Sur Internet, la plupart des attaques sont «opportunistes» : les pirates attaquent des cibles au hasard, de manière entièrement automatisée (avec des exploits donc), et si ça marche pas tant pis, ils passent à la prochaine cible.
Ils ratissent très large puisqu’ils s’en prennent à toutes les adresses IP d’Internet (il y en a environ 4 milliards) les unes après les autres.
Comme il existe des dizaines/centaines de groupes cybercriminels, quand vous monitorez l’activité de votre site Web, vous pouvez voir des dizaines de tentatives d’attaques par jour.
Les cybercriminels s’en fichent que ces attaques échouent dans 99,9% des cas. Si vous attaquez 4 milliards d’adresses IP, même 99,9% d’échec ça fait quand même 400 00 cibles où vous réussirez.
Ces attaques sont donc très volumineuses mais aussi très naïves (elles tentent d’exploiter des vulnérabilités publiques que pratiquement tout le monde a patché), pas de tout personnalisées (des fois vous avez besoin de configurer un exploit en fonction de la nature de la cible pour qu’il fonctionne) et «bruyantes». Les pirates ne cherchent pas à éviter d’être repérés. Notamment car, en cas de succès, ils déclenchent immédiatement leur malversation : exfiltration et/ou chiffrement des données puis demande de rançon.

En face de ce «bruit de fond» d’Internet, il existe des attaques «sophistiquées».
Ici rien n’est laissé au hasard. La cible est choisie avec soin : l’attaquant a identifié plusieurs façons de rendre l’attaque rentable :  chantage, revente de données, déni de service, renseignement, ...
Ensuite, toutes les étapes d’une kill chain complète sont suivies : reconnaissance, weaponization sur mesure, intrusion initiale, persistance, propagation, etc.
Dans ce cas de figure, l’attaquant cherche à demeurer discret tout le long, car plus il peut rester longtemps dans le système de sa cible sans qu’elle ne le sache, plus il peut récolter d’informations (les cas documentés montrent que les entreprises victimes avaient été compromises des mois avant la détection).
Ces attaques sont bien moins nombreuses (elles se comptent en dizaines/centaines par an contre millions/milliards pour les attaques opportunistes) et peuvent être initiées par des groupes cybercriminels tout comme des états (pour de la déstabilisation ou du renseignement).

«Nous avons subi une APT» : Notre entreprise a été compromise par une attaque ciblée, silencieuse et persistante.