Qu'est-ce que la sécurité de la surveillance et gestion à distance (RMM) ?

Qu'est-ce que le RMM ?

Les logiciels de surveillance et de gestion à distance (RMM) permettent aux équipes informatiques et aux fournisseurs de services managés de surveiller, maintenir et gérer à distance des terminaux distribués. Les fonctionnalités principales incluent l'accès à distance, la surveillance des systèmes, la gestion autonome des correctifs et l'exécution de scripts avec privilèges. Selon le Guide d'accès à distance de la CISA, les outils RMM fonctionnent comme des logiciels permettant aux « fournisseurs de services managés (MSP), fournisseurs SaaS, services d'assistance informatique et autres administrateurs réseau d'effectuer à distance plusieurs fonctions ».

Considérez ce scénario : votre équipe informatique déploie ConnectWise ScreenConnect à 9h pour une maintenance système légitime. À 9h15, les opérateurs du rançongiciel BlackSuit utilisent ce même outil pour chiffrer l'ensemble de votre réseau. Ce scénario s'est répété tout au long de 2024-2025, le FBI et la CISA ayant documenté plus de 900 victimes de la campagne de rançongiciel Play à elle seule jusqu'en mai 2025.

Relation entre le RMM et la cybersécurité

Les outils RMM ont évolué de plateformes d'administration informatique essentielles vers des surfaces d'attaque exploitées par des acteurs malveillants allant des cybercriminels aux APT étatiques. Cette transformation s'explique par le fait que les logiciels RMM offrent exactement ce dont les attaquants ont besoin : un accès privilégié au système, une infrastructure de commande et contrôle, et un trafic réseau légitime qui contourne les contrôles de sécurité traditionnels.

Selon l'avis CISA AA23-061A sur BlackSuit Ransomware, « le FBI a observé des acteurs BlackSuit utilisant des logiciels RMM légitimes pour maintenir la persistance dans les réseaux victimes ». MITRE ATT&CK T1219.002 identifie le défi fondamental de sécurité : les outils RMM « sont couramment utilisés comme logiciels d'assistance technique légitimes et peuvent être autorisés par le contrôle des applications dans un environnement cible ».

Pour comprendre pourquoi les plateformes RMM créent une exposition de sécurité aussi importante, les organisations doivent d'abord examiner les composants architecturaux qui rendent ces outils à la fois puissants et dangereux.

Composants clés du RMM

Les plateformes RMM se composent de composants architecturaux interconnectés permettant l'administration à distance à grande échelle. Comprendre ces composants révèle pourquoi les acteurs malveillants ciblent l'infrastructure RMM et comment l'exploitation se propage dans les environnements.

• Console centrale de gestion : sert de plan de contrôle administratif où les équipes informatiques configurent les politiques, déploient les agents et surveillent l'état des terminaux. Lorsque des acteurs malveillants compromettent cette console, ils obtiennent un contrôle administratif sur tous les terminaux gérés simultanément.
• Logiciel agent : installé sur les terminaux gérés, il exécute des commandes, collecte des données système et maintient des connexions persistantes avec l'infrastructure de gestion. Ces agents fonctionnent avec des privilèges SYSTEM ou root pour effectuer des tâches administratives. Selon le Guide d'accès à distance de la CISA, ce contexte d'exécution privilégié permet aux acteurs malveillants de déployer des rançongiciels, de collecter des identifiants et de se déplacer latéralement sans déclencher d'alertes d'escalade de privilèges.
• Infrastructure de communication : établit des connexions sortantes des terminaux gérés vers les serveurs RMM pour la réception des commandes et la transmission des données. Les acteurs malveillants exploitent ces canaux de communication pré-approuvés pour le commandement et le contrôle, en mélangeant le trafic malveillant avec les sessions de gestion autorisées.
• Moteur de script autonome : permet aux équipes informatiques de déployer des correctifs, de configurer des systèmes et d'exécuter des tâches de remédiation sur des milliers de terminaux via PowerShell, Bash ou des langages de script propriétaires. Selon l'avis CISA AA25-071A sur Medusa Ransomware, les acteurs malveillants déploient des scripts PowerShell obfusqués en base64 via les plateformes RMM pour collecter les identifiants de sauvegarde Veeam et inventorier l'infrastructure réseau avant le déploiement du rançongiciel.
• Interface d'accès à distance : fournit un contrôle interactif du bureau, des capacités de transfert de fichiers et un accès shell à distance pour le dépannage et l'administration. Des groupes comme Scattered Spider déploient plusieurs outils RMM, dont TeamViewer et AnyDesk, tandis que Storm-1811 abuse de ScreenConnect et NetSupport Manager pour établir un accès interactif persistant.

Malgré ces préoccupations de sécurité, les outils RMM restent essentiels pour les opérations informatiques modernes. Comprendre leur valeur légitime explique pourquoi les organisations continuent de les déployer — et pourquoi les acteurs malveillants les trouvent si attractifs.

Principaux avantages du RMM

Les plateformes RMM offrent une efficacité opérationnelle mesurable aux équipes informatiques gérant une infrastructure distribuée à grande échelle. Ces avantages légitimes expliquent pourquoi les organisations déploient des outils RMM et pourquoi les acteurs malveillants les exploitent systématiquement.

• Gestion centralisée à grande échelle : permet à un seul administrateur de gérer des milliers de terminaux répartis sur plusieurs sites via des consoles unifiées. Cependant, selon la documentation de la CISA et du FBI, cette centralisation crée des risques de sécurité importants lorsque les plateformes RMM sont compromises, affectant les organisations lors de campagnes de rançongiciels documentées.
• Surveillance proactive des systèmes : permet la journalisation et la surveillance continues de l'activité RMM pour détecter les accès non autorisés et les schémas suspects de mouvements latéraux. Les alertes autonomes sur les comportements RMM anormaux réduisent le temps de présence et permettent une réponse aux incidents plus rapide.
• Gestion autonome des correctifs : déploie les mises à jour de sécurité, les correctifs applicatifs et les modifications de configuration sans intervention manuelle. Les plateformes RMM gèrent la distribution, l'installation et la vérification sur les terminaux gérés, réduisant la fenêtre de vulnérabilité plus rapidement que les processus manuels.
• Réduction des besoins de support sur site : élimine la nécessité d'un accès physique pour la plupart des tâches de dépannage et de maintenance. Les équipes de support peuvent résoudre les tickets d'assistance via des sessions à distance au lieu de dépêcher des techniciens, réduisant les coûts de support et accélérant les délais de résolution.

Les mêmes capacités qui rendent le RMM indispensable aux équipes informatiques : accès privilégié, exécution de commandes à distance et connectivité persistante, rendent ces outils tout aussi précieux pour les attaquants cherchant à contrôler le réseau.

Comment les acteurs malveillants exploitent les outils RMM

Les acteurs malveillants exploitent les outils RMM via quatre vecteurs d'attaque principaux, chacun tirant parti de la confiance inhérente que les organisations accordent à l'infrastructure de gestion à distance.

• Vol d'identifiants et compromission de comptes : représente la méthode d'exploitation la plus courante. Selon l'avis CISA AA23-025A, les acteurs malveillants ciblent des « identifiants légitimes compromis » via des campagnes de phishing, des attaques par bourrage d'identifiants utilisant des listes de mots de passe issues de violations précédentes, et l'achat d'identifiants volés auprès de courtiers d'accès initiaux sur les places de marché du dark web. Une fois les identifiants RMM valides obtenus, les attaquants héritent de privilèges administratifs complets sur tous les terminaux gérés sans déclencher d'alertes de sécurité. Le vol d'identifiants permet aux attaquants de se fondre dans l'activité administrative légitime, rendant la détection extrêmement difficile. Les acteurs malveillants ciblent également les comptes de service et les clés API qui peuvent avoir des politiques de mot de passe plus faibles ou ne pas imposer la MFA.
• Exploitation de vulnérabilités : cible les plateformes RMM non corrigées présentant des failles de sécurité connues. La CVE-2024-1709 de ConnectWise ScreenConnect a atteint une sévérité CVSS de 10,0 avec contournement d'authentification permettant l'exécution de code à distance non authentifiée. Quelques jours après la divulgation, les acteurs malveillants ont exploité cette vulnérabilité pour déployer massivement des rançongiciels dans des milliers d'organisations. Selon l'avis CISA AA25-163A, l'exploitation active de SimpleHelp RMM a entraîné des « interruptions de service et des incidents de double extorsion » affectant un fournisseur de logiciels de facturation de services publics et ses clients en aval.
• Déploiement RMM malveillant : consiste pour les acteurs malveillants à installer des outils d'accès à distance non autorisés sur des systèmes compromis afin d'établir un accès persistant indépendant des contrôles de sécurité existants. Les attaquants déploient des logiciels RMM légitimes comme AnyDesk ou TeamViewer déguisés en documents professionnels via des emails de phishing. Selon l'avis CISA AA23-025A, les attaquants utilisent des campagnes de phishing à thème support pour convaincre les utilisateurs d'accorder un accès à distance ou d'installer des exécutables RMM portables ne nécessitant aucun privilège d'installation. Ces versions portables contournent les contrôles de liste blanche applicative et offrent un accès à distance immédiat sans identifiants administratifs.

• Compromission de la chaîne d'approvisionnement : cible les MSP et prestataires informatiques qui gèrent l'infrastructure RMM pour plusieurs clients. Une seule compromission de MSP se propage à tous les clients en aval via des canaux de gestion de confiance. L'attaque Kaseya VSA de 2021 a démontré cet effet d'amplification lorsque le rançongiciel REvil s'est propagé via les relations MSP pour chiffrer plus de 1 500 organisations clientes en quelques heures. Les attaquants ciblent spécifiquement les MSP car un fournisseur compromis donne accès à des dizaines ou centaines d'environnements clients.

Face à ces méthodes d'exploitation, les équipes de sécurité ont besoin d'indicateurs fiables pour distinguer l'activité RMM malveillante de l'administration légitime.

Comment détecter les attaques basées sur le RMM

La détection des attaques basées sur le RMM nécessite une surveillance des anomalies comportementales permettant de distinguer l'activité malveillante de l'administration légitime. La détection traditionnelle basée sur les signatures échoue car les outils RMM sont des logiciels légitimes effectuant des fonctions attendues.

• Installation non autorisée d'outils RMM : Surveillez l'apparition de nouveaux logiciels d'accès à distance sur les terminaux sans validation du changement. Recherchez les outils non approuvés par la politique informatique, notamment TeamViewer, AnyDesk, ScreenConnect, Atera, Splashtop, LogMeIn, RemotePC et NetSupport Manager. Selon la documentation MITRE ATT&CK, les acteurs malveillants déploient fréquemment plusieurs outils RMM simultanément pour établir des canaux d'accès redondants.
• Horaires et durée de session anormaux : Signalez les accès en dehors des heures ouvrées pour enquête. Les sessions RMM initiées à 2h du matin depuis des localisations géographiques incohérentes avec celles des administrateurs doivent être examinées immédiatement. Surveillez les sessions dont la durée est inhabituelle par rapport à l'activité administrative de référence, en particulier les sessions prolongées sur des systèmes rarement administrés à distance.
• Exécution de commandes suspectes : Alertez sur les commandes PowerShell encodées en base64, les outils de collecte d'identifiants ciblant la mémoire LSASS ou les bases de données de sauvegarde Veeam, et les commandes d'inventaire réseau telles que nltest, net group, dsquery ou systeminfo exécutées via les canaux RMM. Selon l'avis CISA AA25-071A, les acteurs malveillants utilisent cmd.exe et PowerShell via les plateformes RMM pour l'inventaire du système de fichiers et la collecte d'identifiants avant le déploiement du rançongiciel.
• Indicateurs de mouvement latéral : Suivez les terminaux habituellement gérés par les administrateurs et alertez lorsque des sessions RMM ciblent des contrôleurs de domaine, serveurs de sauvegarde, systèmes financiers ou postes de direction sans demande de changement documentée. Un accès soudain à des actifs sensibles depuis des connexions RMM auparavant inactives signale une compromission potentielle.
• Installations RMM multiples et simultanées : Les attaquants installent des outils RMM de secours pour maintenir la persistance si les équipes de sécurité désactivent leur accès principal. Alertez lorsque des terminaux présentent plus d'un agent RMM actif ou lorsque de nouveaux outils RMM apparaissent peu après des incidents de sécurité. Maintenez une liste blanche des outils RMM approuvés et considérez toute déviation comme un indicateur potentiel de compromission.
• Activité de transfert de fichiers : Surveillez les transferts de fichiers volumineux vers des destinations externes, en particulier les archives compressées ou les exports de bases de données transférés en dehors des heures ouvrées. Les acteurs malveillants utilisent couramment les fonctions de transfert de fichiers RMM pour exfiltrer des données sensibles avant le déploiement du rançongiciel.

Centralisez les journaux RMM dans des plateformes SIEM pour corréler ces indicateurs à travers les environnements et permettre une réponse rapide aux menaces émergentes.

Même avec des capacités de détection robustes, les organisations font face à des défis de sécurité fondamentaux inhérents à l'architecture RMM qui compliquent les efforts de défense.

Défis et limites de la sécurité RMM

Les plateformes RMM présentent des défis de sécurité fondamentaux que les approches traditionnelles ne peuvent résoudre. Ces défis découlent de choix architecturaux privilégiant la fonctionnalité administrative au détriment des contrôles de sécurité.

• Contournement du contrôle des applications par conception : se produit car les outils RMM apparaissent comme des logiciels légitimes et pré-approuvés effectuant des fonctions administratives attendues. Selon MITRE ATT&CK T1219.002, les outils RMM « sont couramment utilisés comme logiciels d'assistance technique légitimes et peuvent être autorisés par le contrôle des applications dans un environnement cible ». La protection des terminaux voit un logiciel autorisé et permet l'exécution.
• Exigences d'accès privilégié : imposent que les agents RMM s'exécutent avec des privilèges SYSTEM ou root pour effectuer des tâches administratives. Lorsque des acteurs malveillants compromettent des sessions RMM, ils héritent de ces privilèges élevés tout en conservant l'apparence d'une activité administrative légitime.
• Schémas de trafic légitimes : rendent l'identification basée sur le réseau inefficace car la communication RMM ressemble à des sessions de gestion autorisées. Selon le Guide d'accès à distance de la CISA, les acteurs malveillants utilisent l'infrastructure RMM légitime pour « gérer plusieurs intrusions à la fois », contrôlant plusieurs réseaux compromis simultanément via des canaux approuvés.
• Fenêtres d'exposition aux vulnérabilités : créent des exigences de correction urgentes lorsque les plateformes RMM subissent des vulnérabilités de contournement d'authentification ou d'exécution de code à distance. Ces vulnérabilités sont rapidement exploitées par des acteurs malveillants qui scannent Internet à la recherche d'infrastructures RMM exposées.
• Prolifération d'outils multi-fournisseurs : crée des lacunes de visibilité lorsque les organisations déploient plusieurs solutions RMM dans différents départements, filiales acquises ou projets spécifiques. Les départements informatiques approuvent ScreenConnect tandis que les équipes de développement installent TeamViewer et les services d'assistance déploient Splashtop sans supervision centralisée.

Ces défis architecturaux deviennent des vulnérabilités critiques lorsqu'ils sont combinés à des erreurs opérationnelles courantes.

Erreurs courantes de sécurité RMM

Les organisations commettent fréquemment des erreurs évitables qui exposent leur infrastructure RMM à l'exploitation :

• Shadow IT et déploiements RMM non autorisés : surviennent lorsque les organisations n'inventorient pas tous les outils d'accès à distance déployés dans leur environnement. Selon l'avis CISA AA23-025A, les acteurs malveillants exploitent les installations de shadow IT qui prolifèrent sans que l'équipe de sécurité en soit informée.
• Identifiants faibles ou par défaut sur les plateformes RMM : offrent un accès administratif direct via l'abus d'identifiants. L'avis CISA AA23-025A identifie l'utilisation d'identifiants faibles ou compromis lors de violations précédentes comme une vulnérabilité critique.
• Ségrégation réseau insuffisante : permet le mouvement latéral dans tout l'environnement après une compromission initiale du RMM. Les acteurs malveillants utilisent le RMM pour se déplacer latéralement de l'accès initial à la compromission complète du réseau.
• Journalisation et surveillance insuffisantes : permettent aux acteurs malveillants de mener des opérations malveillantes tout en apparaissant comme des sessions administratives légitimes. L'absence de surveillance des journaux de session RMM permet l'exfiltration de données et le déploiement de logiciels malveillants sans être détecté.
• Logiciel RMM non corrigé : offre des vecteurs d'exploitation connus avec du code d'exploitation disponible publiquement. ConnectWise ScreenConnect CVE-2024-1709 affecte les versions 23.9.7 et antérieures avec un score CVSS de 10,0.

La correction de ces erreurs nécessite la mise en œuvre systématique de contrôles de sécurité équilibrant les besoins opérationnels et la réduction des risques.

Bonnes pratiques de sécurité RMM

L'application de bonnes pratiques de sécurité basées sur les recommandations de la CISA, de la NSA et des CIS Controls réduit le risque d'exploitation du RMM tout en maintenant la fonctionnalité opérationnelle.

• Inventaire et audit obligatoires des logiciels RMM : Établissez une visibilité sur tous les outils d'accès à distance déployés dans les environnements. Auditez les logiciels RMM chaque trimestre à l'aide d'outils d'identification des terminaux et d'analyse du trafic réseau. Bloquez l'exécution des logiciels d'accès à distance non autorisés via des politiques de contrôle des applications alignées sur le CIS Control 2.
• Authentification forte et application de la MFA : Exigez la multi-authentification pour tout accès administratif RMM. Mettez en œuvre des méthodes MFA résistantes au phishing empêchant le contournement par vol de jeton de session.
• Gestion continue des vulnérabilités avec correction priorisée : Surveillez le catalogue des vulnérabilités exploitées connues de la CISA pour les CVE liés au RMM. Établissez des procédures de correction d'urgence pour l'infrastructure RMM exposée à Internet, distinctes des cycles de correctifs standards.
• Ségrégation réseau et restrictions d'accès : Déployez l'infrastructure RMM dans des segments réseau isolés avec des règles de pare-feu strictes. Restreignez l'accès RMM à des groupes de terminaux spécifiques selon les besoins administratifs.
• Résistance au phishing et formation des utilisateurs : Formez les utilisateurs à reconnaître les campagnes de phishing liées au RMM. Mettez en place des contrôles de sécurité email bloquant les pièces jointes exécutables déguisées en documents fiscaux ou factures.
• Planification de la réponse aux incidents en cas de compromission RMM : Documentez les procédures de révocation d'accès RMM en urgence. Maintenez des méthodes d'accès administratif de secours ne reposant pas sur des plateformes RMM potentiellement compromises.
• Mise en œuvre d'une IA comportementale pour la reconnaissance de schémas : Déployez des plateformes de protection des terminaux dotées de capacités d'IA comportementale surveillant les comportements suspects des outils d'accès à distance. Les plateformes de sécurité doivent alerter sur le déploiement simultané de plusieurs outils RMM, les actions administratives inattendues en dehors des heures ouvrées ou les sessions RMM provenant de localisations géographiques inhabituelles.

La mise en œuvre de la détection par IA comportementale nécessite des plateformes de sécurité conçues pour identifier l'activité RMM anormale tout en autorisant les opérations administratives légitimes.

Stoppez les attaques basées sur le RMM avec SentinelOne

SentinelOne Singularity Platform utilise l'IA comportementale pour détecter et stopper de manière autonome les attaques basées sur le RMM grâce à une surveillance continue du comportement des terminaux. La plateforme offre de hautes performances lors des évaluations indépendantes MITRE ATT&CK avec une grande visibilité sur les menaces et aucune latence. SentinelOne est reconnu comme Leader du Magic Quadrant Gartner pour les plateformes de protection des terminaux.

Lorsque des acteurs malveillants déploient des clients RMM déguisés en documents professionnels, Singularity Endpoint utilise l'IA comportementale pour détecter les chaînes d'exécution incluant l'injection de processus, l'escalade de privilèges et les connexions réseau vers une infrastructure RMM non autorisée. Les équipes de sécurité reçoivent des alertes corrélées avec un contexte forensique complet via la technologie Storyline, qui reconstitue automatiquement l'ensemble du récit de l'attaque et le cartographie aux TTP MITRE ATT&CK.

Purple AI accélère l'investigation des menaces RMM grâce à des requêtes en langage naturel et des analyses générées par IA. Lorsque les équipes enquêtent sur une activité ScreenConnect suspecte à 2h du matin, Purple AI fournit des informations conversationnelles sur les systèmes accédés et les raisons pour lesquelles certains comportements peuvent indiquer une intention malveillante. Les premiers utilisateurs signalent jusqu'à 80 % de rapidité en plus dans la chasse aux menaces grâce à l'interface en langage naturel de Purple AI.

Lorsque des acteurs malveillants exécutent des charges utiles de rançongiciel via des sessions RMM compromises, l'IA comportementale de Singularity Platform identifie les schémas d'activité suspects et déclenche des actions de réponse autonomes, notamment la terminaison de processus et l'isolation réseau. La restauration en un clic ramène les systèmes affectés à leur état pré-attaque, minimisant les dommages et éliminant les paiements de rançon. Selon les résultats de l'évaluation MITRE SentinelOne, la plateforme a généré 88 % d'alertes en moins que les solutions concurrentes, réduisant la fatigue d'alerte tout en maintenant une visibilité complète sur les menaces.

Demandez une démonstration SentinelOne pour voir comment l'IA comportementale stoppe de manière autonome les attaques basées sur le RMM.

Points clés à retenir

Les outils RMM ont évolué d'outils informatiques essentiels vers des surfaces d'attaque exploitées par des familles de rançongiciels telles que BlackSuit, Medusa, LockBit, Play, RansomHub, Akira, Phobos et Rhysida. Le FBI et la CISA ont documenté plus de 900 organisations affectées par la seule campagne de rançongiciel Play jusqu'en mai 2025. Les acteurs malveillants exploitent les outils RMM via le vol d'identifiants, l'exploitation de vulnérabilités, le déploiement d'outils malveillants et la compromission de la chaîne d'approvisionnement ciblant les MSP.

Les avis gouvernementaux de la CISA, du FBI et de la NSA identifient l'exploitation du RMM comme une tactique mature et largement adoptée nécessitant des contrôles défensifs obligatoires. Les organisations doivent mettre en œuvre des audits logiciels, l'application de la MFA, la segmentation réseau et une journalisation et surveillance approfondies pour réduire les risques de sécurité liés au RMM. Les stratégies de détection doivent se concentrer sur les anomalies comportementales, notamment l'accès en dehors des heures ouvrées, l'installation non autorisée d'outils et l'exécution de commandes suspectes via les moteurs de script RMM.

Les approches par IA comportementale détectent les schémas d'utilisation anormaux grâce à une surveillance continue du comportement des terminaux, là où les outils basés sur les signatures échouent. SentinelOne Singularity Platform offre de solides performances lors des évaluations MITRE ATT&CK avec 88 % d'alertes en moins que les solutions concurrentes, assurant une protection autonome contre les menaces basées sur le RMM.