Attack Path Analysis : le graphe cross-domain qui révèle vos chemins d'attaque invisibles
Un attaquant ne raisonne pas par silos. Il entre par une exposition externe, rebondit sur une identité, traverse la frontière IT/OT, puis bascule vers le cloud. L'Attack Path Analysis modélise ces enchaînements sous forme de graphe pour vous montrer, avant l'attaquant, les chemins les plus courts vers vos actifs critiques. Le graphe cross-domain va plus loin que le seul Active Directory : il corrèle les identités cloud, les expositions externes, les actifs OT et les accès tiers. Il rend visibles les chemins de pivot qui traversent plusieurs domaines techniques, là où les outils cloisonnés ne voient qu'une partie du parcours. Pour le RSSI, c'est le passage d'une liste de vulnérabilités à une carte des trajectoires réellement exploitables.
16 min de lecture
22 s
Délai médian entre accès initial et transmission à un second groupe (Mandiant M-Trends 2026)
75 %
Des attaques OT débutent par une compromission du réseau IT (analyses sectorielles OT 2025)
246 j
Délai moyen pour identifier et contenir une violation par identifiants compromis (IBM Cost of a Data Breach 2025)
14 j
Temps de présence médian d'un attaquant en 2025, jusqu'à 122 jours pour les opérations d'espionnage (M-Trends 2026)
1. L'attaquant ignore vos silos
Une intrusion réelle ne ressemble jamais à l'organigramme de votre direction des systèmes d'information. Pendant que vos équipes pensent en briques distinctes, le réseau bureautique d'un côté, l'annuaire de l'autre, le cloud, l'usine, les prestataires, l'attaquant ne voit qu'une seule surface continue. Il entre où la résistance est faible et progresse là où une relation de confiance lui ouvre la porte suivante. Le périmètre n'a plus de signification pour lui depuis longtemps.
Les chiffres confirment cette continuité. Le rapport Mandiant M-Trends 2026, fondé sur plus de 500 000 heures d'investigation en 2025, mesure désormais le délai médian entre l'accès initial et la transmission de cet accès à un second groupe à 22 secondes, contre plus de huit heures en 2022. Autrement dit, le temps de lire l'alerte qui signale le début de la compromission, la main est déjà passée à l'opérateur suivant.
Sur la durée de présence, le constat est tout aussi parlant. Le même rapport relève un temps de présence médian de 14 jours en 2025, et jusqu'à 122 jours pour les opérations d'espionnage. De son côté, le rapport IBM Cost of a Data Breach 2025 chiffre à environ 246 jours le délai moyen pour identifier et contenir une violation initiée par des identifiants compromis. Pendant tout ce temps, l'attaquant parcourt votre graphe d'actifs sans que personne ne suive le fil.
1.1 Le problème n'est pas la liste, c'est le chemin
La plupart des programmes de sécurité produisent des listes : vulnérabilités par score CVSS, actifs exposés, comptes à privilèges. Mais un attaquant ne s'intéresse pas à une vulnérabilité isolée. Il cherche un enchaînement de relations qui le mène, de proche en proche, jusqu'à ce qui compte. Tant que la sécurité raisonne en inventaire et l'attaquant en trajectoire, l'asymétrie reste à son avantage.
C'est précisément ce décalage que l'Attack Path Analysis vient combler. Plutôt que de demander « quelles sont mes vulnérabilités ? », elle pose la bonne question : « par quels chemins un attaquant atteint-il mes actifs critiques, et lesquels sont les plus courts ? »
L'asymétrie du raisonnement
L'attaquant raisonne en trajectoires et enchaînements. Le défenseur, trop souvent, en inventaires et scores. Cette asymétrie cognitive est la première vulnérabilité à corriger.
2. Qu'est-ce que l'Attack Path Analysis ?
L'Attack Path Analysis est une méthode qui représente un système d'information sous forme de graphe orienté. Les noeuds sont les actifs : comptes utilisateurs, service accounts, postes de travail, serveurs, applications, automates industriels, ressources cloud. Les arêtes sont les relations qu'un attaquant peut exploiter pour passer d'un noeud à l'autre : appartenance à un groupe, droit sur un objet d'annuaire, session ouverte, relation de confiance entre domaines, accès réseau.
Sur ce graphe, l'analyse applique des algorithmes de plus court chemin pour répondre à une question opérationnelle : depuis un point d'entrée donné, combien de sauts séparent l'attaquant d'un actif critique, et par où passe-t-il ? La popularité de l'approche tient à cette intuition graphique. Là où l'analyse manuelle d'une forêt Active Directory comptant des milliers de comptes relève de l'impossible, le graphe rend la trajectoire lisible en quelques requêtes.
2.1 Trois notions structurantes
Trois concepts organisent toute la discipline et méritent d'être définis avec précision.
01
Lateral movement
Le mouvement latéral désigne la progression d'un attaquant d'un actif compromis vers un autre, à l'intérieur du périmètre. Chaque saut suit une arête du graphe : réutilisation d'identifiants, abus d'un droit mal configuré, exploitation d'une session. C'est l'enchaînement de ces sauts qui constitue un chemin d'attaque.
02
Blast radius
Le blast radius mesure l'étendue de ce qu'un attaquant atteint à partir d'un noeud donné. Compromettre un poste utilisateur ordinaire a un blast radius limité. Compromettre un service account à privilèges élevés, présent sur des dizaines de serveurs, ouvre un rayon d'impact considérable. Le blast radius hiérarchise les noeuds par dangerosité réelle, pas par criticité supposée.
03
Choke point
Un choke point est un noeud par lequel transite un grand nombre de chemins d'attaque. Il agit comme un goulet d'étranglement : le neutraliser coupe simultanément de nombreuses trajectoires. Identifier ces points de passage obligés, c'est trouver les quelques corrections qui produisent le plus d'effet. C'est le coeur de la priorisation par graphe.
2.2 L'héritage des graphes d'attaque
L'approche n'est pas neuve. Des outils comme BloodHound ont popularisé la cartographie en graphe d'Active Directory dès le milieu des années 2010, en appliquant l'algorithme de plus court chemin pour relier un compte compromis aux administrateurs du domaine. Ce qui change aujourd'hui, c'est l'échelle du graphe : il ne s'arrête plus aux frontières de l'annuaire Windows.
3. Pourquoi les graphes cloisonnés ne suffisent plus
Un graphe limité à un seul domaine technique reproduit le défaut qu'il prétend corriger : le silo. Un excellent graphe Active Directory montre les chemins internes au domaine Windows, mais s'arrête net à la frontière de l'annuaire. Or les intrusions de 2025 traversent justement ces frontières.
Le rapport M-Trends 2026 souligne que de nombreuses compromissions cloud impliquent un mouvement depuis l'environnement local vers le cloud, ou l'inverse, en exploitant les relations de confiance entre environnements hybrides. En mars 2026, l'éditeur de BloodHound a étendu son moteur d'analyse au-delà de Microsoft, vers d'autres systèmes d'identité, en reconnaissant explicitement que les attaquants exploitent les relations de confiance entre plateformes, personnes et services. La direction est claire : l'analyse de chemin d'attaque pertinente est désormais inter-domaines.
L'angle mort des jonctions
Le chemin le plus dangereux est souvent celui que personne ne possède : il commence dans le périmètre d'un outil et se termine dans celui d'un autre. Aucun des deux ne voit la trajectoire complète, et c'est précisément là que l'attaquant s'engouffre.
3.1 Comparaison graphe cloisonné contre graphe cross-domain
Critère
Graphe cloisonné (mono-domaine)
Graphe cross-domain
Périmètre
✗ Un domaine technique isolé (ex. : Active Directory seul)
✓ IT, OT, identités cloud et accès tiers corrélés dans un même graphe
Chemins de pivot inter-domaines
✗ Invisibles, le graphe s'arrête à la frontière de l'outil
✓ Visibles, l'arête traverse la jonction entre deux domaines
Blast radius
✗ Calculé sur un seul domaine, sous-estimé
✓ Calculé bout en bout, y compris l'impact sur les systèmes physiques
Priorisation
✗ Par score de vulnérabilité, par actif
✓ Par criticité de chemin et par choke point partagé
Angle mort caractéristique
✗ La jonction entre deux outils, non couverte
✓ Réduit : la corrélation est l'objet même du graphe
4. Les quatre domaines du graphe cross-domain
Un graphe cross-domain utile pour un système d'information hybride couvre quatre familles de noeuds, qui sont aussi les quatre territoires que l'attaquant cherche à relier.
01
L'IT et l'annuaire
Le socle historique : Active Directory, postes de travail, serveurs, partages de fichiers, applications internes. C'est là que se nichent les classiques du mouvement latéral, du Kerberoasting à l'abus de droits sur les objets d'annuaire. Une cartographie d'actifs fiable, produite par un module CAASM, alimente les noeuds de ce domaine et leur attribue une criticité.
02
Les identités cloud
Entra ID, AWS IAM, fournisseurs d'identité, identités managées et applications en SaaS. Le point sensible se trouve souvent à la couture entre l'annuaire local et le cloud : connecteurs de synchronisation, comptes hybrides, jetons à durée de vie longue. C'est par ces arêtes qu'un attaquant transforme une compromission interne en compromission cloud, ou l'inverse.
03
L'exposition externe
Tout ce qui est atteignable depuis internet : services exposés, VPN en fin de vie, interfaces d'administration oubliées, certificats expirés. Le rapport M-Trends 2026 rappelle que les équipements de bordure, VPN, pare-feu et routeurs, figurent parmi les cibles privilégiées pour l'accès initial. Un module EASM identifie ces points d'entrée, qui constituent l'origine de la plupart des chemins.
04
L'OT et l'industriel
Automates programmables (PLC), interfaces de supervision (HMI), réseaux SCADA. Longtemps isolés, ils sont aujourd'hui connectés : environ 70 % des systèmes OT sont appelés à se connecter aux réseaux IT, et près de 75 % des attaques OT débutent par une compromission côté IT. Le graphe cross-domain est le seul moyen de visualiser le pivot depuis le bureautique vers l'usine.
La couture IT/cloud : arête la plus mal surveillée
Le connecteur de synchronisation entre Active Directory et Entra ID est souvent le noeud pivot oublié. Un attaquant qui le contrôle dispose d'un passage bidirectionnel entre l'annuaire local et le tenant cloud sans déclencher d'alerte.
5. Trois chemins d'attaque dans un SI hybride
Pour rendre la mécanique concrète, voici trois chemins représentatifs. Ils s'appuient sur des techniques documentées dans MITRE ATT&CK et MITRE ATT&CK for ICS. Chacun montre comment un graphe cross-domain relie des points que des outils séparés laisseraient déconnectés.
5.1 Scénario 1 : du compte AD vers l'identité cloud
Ce chemin illustre la traversée de la couture entre l'annuaire local et le tenant cloud en quatre sauts.
Accès initial (T1566) : un collaborateur saisit ses identifiants sur une page de phishing. L'attaquant ouvre une session sur un compte de domaine ordinaire.
Reconnaissance par graphe : depuis ce poste, il énumère les relations d'annuaire et repère un chemin vers l'autorité de certification interne mal configurée (abus ADCS, scénarios ESC1 puis ESC8).
Escalade de privilèges : l'exploitation du modèle de certificat lui permet d'obtenir des droits équivalents à un administrateur de domaine, puis d'extraire les secrets de l'annuaire (DCSync, T1003.006).
Pivot cloud : maître du domaine, il cible le connecteur de synchronisation d'identités vers le cloud et bascule vers l'identité Entra ID correspondante, franchissant la couture entre le local et le cloud.
Un graphe Active Directory seul s'arrêterait au troisième saut. Le graphe cross-domain ajoute l'arête décisive, celle du connecteur de synchronisation, et révèle que le chemin ne se termine pas au domaine mais dans le tenant cloud. Trois noeuds concentrent ici toute la criticité : le modèle de certificat vulnérable, le compte à privilèges, le connecteur d'identités.
5.2 Scénario 2 : de l'exposition externe vers l'OT
Ce chemin matérialise l'impact physique d'une exposition externe non traitée.
Point d'entrée externe (T1190) : une interface de supervision exposée sur internet, ou un VPN en fin de vie non corrigé, est identifiée par la cartographie externe.
Pied dans la place : l'attaquant obtient un accès dans la zone bureautique reliée à cette interface, souvent via des identifiants par défaut jamais changés.
Pivot par défaut de segmentation : faute de cloisonnement strict entre IT et OT, il atteint la zone industrielle depuis le réseau bureautique, par un conduit mal contrôlé.
Impact OT : il accède aux interfaces de supervision puis aux automates, avec un potentiel d'arrêt de production (manipulation de systèmes de contrôle, ATT&CK for ICS).
Le blast radius ne se compte pas ici en données mais en sécurité physique et en disponibilité de production. Le graphe cross-domain est le seul à relier un actif vu par le module EASM à un automate industriel. Le choke point se situe au conduit de segmentation : un seul contrôle bien placé referme le chemin.
5.3 Scénario 3 : le choke point identitaire d'un prestataire
Ce chemin illustre le risque de la chaîne d'approvisionnement sous angle graphe.
Maillon faible : un prestataire dispose d'un accès en authentification unique (SSO) dont les droits dépassent largement son besoin réel, condition fréquente dans les relations fournisseurs.
Compromission du tiers (T1199) : l'attaquant compromet ce compte, par exemple via des identifiants revendus, et entre dans l'environnement cible avec un accès parfaitement légitime.
Mouvement latéral : ce compte agit comme choke point identitaire, ouvrant des chemins vers plusieurs actifs critiques sans déclencher d'alerte, puisque le trafic paraît normal.
Le rapport IBM 2025 décrit la compromission de la chaîne d'approvisionnement comme un vecteur particulièrement coûteux. Le module TPRM rend visibles ces accès tiers et, replacés dans le graphe, ils apparaissent souvent comme des choke points à corriger en priorité : réduire les droits d'un seul compte prestataire referme plusieurs chemins d'un coup.
Beareye construit ce graphe cross-domain nativement, en réunissant dans une même représentation les données issues de ses modules. La cartographie d'actifs du module CAASM fournit les noeuds internes et leur criticité. Le module EASM identifie les points d'entrée externes qui initient les chemins. Le module TPRM expose les accès tiers. Les identités cloud et les actifs OT viennent compléter le graphe, de sorte que les arêtes inter-domaines, celles que les outils séparés ne tracent pas, deviennent des relations de première classe.
6.1 De la liste à la carte
Concrètement, l'analyste ne regarde pas une liste de vulnérabilités mais une carte. Il sélectionne un actif critique, une base de données sensible ou un automate de production, et voit remonter les chemins qui y mènent, ordonnés par longueur et par blast radius. Les choke points partagés par plusieurs chemins ressortent visuellement : ce sont eux qui pilotent la file de remédiation.
La priorisation s'en trouve renversée. Au lieu de traiter des centaines de vulnérabilités par score décroissant, l'équipe corrige d'abord les quelques noeuds qui coupent le plus de trajectoires vers les actifs les plus précieux. Un correctif sur un chemin court protège davantage qu'une longue liste de correctifs dispersés sur des chemins qui ne mènent nulle part.
6.2 La validation offensive
Pour confirmer qu'un chemin détecté est bien praticable, le Red Team automatisé de Beareye rejoue les trajectoires que le graphe a mises en évidence. Cette validation offensive distingue le chemin théorique du chemin réellement exploitable, et évite de dépenser de l'effort sur des trajectoires que des contrôles existants neutralisent déjà. C'est la différence entre une cartographie statique et un programme d'exposition continu.
Souveraineté et conformité
Beareye est hébergé en France, soumis exclusivement au droit européen. Contrairement aux plateformes américaines soumises au CLOUD Act, vos données de cartographie d'attaque ne sont pas accessibles à des autorités étrangères.
7. Déployer la démarche en sept étapes
Mettre en place une démarche d'Attack Path Analysis ne demande pas de tout reconstruire. La progression suivante permet d'obtenir des résultats utilisables dès les premières semaines, puis de pérenniser l'approche.
01
Définir les actifs critiques
Identifiez ce qui ne doit jamais tomber : données réglementées, systèmes de production, annuaires, secrets. Ce sont les destinations du graphe. Sans cette cible, l'analyse part dans toutes les directions.
02
Constituer l'inventaire des noeuds
Agrégez les actifs des quatre domaines, IT, identités cloud, exposition externe et OT, avec leur criticité. La qualité de l'inventaire détermine la qualité du graphe.
03
Tracer les arêtes inter-domaines
Portez une attention particulière aux jonctions : connecteurs de synchronisation, conduits IT vers OT, accès tiers. C'est là que se cachent les chemins les plus dangereux et les moins surveillés.
04
Calculer les chemins et le blast radius
Laissez l'analyse remonter les plus courts chemins vers chaque actif critique et estimer le rayon d'impact de chaque noeud. C'est cette étape qui transforme l'inventaire en carte des trajectoires.
05
Identifier les choke points
Repérez les noeuds par lesquels transitent le plus de chemins. Ils constituent votre file de remédiation prioritaire, indépendamment de leur score CVSS individuel.
06
Valider par l'offensif
Faites rejouer les chemins prioritaires par une équipe ou un moteur de Red Team pour distinguer le praticable du théorique. Un chemin bloqué par un contrôle existant ne justifie pas d'effort de remédiation.
07
Mesurer et répéter
Suivez quelques indicateurs simples : longueur du plus court chemin vers chaque actif critique, nombre de chemins exploitables, réduction du blast radius après chaque remédiation. Réévaluez le graphe à chaque changement majeur du système d'information.
8. Intégration dans un programme CTEM
L'Attack Path Analysis n'est pas une fin en soi. Elle trouve sa place naturelle dans une démarche de gestion continue de l'exposition aux menaces (CTEM), qui articule cinq phases : cadrage, découverte, priorisation, validation et mobilisation. Le graphe d'attaque alimente directement la phase de priorisation, en classant les expositions par criticité de chemin plutôt que par score isolé, et oriente la phase de validation vers les trajectoires les plus courtes.
8.1 Conformité NIS2 et référentiel ReCyF
Cette logique sert aussi la conformité. La directive NIS2, en cours de transposition en France via la loi Résilience, attend une gestion des risques fondée sur l'exposition réelle et sur la sécurité de la chaîne d'approvisionnement. Au 26 juin 2026, la loi demeurait en navette parlementaire, sans date d'application fixée. L'ANSSI a publié le 17 mars 2026 son Référentiel Cyber France (ReCyF), qui détaille les mesures recommandées pour atteindre les objectifs de sécurité. Disposer d'une mesure objective de l'exposition par actif critique et d'une cartographie des chemins liés aux accès tiers alimente précisément l'analyse de risque attendue.
ReCyF et Attack Path Analysis
Le Référentiel Cyber France publié par l'ANSSI en mars 2026 place la connaissance de l'exposition réelle au coeur des exigences. L'Attack Path Analysis fournit la preuve documentée que l'organisation a mesuré ses chemins d'attaque et priorisé sa remédiation sur cette base.
8.2 De la photographie à la discipline continue
Tant que la sécurité raisonne en inventaire et l'attaquant en trajectoire, le défenseur court après une liste qui ne finit jamais. Le graphe cross-domain rétablit la symétrie : il fait voir le système d'information comme l'attaquant le voit, puis indique les quelques points dont la correction ferme le plus de portes. Le pilotage par CTEM transforme cette photographie en discipline continue, recalculée à mesure que le système évolue.
L'Attack Path Analysis transforme une liste de vulnérabilités en une carte de trajectoires exploitables, classées par criticité de chemin vers les actifs critiques.
Le graphe cross-domain corrèle IT, OT, identités cloud et accès tiers : il voit les pivots inter-domaines que les outils spécialisés cloisonnés manquent systématiquement.
Environ 75 % des attaques OT débutent côté IT : le graphe cross-domain est le seul moyen de mesurer le blast radius physique depuis une compromission bureautique.
Les choke points, noeuds par lesquels transitent de nombreux chemins, offrent le meilleur rapport effort sur impact en remédiation.
Priorisez par blast radius et longueur de chemin, pas par score CVSS isolé : un correctif sur un chemin court protège davantage qu'une longue liste dispersée.
Le graphe alimente directement la phase de priorisation d'un programme CTEM et documente l'exposition réelle attendue par NIS2 et le ReCyF de l'ANSSI.
FAQ
Questions fréquentes
C'est une méthode qui modélise un système d'information en graphe orienté, où les noeuds sont les actifs et les arêtes les relations exploitables par un attaquant. Elle calcule les chemins les plus courts d'un point d'entrée vers les actifs critiques, ce qui permet de prioriser la remédiation sur les trajectoires réellement praticables.
Un graphe Active Directory cartographie les relations de privilèges au sein du domaine Windows. Un graphe cross-domain corrèle en plus les identités cloud (Entra ID, AWS IAM), les expositions externes (EASM), les actifs OT et les accès tiers. Il représente ainsi les chemins qui traversent plusieurs domaines techniques, comme le font les attaquants réels.
Un choke point est un noeud par lequel passe un grand nombre de chemins d'attaque. Le corriger, qu'il s'agisse d'un compte à privilèges, d'un service account ou d'un connecteur d'annuaire, neutralise simultanément de nombreuses trajectoires. C'est le levier de remédiation au meilleur rapport effort sur impact.
Environ 75 % des attaques OT débutent par une compromission IT. Le graphe cross-domain matérialise les conduits entre réseau bureautique et réseau industriel, révèle les chemins de pivot vers les automates et calcule le blast radius sur les systèmes physiques, ce que des outils IT et OT cloisonnés ne savent pas faire ensemble.
NIS2, en cours de transposition en France via la loi Résilience, attend une gestion des risques fondée sur l'exposition réelle et la sécurité de la chaîne d'approvisionnement. L'Attack Path Analysis fournit une mesure objective de l'exposition par actif critique et documente les chemins liés aux accès tiers, deux éléments qui alimentent directement l'analyse de risque demandée.
Le CTEM articule cinq phases : cadrage, découverte, priorisation, validation et mobilisation. Le graphe d'attaque alimente la priorisation en classant les expositions par criticité de chemin plutôt que par score isolé, puis oriente la validation offensive vers les chemins les plus courts vers les actifs critiques.
Passez à l'action
Voyez vos chemins d'attaque avant qu'un attaquant ne les emprunte
Beareye construit le graphe cross-domain de votre système d'information, des expositions externes aux automates industriels, et classe vos chemins d'attaque par criticité. Demandez une démonstration pour découvrir vos trajectoires les plus courtes vers vos actifs critiques.