à d’autres systèmes plus importants.
Ce que cherche l’attaquant :
- Chemins vers données sensibles (finance, RH, propriété intellectuelle)
- Accès à l’infrastructure (serveurs, annuaire, cloud control plane)
- Confiances réseau et identités réutilisées
Livrables :
- Graphe de mouvement latéral (chemins possibles)
- Segmentation recommandée + contrôles d’accès
Détection & contrôles :
- Segmentation réseau, micro-segmentation, Zero Trust
- Détection : authentifications latérales, accès inter-systèmes atypiques
9) Effacement / camouflage (Covering Tracks) : réduire la visibilité
Objectif : diminuer les chances de détection et compliquer l’investigation.
Ce que cherche l’attaquant :
- Réduire les traces, masquer l’origine, brouiller la chronologie
- Exploiter des zones peu journalisées
Livrables :
- Liste des logs critiques à protéger
- Recommandations : centralisation, immutabilité, rétention
Détection & contrôles :
- Centralisation SIEM, logs immuables, accès restreint aux journaux
- Alertes sur suppression/altération de logs, baisse soudaine de télémétrie
10) Reporting : transformer la technique en décisions
Objectif : produire un rapport actionnable, priorisé, compréhensible par le métier.
Un bon reporting inclut :
- Résumé exécutif (risques majeurs, impact, probabilité)
- Chaîne d’attaque reconstituée (ce qui a été possible)
- Preuves contrôlées (sans divulguer des détails dangereux)
- Plan de remédiation priorisé (30/60/90 jours)
- Mesures de prévention + détection (contrôles + monitoring)
Erreurs fréquentes (côté attaque simulée et côté défense)
- Confondre “vulnérabilité” et “risque” (sans contexte métier)
- Ne pas documenter les hypothèses et limites du test
- Négliger l’identité (MFA, privilèges, comptes de service)
- Corriger un symptôme sans traiter la cause racine
- Manquer de télémétrie : pas de logs = pas d’enquête
Mini scénario : comment casser la chaîne
Imaginez une organisation où :
- L’inventaire des actifs est incomplet
- Certains accès admin ne sont pas temporaires
- Les logs ne sont pas centralisés
Dans ce contexte, une chaîne d’attaque peut progresser vite. La stratégie défensive la plus efficace est de casser la chaîne tôt : réduire la surface, renforcer l’identité, segmenter, et rendre l’environnement observable.
Prochaines étapes actionnables
- Faites un inventaire réel de votre surface d’attaque (externe + interne)
- Priorisez l’identité : MFA robuste, moindre privilège, comptes de service
- Définissez des SLA de correction (critique/élevé/moyen)
- Centralisez les logs et protégez-les (rétention + immutabilité)
- Testez votre capacité de détection (exercices, purple teaming)
Parcours de formation recommandé
Si vous voulez structurer votre compréhension de bout en bout (attaque + défense), la formation CEH est un excellent cadre méthodologique.
FAQ
La méthodologie CEH est-elle la même chose que le Cyber Kill Chain ?
Elles se recoupent. La CEH est une approche pédagogique orientée pentest/éthique, tandis que le Kill Chain est un modèle d’analyse d’attaque. Les deux aident à structurer la défense.
Pourquoi l’identité est-elle si centrale ?
Parce que beaucoup d’attaques modernes cherchent d’abord un accès via comptes, tokens, permissions et erreurs de configuration plutôt qu’une “faille spectaculaire”.
Quelle est la meilleure étape pour détecter une attaque ?
Le plus tôt possible : reconnaissance/scanning et accès initial. Plus l’attaquant avance, plus l’impact et le coût de remédiation augmentent.
Que faut-il absolument journaliser ?
Authentification, changements de privilèges, accès aux données sensibles, création de comptes/règles, et événements endpoint critiques — idéalement centralisés et protégés.
