Qu’est-ce qu’un vecteur d’attaque ?

By Alice Gomstyn and Alexandra Jonker

Définition des vecteurs d’attaque

Un vecteur d’attaque est une voie ou une méthode par laquelle les pirates obtiennent un accès non autorisé aux systèmes cibles afin de lancer une cyberattaque. Les vecteurs d’attaque les plus courants sont les attaques par ingénierie sociale, les menaces internes et les compromissions de la chaîne d’approvisionnement.

 

Ensemble, les vecteurs d’attaque (également appelés vecteurs de menaces) et les vulnérabilités de cybersécurité d’une entreprise constituent sa surface d’attaque. Les surfaces d’attaque s’étendent à mesure que les entreprises s’engagent dans la transformation numérique, comme l’adoption de l’intelligence artificielle (IA), la migration vers le cloud et les centres de données, l’utilisation d’appareils connectés (Internet des objets) et la mise en place du télétravail. Sachant que de nombreux actifs font désormais partie d’environnements technologiques de plus en plus complexes et décentralisés, les cybercriminels disposent d’un plus grand nombre de points d’entrée pour infiltrer les réseaux et les systèmes d’exploitation.

Parallèlement, la portée et la sophistication des vecteurs d’attaque ont également évolué. Les acteurs de la menace profitent des nouvelles technologies comme l’IA pour manipuler les utilisateurs et échapper aux mesures de sécurité conventionnelles.

Heureusement, les équipes de sécurité des entreprises peuvent tirer parti de disciplines de cybersécurité telles que la gestion de la surface d’attaque (ASM) pour faire face à ces attaquants. L’ASM aide les entreprises à identifier les méthodes d’attaque potentielles et à se défendre contre les vecteurs d’attaque, des étapes clés pour atténuer le risque cyber.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy

Pourquoi est-il important de comprendre les vecteurs d’attaque ?

En épidémiologie, les vecteurs sont les agents qui transmettent les maladies infectieuses. Ils peuvent aller des êtres vivants (moustiques ou chauves-souris) aux objets inanimés (seringues ou billets de banque)1. La compréhension de ces vecteurs éclaire les efforts de prévention et de transmission des maladies dans le domaine de la santé publique.

De même, le fait de comprendre la versatilité des vecteurs de cyberattaque aide les entreprises (et les professionnels de la cybersécurité qui les accompagnent) à concevoir et déployer des stratégies et des outils pour détecter et résoudre les cybermenaces.

En l’absence de cette détection et de cette résolution, les conséquences peuvent être graves. Les vecteurs d’attaque permettent souvent des violations de données au cours desquelles les acteurs de la menace accèdent à des informations sensibles ou confidentielles.

Selon le rapport 2025 d’IBM sur le coût d’une violation de données, le coût moyen d’une violation de données est de 4,44 millions de dollars. Ces coûts découlent des enquêtes et des audits sur les violations, de la notification des violations aux clients, aux régulateurs et aux parties prenantes, des règlements et des frais de justice, ainsi que de la perte de clientèle. Les incidents ont tendance à être particulièrement coûteux dans les domaines très réglementés, où les violations de données peuvent entraîner des amendes réglementaires. Par exemple, selon le rapport d’IBM, le coût moyen d’une violation de données de santé en 2025 est de 7,42 millions de dollars.

Les vecteurs d’attaque peuvent également être déployés pour désactiver ou détruire des actifs, provoquant d’importantes perturbations organisationnelles et économiques. En septembre 2025, par exemple, une cyberattaque sur les systèmes d’enregistrement des passagers a provoqué l’annulation de certains vols et des retards dans les grands aéroports européens. Au début du même mois, une cyberattaque a provoqué un arrêt d’activité de plusieurs semaines chez un grand constructeur automobile britannique.

Comment les vecteurs d’attaque évoluent-ils ?

Comme les agents pathogènes en mutation, l’environnement des cybermenaces évolue. Par exemple, il y a 20 ans, le vecteur d’attaque responsable d’environ la moitié des violations de données était la perte ou le vol d‘un appareil, comme un ordinateur portable ou une clé USB. Aujourd’hui, le vol d’appareils représente moins de 10 % de toutes les violations de données, le reste étant imputable à une multitude d’autres vecteurs, allant du hameçonnage à la compromission de chaînes d’approvisionnement, selon le rapport 2025 d’IBM sur le coût d’une violation de données.

Les cybercriminels utilisent les nouvelles technologies pour rationaliser leur approche des vecteurs. Par exemple, ils déploient de plus en plus l’IA pour créer des e-mails et des pages Web d’hameçonnage convaincants, entre autres activités trompeuses. Selon le Rapport sur le coût d’une violation de données en 2025 publié par IBM, en moyenne, 16 % des violations de données impliquaient l’utilisation de l’IA, le plus souvent pour des attaques d’hameçonnage générées par cette dernière (37 %) et des attaques d’usurpation d’identité par deepfake (35 %).

Les pirates naviguent également sur le dark web pour acheter des logiciels de type crime à la demande (CaaS), qui leur permettent de mener des activités cybercriminelles allant de l’utilisation de logiciels espions au piratage de mots de passe. Équipés d’outils avancés, « les adversaires cyber métamorphes ont plus d’accès, se déplacent plus facilement au sein des réseaux et créent de nouveaux avant-postes dans une relative obscurité », selon l’IBM® X-Force Threat Intelligence Index 2025.

Suivre l’évolution des vecteurs d’attaque des acteurs de la menace aide les entreprises à les neutraliser. « Plus vous en savez sur ce que font les pirates, mieux vous pourrez construire vos défenses », expliquait Jeff Crume, ingénieur émérite d’IBM Security, dans une récente vidéo d’IBM Technology. « L’information, c’est le pouvoir. »

Types courants de vecteurs d’attaque

Bien que les entreprises classent les vecteurs d’attaque de différentes manières, les catégories les plus courantes sont les suivantes :

  • Ingénierie sociale
  • Compromission de fournisseurs tiers et de chaîne d’approvisionnement
  • Déni de service
  • Identifiants compromis
  • Menaces internes
  • Exploitation des vulnérabilités
  • Logiciels malveillants
  • Attaques physiques

Ingénierie sociale

Les attaques par ingénierie sociale consistent à manipuler les gens pour leur faire croire qu’ils communiquent avec une personne de confiance et à les pousser à compromettre la sécurité de leurs données personnelles (mots de passe bancaires ou numéros de carte de crédit) ou d’actifs de leur entreprise (informations confidentielles ou secrets commerciaux).  

L’une des attaques par ingénierie sociale les plus courantes est l’hameçonnage, qui consiste à utiliser des e-mails, des SMS, des appels téléphoniques ou des sites web frauduleux. Dans le rapport 2025 d’IBM sur le coût d’une violation de données, l’hameçonnage est le vecteur le plus courant des violations de données, représentant 16 % des violations à un coût moyen de 4,8 millions de dollars par attaque. Les attaques par hameçonnage impliquent souvent une usurpation d’identité, dans le cadre de laquelle le pirate déguise son adresse e-mail ou autre méthode de communication pour se faire passer pour une source fiable.

Compromission de fournisseurs tiers et de chaînes d’approvisionnement

Les pirates essaieront d’infiltrer des fournisseurs tiers pour accéder à leurs partenaires, ce qui fait des chaînes d’approvisionnement une cible privilégiée des cyberattaques. Les écosystèmes de chaîne d’approvisionnement modernes sont de plus en plus vulnérables au travers de leurs systèmes numériques et de leurs technologies de communication, qui créent une vaste surface d’attaque.

Les cyberattaques sur la chaîne d’approvisionnement peuvent freiner la production, perturber le transport et la logistique, endommager l’infrastructure critique, voler des données de propriété intellectuelle et bien plus encore. Selon le Rapport sur le coût d’une violation de données en 2025 publié par IBM, la compromission de la chaîne d’approvisionnement est le deuxième vecteur le plus fréquent de violation de données et le deuxième plus coûteux en moyenne, soit 4,91 millions de dollars américains par attaque.

Les attaques contre les chaînes d’approvisionnement en logiciels, en particulier, suscitent de plus en plus d’inquiétudes, car de plus en plus d’entreprises utilisent des logiciels open source pour leurs systèmes informatiques. Selon une étude, les menaces sur la chaîne d’approvisionnement en logiciels provenant de référentiels de packages open source ont augmenté de 1 300 % en trois ans2.

Déni de service

Les attaques par déni de service (DoS) sont des cyberattaques qui ralentissent ou arrêtent des applications ou des services. La plupart du temps, les incidents DoS consistent pour les pirates à inonder un serveur réseau de trafic pour le surcharger et l’empêcher de traiter les requêtes légitimes. Selon le rapport 2025 d’IBM sur le coût d’une violation de données, les attaques par déni de service ont représenté plus de 12 % des violations de données.

L’un des types d’attaque DoS les plus puissants est l’attaque par déni de service distribué (DDoS). Lors d’une attaque DDoS, le trafic provient de plusieurs sources à la fois, ce qui peut les rendre plus difficiles à identifier et à contrer. Les attaques DDoS sont souvent menées via des botnets, qui sont des groupes d’appareils connectés que les pirates ont détournés pour leurs activités criminelles.

Identifiants compromis

Les attaques par compromission d’identifiants se produisent lorsque les pirates obtiennent un accès non autorisé à un système par le biais des identifiants de connexion d’utilisateurs légitimes, tels que les noms d’utilisateur et les mots de passe. Selon l’IBM® X-Force Threat Intelligence Index, 30 % des cyberattaques impliquent le vol et l’utilisation abusive de comptes valides.

Les pirates disposent de différentes options pour lancer des attaques par compromission d’identifiants. Par exemple, ils peuvent utiliser les identifiants volés lors de violations de données antérieures ou déployer l’hameçonnage pour persuader les victimes de communiquer leurs identifiants. Ils peuvent également utiliser des attaques par force brute, qui exploitent la puissance de calcul et l’automatisation pour déduire les mots de passe par essai et erreur, les mots de passe faibles s’avérant généralement plus faciles à identifier.

Menaces internes

Les menaces internes sont des menaces de cybersécurité qui proviennent d’utilisateurs autorisés, comme des employés, des fournisseurs ou des partenaires commerciaux, qui abusent, intentionnellement ou non, de leur accès légitime, ou dont les comptes sont détournés par des cybercriminels.

Il existe différents types de menaces internes, dont les initiés malveillants (des employés mécontents qui cherchent à se venger), les initiés négligents (des employés qui créent par inadvertance des menaces de sécurité par ignorance ou négligence) et les initiés compromis (des employés dont les identifiants ont été volés).

Selon le rapport 2025 d’IBM sur le coût d’une violation de données, les attaques d’initiés malveillants sont la cause la plus coûteuse des violations de données parmi tous les vecteurs d’attaque, avec 4,92 millions de dollars par incident.

Exploitation des vulnérabilités

On parle d’exploitation des vulnérabilités lorsque les acteurs de la menace (internes ou externes) exploitent les faiblesses de sécurité de l’environnement numérique d’une entreprise. Selon le X-Force Threat Intelligence Index, l’exploitation des vulnérabilités des applications publiques est l’un des principaux vecteurs de cyberattaque.

Voici quelques exemples de vulnérabilités :

  • Logiciels non corrigés : faiblesses de sécurité qui surviennent à défaut de correction, à savoir d’application de mises à jour logicielles.

  • Mauvaise configuration : des ports réseau, canaux, points d’accès sans fil, pare-feux ou protocoles mal configurés servent de points d’entrée aux pirates

  • Vulnérabilités des ports ouverts : les attaquants exploitent les faiblesses des terminaux de communication du réseau.

  • Vulnérabilités par injection SQL : les pirates utilisent des requêtes spécialement conçues pour accéder aux données

  • Cross-site scripting (XSS) : une application web gère incorrectement les entrées de l’utilisateur, ce qui permet aux pirates d’injecter des scripts malveillants dans les pages web.

Malgré l’existence de catalogues de vulnérabilités de sécurité comme la liste Common Vulnerabilities and Exposures (CVE), de nombreuses vulnérabilités restent inconnues et ne sont pas corrigées. Ces faiblesses de sécurité sont appelées « vulnérabilités zero-day », car un fournisseur de logiciels ou d’appareils n’a aucun jour pour corriger la faille avant que des acteurs malveillants ne puissent en profiter. Les attaques qui en résultent sont appelées « attaques zero-day ».

Logiciels malveillants

Si le logiciel malveillant est souvent le composant d’un autre vecteur d’attaque, comme l’ingénierie sociale ou la compromission des chaînes d’approvisionnement, il peut aussi être considéré comme une catégorie vectorielle à part entière. En 2024, les rançongiciels représentaient la plus grande part d’attaques par logiciel malveillant (28 %), selon l’IBM X-Force Threat Intelligence Index.

Parmi les autres exemples de logiciels malveillants, on peut citer les logiciels malveillants d’accès à distance (qui donnent aux pirates un accès à distance), les chevaux de Troie (programmes malveillants déguisés en programmes utiles) et les logiciels espions (programmes qui collectent des informations sensibles et les envoient aux pirates).

Les logiciels malveillants de type infostealer, qui sont conçus pour voler des informations importantes, constituent une menace croissante dans ce domaine. Selon l’ IBM X-Force Threat Intelligence Index, le nombre d’infostealers envoyés chaque semaine par le biais d’e-mails d’hameçonnage a augmenté de 84 %.

Attaques physiques

Bien que les hackers disposent de pléthore d’outils numériques, les intrusions physiques restent une préoccupation réelle en cybersécurité. Par exemple, les pirates peuvent falsifier des badges, se faire passer pour des fournisseurs ou suivre une personne autorisée dans une zone sécurisée d’une entreprise (une pratique appelée « talonnage »). De là, ils peuvent voler des ordinateurs portables et d’autres appareils, télécharger des logiciels malveillants ou laisser des clés USB chargées de logiciels malveillants dans le bureau (afin que les employés curieux branchent les clés et importent eux-mêmes des logiciels malveillants par inadvertance).

Selon le Rapport sur le coût d’une violation de données en 2025 publié par IBM, chaque vol ou incident de sécurité physique coûte en moyenne plus de 4 millions de dollars américains aux entreprises.

Les cyberattaques comportent souvent deux ou plusieurs vecteurs d’attaque. Par exemple, les attaquants peuvent utiliser l’hameçonnage pour amener les utilisateurs à autoriser le téléchargement d’un rançongiciel sur leur ordinateur. Ensuite, l’attaquant peut menacer de lancer une attaque DDoS si la victime ne paie pas la rançon demandée. Ou encore, ils peuvent exploiter une vulnérabilité dans le système d’un fournisseur pour accéder aux systèmes de ses clients (une attaque de compromission de la chaîne d’approvisionnement) et injecter du code malveillant dans ces systèmes pour rechercher des identifiants que les pirates peuvent ensuite utiliser pour exfiltrer des données.

Vecteurs d’attaque passifs et actifs

Une autre façon d’organiser les vecteurs est de les diviser en deux groupes : passifs ou actifs.

Les cybercriminels utilisent des vecteurs d’attaque passifs pour accéder à des informations sans modifier le système. Un exemple de vecteur d’attaque passif serait un réseau Wi-Fi sans chiffrement, qui le rendrait vulnérable aux écoutes des pirates.

En revanche, les pirates utilisent des vecteurs d’attaque actifs pour prendre le contrôle de systèmes, les perturber ou les toucher. Les vecteurs d’attaque actifs comprennent les attaques par déni de service et par ransomware.

Parfois, la distinction entre un vecteur d’attaque actif et un vecteur d’attaque passif n’est pas claire. Par exemple, l’hameçonnage peut être considéré comme un vecteur d’attaque passif lorsqu’il est utilisé uniquement pour obtenir des informations auprès d’une cible, sans altérer le système de cette dernière. En revanche, l’hameçonnage qui amène les victimes à télécharger un rançongiciel sur un système peut être considéré comme un vecteur d’attaque actif.

Qu’est-ce que la gestion de la surface d’attaque (ASM) ?

Bien que les professionnels de la cybersécurité disposent de divers outils et stratégies, la gestion de la surface d’attaque (ASM) est particulièrement importante pour remédier aux vecteurs d’attaque potentiels. Contrairement à d’autres disciplines de la cybersécurité, l’ASM est menée du point de vue d’un pirate informatique, en évaluant un système à la recherche d’opportunités susceptibles d’intéresser un cybercriminel.

L’ASM repose sur quatre processus principaux :

Découverte d'actifs

La découverte d’actifs consiste à rechercher et à identifier automatiquement et en continu les matériels, logiciels et actifs cloud accessibles sur Internet qui pourraient servir de points d’entrée aux pirates.
Classification et hiérarchisation

Une fois les actifs identifiés, ils sont classés, soumis à une analyse des vulnérabilités et hiérarchisés en fonction du risque d’attaque.
Résolution

Les mesures de résolution, telles que l’application de correctifs, le débogage, le chiffrement renforcé des données et la mise en œuvre de l’authentification à étapes (MFA), sont appliquées par ordre de priorité.
Surveillance

Les actifs réseau inventoriés et le réseau lui-même sont continuellement surveillés, de façon à détecter et à évaluer en temps réel les nouvelles vulnérabilités et les nouveaux vecteurs d’attaque.

Auteurs

Alice Gomstyn

Staff Writer

IBM Think

Alexandra Jonker

Staff Editor

IBM Think
Solutions connexes
Services de réponse aux incidents

Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.

 Explorer les services de réponse aux incidents
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions IBM QRadar SOAR

Optimisez les processus de prise de décision, améliorez l’efficacité du SOC et accélérez la réponse aux incidents grâce à une solution d’automatisation intelligente et d’orchestration.

 Explorer QRadar SOAR
Passez à l’étape suivante

Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.

 Explorer les services de réponse aux incidents En savoir plus sur IBM X-Force
Notes de bas de page

1 « What is a vector? » Philosophical transactions of the Royal Society of London. Series B, Biological Sciences. 13 mars 2017.

2 « The State of Software Supply Chain Security 2024 ». ReversingLabs. 2024.