Rapport sur la réponse à incident – 2026
Rapport
mondial
sur
la réponse à incident 2026
Avant-propos
Nous identifions quatre grandes tendances qui façonneront le paysage des menaces en 2026.
Premièrement, l’IA est devenue un catalyseur pour les acteurs de la menace. Elle comprime le cycle d’attaque, de l’accès à l’impact, tout en introduisant de nouveaux vecteurs. Cette nouvelle cadence est mesurable : en 2025, les vitesses d’exfiltration des attaques les plus rapides ont été multipliées par quatre.
Deuxièmement, l’identité est devenue la voie la plus fiable vers le succès des attaquants. Les faiblesses liées à l’identité ont joué un rôle déterminant dans près de 90 % des investigations d’Unit 42. Les attaquants « se connectent » de plus en plus à l’aide d’identifiants et de tokens volés, et exploitent des environnements d’identités fragmentés pour élever leurs privilèges et se déplacer latéralement.
Troisièmement, le risque lié à la supply chain logicielle s’est étendu au-delà des vulnérabilités du code, jusqu’au détournement d’une connectivité de confiance. Les attaquants exploitent les intégrations SaaS, les outils éditeurs et les dépendances applicatives afin de contourner les périmètres à grande échelle. Cela déplace l’impact d’une compromission isolée vers une perturbation opérationnelle généralisée.
Quatrièmement, les acteurs étatiques adaptent leurs tactiques de furtivité et de persistance aux environnements d’exploitation des entreprises modernes. Ils ont de plus en plus recours à des infiltrations fondées sur des personas (fausses embauches, identités synthétiques) et à des compromissions plus profondes de l’infrastructure cœur et des plateformes de virtualisation, avec les premiers signes d’un savoir-faire opérationnel optimisé par l’IA pour renforcer ces points d’appui.
Si ces quatre tendances constituent chacune un défi, la réussite des cyberattaquants se joue rarement sur un seul vecteur. Sur plus de 750 missions de réponse à incident (IR), 87 % des intrusions ont combiné des activités sur plusieurs surfaces d’attaque. Autrement dit, la défense doit être pensée de bout en bout : terminaux, réseaux, infrastructures cloud, applications SaaS et identité – tous ensemble. Et près d’une mission sur deux (48 %) a impliqué une activité via le navigateur, signe que les attaques s’entremêlent très souvent avec les usages les plus ordinaires : messagerie, navigation web et recours quotidien aux applications SaaS.
La plupart des brèches tiennent à l’exposition, bien plus qu’à la sophistication des attaquants.Dans plus de 90 % des cas, des failles évitables ont pesé de manière déterminante dans l’intrusion : visibilité limitée, contrôles appliqués de façon inégale, ou confiance excessive accordée aux identités. Ces conditions retardent la détection, ouvrent la voie à la latéralisation et amplifient l’impact dès lors que les attaquants obtiennent un premier accès.
Les responsables de la sécurité doivent combler les failles dont les attaquants tirent parti. D’abord, réduire l’exposition en sécurisant l’écosystème applicatif, y compris les dépendances et intégrations tierces, et en renforçant le navigateur – le point de départ de nombreuses intrusions désormais. En parallèle, réduire l’aire d’impact en accélérant le Zero Trust et en resserrant la gestion des identités et des accès (IAM) afin d’éliminer les excès de confiance et de limiter la latéralisation. Enfin, en ultime ligne de défense, s’assurer que le centre des opérations de sécurité (SOC) peut détecter et contenir les menaces à vitesse machine, en consolidant la télémétrie et en automatisant la réponse.
1. Introduction
En 2025, Unit 42 est intervenue sur plus de 750 cyberincidents majeurs. Nos équipes ont accompagné de grandes organisations confrontées à des tentatives d’extorsion, des intrusions réseau, des vols de données et des menaces persistantes et complexes. Les cibles couvrent l’ensemble des grands secteurs et plus de 50 pays. Dans chaque cas, l’escalade était telle que le SOC avait demandé du renfort.
Lorsque l’appel arrive, nos équipes IR se mobilisent sans délai pour enquêter, endiguer et éradiquer la menace. Nous aidons les organisations à établir les faits, à rétablir les opérations et à réduire le risque de récidive en renforçant les contrôles, la visibilité et la résilience.
Chaque intrusion raconte une histoire : la cible visée, le point d’entrée, l’escalade de l’activité, et ce qui aurait pu l’arrêter plus tôt. Mis bout à bout, ces récits font émerger des tendances et éclairent le paysage mondial des menaces. Ils révèlent ce qui évolue dans les modes opératoires adverses, les erreurs qui se répètent côté organisations et, surtout, ce que les défenseurs peuvent mettre en place pour protéger durablement leur environnement. Le présent rapport fait la synthèse de ces enseignements.
Sur l’année écoulée, les vitesses d’attaque ont continué de s’accélérer. Les cyberattaquants n’en sont encore qu’aux premiers stades d’adoption de savoir-faire opérationnels optimisés par l’IA, mais l’effet est déjà tangible. L’IA réduit les frictions tout au long de la chaîne : reconnaissance, ingénierie sociale, scripts, dépannage et opérations d’extorsion. Elle permet de passer à l’échelle industrielle et de lancer plusieurs attaques en parallèle. Résultat : la fenêtre de détection et d’endiguement se referme. Tout se joue dans les toutes premières minutes suivant l’accès initial – celles qui font la différence entre un incident contenu et une brèche avérée.
Dans le même temps, la plupart des brèches suivent encore des schémas bien connus. Et c’est précisément pour cela que notre principale conclusion reste inchangée : il est possible de surmonter le défi de la sécurité. Dans plus de 90 % des incidents, des erreurs de configuration ou des angles morts dans la couverture ont joué un rôle déterminant dans l’intrusion. Les attaquants s’adaptent, mais ils réussissent le plus souvent en exploitant des failles évitables : déploiement inégal des contrôles, télémétrie lacunaire, confiance excessive accordée aux identités, et connectivité tierce non maîtrisée au sein des environnements SaaS et cloud.
Ce rapport est conçu comme un guide pratique du paysage actuel des menaces :
Menaces et tendances émergentes – Découvrez comment les modes opératoires adverses évoluent : l’IA comme catalyseur, l’identité comme voie la plus fiable, l’extension du risque lié à la supply chain logicielle via une connectivité de confiance, et l’évolution des tactiques des acteurs étatiques.
Au cœur de l’intrusion – Une lecture agrégée des tactiques, techniques et procédures observées dans les investigations de Unit 42 : cibles des attaquants, modalités d’intrusion, vitesse de leur progression et impacts générés.
Recommandations pour les équipes de sécurité – Des mesures concrètes pour combler les failles qui rendent la compromission possible : réduire l’aire d’impact et bâtir une capacité de réponse suffisamment rapide pour arrêter les incidents avant toute escalade.
Unit 42 opère 24h/24 et 7j/7 pour protéger le monde numérique des cybermenaces. L’ambition de ce rapport est simple : transformer nos enseignements de terrain en recommandations concrètes, à même d’endiguer les incidents avant qu’ils ne se transforment en brèches.
Sam Rubin
SVP, Consulting et Threat Intelligence
Unit 42
2. Menaces et tendances émergentes
Tendance 1. L’IA, catalyseur des acteurs de la menace
L’IA est en train de rebattre les cartes des intrusions. Elle accroît la vitesse, les champs d’action et l’efficacité des attaquants, tout en ouvrant des vecteurs entièrement nouveaux.
Une grande partie de cette activité se déroule sur des infrastructures adverses, hors de notre champ d’observation direct. Toutefois, les travaux d’Unit 42 montrent un net basculement. En 2025, les acteurs de la menace sont passés de l’expérimentation à un usage opérationnel de routine. Si l’IA n’est pas une « baguette magique » pour les attaquants, elle réduit drastiquement les frictions. Elle permet d’aller plus vite, d’itérer plus fréquemment et d’opérer avec moins de contraintes humaines.
L’IA accélère et amplifie les attaques
L’IA comprime le cycle d’attaque et réduit l’effort manuel nécessaire pour opérer simultanément sur plusieurs cibles.
Exploitation accélérée des vulnérabilités – Le délai entre divulgation et exploitation continue de fondre. Les acteurs de la menace automatisent la boucle « surveiller → diff → armer ». Les recherches d’Unit 42 montrent que les attaquants commencent à scanner les vulnérabilités tout juste révélées dans les 15 minutes qui suivent l’annonce d’une CVE. Les premières tentatives d’exploitation surviennent souvent avant même que de nombreuses équipes sécurité aient terminé la lecture de l’avis de vulnérabilité.
Ciblage parallélisé – Le temps opérateur devient beaucoup moins contraignant. Des workflows pilotés par IA permettent de paralléliser, à grande échelle, la reconnaissance et les tentatives d’accès initial sur des centaines de cibles – puis de concentrer les efforts dès qu’un premier signal de faiblesse se dessine.
Industrialisation des ransomwares – Nous observons des acteurs utiliser l’IA pour réduire le travail manuel lors du déploiement (génération de scripts, modélisation) et de l’extorsion (cohérence des messages). L’enjeu n’est pas que le ransomware soit nouveau, mais que le temps opérateur nécessaire pour le diffuser à grande échelle est en nette baisse.
Dans le cadre d’une enquête sur les ransomwares, Unit 42 a obtenu des scripts opérationnels utilisés pour déployer des payloads, coordonner la latéralisation et neutraliser, à grande échelle, des contrôles de sécurité. Plusieurs éléments laissent penser à un développement assisté par l’IA : commentaires inhabituellement détaillés, variantes construites à partir de modèles, et logique de repli optimisée pour l’efficacité. Au final, l’exécution devient quasi mécanique sur des centaines de systèmes, en comprimant le temps et l’effort généralement nécessaires pour orchestrer un déploiement en plusieurs phases.
Dans un cas d’extorsion, les négociateurs d’Unit 42 ont observé des réponses d’une constance inhabituelle (ton, grammaire, cadence, délais de réponse) d’un échange à l’autre. Ces signaux sont cohérents avec des messages modélisés ou assistés par l’IA. Même partielle, l’automatisation change la donne : elle permet de mener davantage de négociations en parallèle et d’exercer une pression plus disciplinée, sans mobiliser d’opérateur humain sur chaque fil de discussion.
Conséquences en matière de délai jusqu’à l’impact : l’année dernière, Unit 42 a simulé une attaque assistée par l’IA, ramenant le délai jusqu’à l’exfiltration à 25 minutes. Les données de réponse à incident sur le terrain confirment cette accélération : les 25 % d’intrusions les plus rapides atteignent l’exfiltration en 72 minutes, contre 285 minutes l’année précédente.
L’IA améliore les résultats des attaquants
L’IA augmente le taux de réussite de techniques d’attaque déjà bien connues.
Ingénierie sociale hyperpersonnalisée – Nous avons dépassé le stade du « phishing à meilleure grammaire ». Les acteurs peuvent automatiser la collecte de renseignement en sources ouvertes (OSINT), y compris le contexte professionnel et organisationnel, afin de construire des leurres alignés sur le rôle de la cible et ses relations.
Identités synthétiques – Des acteurs comme Muddled Libra ou les opérateurs IT nord-coréens recourent de plus en plus à des techniques de deepfake pour dérober des identifiants et franchir les processus de recrutement à distance.
Développement de malwares – Dans la cadre de la campagne Shai-Hulud, Unit 42 estime que les attaquants ont utilisé un LLM pour générer des scripts malveillants.
Baisse de la barrière à l’entrée – Des LLM malveillants et des attaques de type jailbreak continuent de réduire les compétences nécessaires pour produire des leurres convaincants et des variantes de code opérationnelles. Résultat : davantage d’acteurs peuvent déployer un savoir-faire crédible plus vite, avec moins d’erreurs.
Un acteur peu sophistiqué a exfiltré des données sensibles... sans véritable plan pour monnayer son coup. Pour combler ce vide, il a utilisé un LLM afin de rédiger une stratégie d’extorsion au ton « professionnel », avec échéances et tactiques de pression à l’appui. Le résultat était surréaliste : l’acteur a enregistré une vidéo depuis son lit, visiblement alcoolisé, en lisant mot pour mot le script généré par l’IA sur un écran. La menace manquait de profondeur technique, mais le modèle lui a fourni une cohérence. L’IA n’a pas rendu l’attaquant plus compétent ; elle lui a simplement donné l’apparence d’un « pro », suffisamment crédible pour devenir dangereux.
Conclusion : l’IA augmente le taux de réussite des attaquants à chaque étape. Elle améliore la qualité des leurres, raccourcit le temps nécessaire pour adapter les outils et réduit la dépendance à une intervention opérateur constante – rendant l’extorsion plus cohérente et plus facilement industrialisable.
L’IA ouvre de nouveaux vecteurs d’attaque
L’adoption de l’IA en entreprise fait émerger une nouvelle catégorie de risque : le détournement d’outils légitimes (LOTAIL). À l’image des détournements de PowerShell ou de Windows Management Instrumentation (WMI), les attaquants instrumentalisent désormais des plateformes d’IA légitimes et des assistants intégrés.
Instrumentalisation de votre plateforme d’IA – Les acteurs de la menace utilisent des identifiants valides pour détourner des plateformes d’entreprise. À titre d’exemple, les récents travaux d’Unit 42 sur Google Vertex AI ont montré comment des attaquants pouvaient abuser d’autorisations liées aux custom jobs pour élever leurs privilèges, puis se servir d’un modèle malveillant comme cheval de Troie afin d’exfiltrer des données propriétaires.
Le copilote de l’attaquant – Munis d’identifiants compromis, tout intrus peut s’appuyer sur un assistant interne pour récupérer du contexte à vitesse machine – en demandant, par exemple, des guides d’intégration, des runbooks d’administration ou des cartographies réseau. L’assistant devient alors un véritable catalyseur, permettant de comprendre l’environnement avec moins d’erreurs.
Un initié a instrumentalisé l’assistant IA de sa propre entreprise pour préparer une attaque. L’analyse forensique a montré qu’il s’en est servi pour se documenter sur les systèmes internes, générer un script personnalisé de déni de service (DoS) et corriger des erreurs en temps réel. L’assistant lui a permis de monter en compétences et de viser une infrastructure centrale qu’il n’aurait vraisemblablement pas pu attaquer avec la même efficacité sans l’appui de l’IA.
Le risque est clair : si un outil aide vos équipes à travailler plus vite, il peut tout autant aider un intrus à comprendre votre environnement et à s’y déplacer plus précisément.
Contre-mesures : Se défendre contre des menaces pilotées par IA
Tactiques de défense contre les attaques pilotées par IA :
Contrer l’accélération des attaques IA
- Automatisation du patching externe : imposer l’application automatique des correctifs pour les CVE critiques sur les actifs exposés afin de refermer la fenêtre d’exploitation de 24 heures.
- Confinement autonome : déployer une réponse pilotée par l'IA pour réduire le temps moyen de détection/réponse (MTTD/MTTR) et isoler les menaces avant qu'elles ne puissent automatiser un mouvement latéral.
Se défendre face aux modes opératoires aboutis
- Sécurité comportementale des e-mails : passer des filtres fondés sur des signatures à des moteurs capables de détecter les anomalies dans les schémas de communication.
- Sensibilisation axée sur l’intention : aller au-delà d’une formation visant simplement à repérer des fautes d’orthographe. Basculer vers une vérification hors bande (OOB) pour toute demande sensible (virements, réinitialisations d’identifiants ou recrutements à distance).
Protéger la surface d’attaque de l’IA
- Contrôle de la télémétrie des modèles : corréler les appels inhabituels aux API d’IA, ou les scripts générés par des modèles, avec les techniques d’évasion connues.
- Visibilité sur les prompts : déclencher des alertes sur les requêtes sensibles adressées aux LLM internes (ex. : « obtenir tous les mots de passe ») et imposer des frontières d’autorisation strictes pour les tokens et les comptes de service.
Tendance 2. L’identité, la voie la plus fiable vers le succès des attaquants
Au cours de l’année écoulée, des faiblesses liées à l’identité ont joué un rôle déterminant dans près de 90 % des investigations traitées par Unit 42. Dans nos dossiers, l’identité structure l’intrusion de bout en bout. Elle sert de point d’entrée, de levier d’escalade des privilèges et de mécanisme de latéralisation via des accès valides.
Alors que les organisations se plongent dans des environnements SaaS, cloud et hybrides, le périmètre réseau perd en importance. L’identité – ou le lien entre utilisateurs, machines, services et données – est le nouveau périmètre opérationnel. Dans bien des cas, les acteurs de la menace n’ont pas besoin d’une chaîne d’exploitation sophistiquée : ils se connectent à l’aide d’identifiants volés, de sessions détournées ou de privilèges mal cadrés.
L’accès authentifié change la dynamique de l’intrusion. Il permet d’aller plus vite, de se fondre dans l’activité normale et d’élargir l’aire d’impact avec moins d’obstacles. Cette tendance s’accélère à mesure que les identités machine, les applications d’IA intégrées et des environnements d’identités fragmentés multiplient les chemins d’accès exploitables.
Le point d’entrée : l’accès initial basé sur l’identité
Les données d’Unit 42 montrent que 65 % des accès initiaux reposent sur des techniques liées à l’identité. Pendant que les défenseurs se concentrent sur le patching des vulnérabilités, les acteurs de la menace contournent souvent les contrôles logiciels en ciblant les utilisateurs et les parcours d’authentification.
Les principales voies d’accès initial sont les suivantes :
- Ingénierie sociale liée à l’identité (33 %) – L’hameçonnage axé sur l’identité (22 %) et les autres formes d’ingénierie sociale (11 %) restent les moteurs dominants des brèches modernes. Au-delà du simple vol d’identifiants, ces tactiques visent de plus en plus le contournement de l’authentification multifacteur (MFA) et le détournement de session, permettant aux attaquants de franchir les contrôles d’authentification et de se déplacer latéralement en exploitant des workflows d’identité de confiance.
- Détournement d’identifiants et attaques par force brute (21 %) – L’utilisation d’identifiants déjà compromis (13 %) et les activités de force brute (8 %) permettent d’obtenir l’accès avec un minimum d’interactions. En s’appuyant sur des comptes valides issus de brèches antérieures ou des marchés clandestins, les acteurs se connectent directement aux réseaux privés virtuels (VPN), aux passerelles d’accès à distance et aux portails cloud, contournant les défenses périmétriques traditionnelles sans déclencher de détection précoce.
- Politiques d’identité et risque lié aux initiés (11 %) – Hérités d’une confiance interne excessive et de failles d’architecture, ces vecteurs reposent sur l’exploitation d’autorisations valides. Les attaquants exploitent de mauvaises configurations IAM (3 %), comme des politiques trop permissives, pour élever leurs privilèges et hériter d’accès, tandis que les menaces internes (8 %) relèvent de l’abus d’identifiants légitimes.
Gestion des identités et gestion des vulnérabilités ne sont pas deux combats distincts. Un identifiant divulgué peut créer le même niveau d’exposition qu’un système exposé et non corrigé.
La porte d’entrée : comment l’identité transforme l’accès en impact
Après l’accès initial, les failles d’identité figurent parmi les leviers les plus fréquents pour transformer un point d’appui en brèche à fort impact. Dans les environnements modernes, ce sont les actions authentifiées qui dictent la vitesse d’exécution et le rayon d’impact.
L’analyse d’Unit 42 portant sur plus de 680 000 identités dans des comptes cloud montre que 99 % des utilisateurs, rôles et services disposaient d’autorisations excessives – dont certaines inutilisées depuis 60 jours ou plus. Ce contexte facilite grandement la latéralisation, de nombreuses identités portant au quotidien des privilèges dont elles n’ont tout simplement pas besoin.
Les attaquants exploitent les identités humaines et machine comme autant de leviers opérationnels :
- Escalade de privilèges – Les rôles trop larges, les droits hérités et les autorisations historiques jamais retirées créent des voies répétables vers des niveaux de privilège supérieurs. Dès lors qu’un attaquant peut écrire dans l’IAM, il lui est souvent possible d’escalader rapidement, sans recourir à des outils inédits.
- Réutilisation d’identifiants et latéralisation –Les acteurs testent fréquemment des identifiants compromis sur d’autres systèmes. C’est particulièrement vrai lorsque des mots de passe sont réutilisés entre environnements de production et hors production, ou lorsque des comptes partagés existent encore.
- Détournement de tokens et abus d’OAuth – Les tokens de session volés et autorisations OAuth illicites permettent de contourner l’authentification interactive (y compris la MFA), de maintenir la persistance sans connexions répétées, et d’opérer avec moins de signaux d’alerte visibles.
Les chemins de confiance (comptes admin partagés, accès délégué et outils tiers) deviennent des voies rapides pour la latéralisation. Sans frontières de privilèges strictes et segmentation robuste, une seule identité compromise peut déboucher sur un accès généralisé.
L’expansion de la surface d’attaque de l’identité
Le paysage des identités s’étend et se fragmente. À mesure que les organisations adoptent le cloud, le SaaS et des workflows optimisés par IA, l’identité migre vers des zones qui échappent souvent à une gouvernance homogène, créant des espaces où les attaquants opèrent hors des radars.
Trois tendances alimentent ce basculement :
- L’essor des identités machine et IA – Les identités non humaines (comptes de service, rôles d’automatisation, clés API et agents IA émergents) dépassent souvent en volume les utilisateurs humains. Elles sont fréquemment trop privilégiées, reposent sur des identifiants longue durée et font l’objet d’une surveillance inégale. Pour un attaquant, compromettre un compte de service peut offrir un levier supérieur – et plus discret – que compromettre une personne.
- Identités fantômes – L’adoption du cloud et de l’IA a multiplié les comptes non approuvés, les environnements développeurs et les connecteurs tiers. Ces identités fantômes contournent souvent les processus standards d’intégration, de revue et de journalisation, créant des chemins d’accès que le SOC n’identifie qu’après l’impact.
- Silos d’identité – La plupart des entreprises emploient plusieurs systèmes d’identité (Active Directory, Okta, IAM cloud native). Si l’authentification et les autorisations sont fragmentées, la visibilité l’est également. Les attaquants peuvent naviguer entre les environnements sur site et cloud en ne laissant, dans chaque plan de contrôle, que des traces partielles.
À grande échelle, les erreurs de configuration font basculer l’identité : ce levier de contrôle devient alors un facteur de risque. Quand identités machine, accès fantômes et environnements d’identités fragmentés sont combinés, les attaquants disposent de chemins plus fiables pour maintenir leur persistance et étendre leur emprise. Et les défenseurs perdent la visibilité de bout en bout.
Contre-mesures : comment perturber les modes opératoires pilotés par l’identité
Les mesures tactiques suivantes permettent de contrer les modes opératoires liés à l’identité observés par Unit 42.
- Déploiement d’une MFA résistante au phishing – Une MFA standard ne suffit plus face aux contournements modernes et aux tactiques d’interception de type « adversary-in-the-middle». Priorisez des clés matérielles FIDO2/WebAuthn ou des passkeys pour les rôles à haute valeur (administrateurs, dirigeants, développeurs).
- Inventaire et rotation des identités machine – Mettez en place une découverte continue des identités non humaines (comptes de service, rôles d’automatisation, clés API). Procédez immédiatement à une rotation des identifiants statiques de tout compte de service privilégié non modifié depuis 90 jours et, autant que possible, réduisez la durée de vie des identifiants.
- Renforcement de session – Après la connexion, les attaquants pivotent de plus en plus en volant des tokens et en abusant d’autorisations OAuth. Réduisez la durée des sessions pour les applications sensibles et imposez un accès conditionnel qui évalue en continu l’état du terminal, la localisation et le risque pendant la session.
- Suppression des droits d’administration permanents – Basculez les accès à privilèges vers un modèle JIT (just-in-time). Supprimez les droits admin persistants et imposez une élévation temporaire, avec approbation et journalisation robuste. Tout compte compromis ne donnera, par défaut, qu’un niveau de privilège minimal.
Tendance 3. Attaques sur la supply chain logicielle : vers des perturbations en aval de plus en plus fréquentes Increasingly Drive Downstream Disruption
Le risque pesant sur la supply chain ne se limite plus aux vulnérabilités du code. En 2025, le périmètre s’est élargi pour englober les intégrations SaaS, les plans de gestion des éditeurs et des écosystèmes de dépendances toujours plus complexes. Le schéma dominant : des perturbations en aval et une évaluation menée en parallèle. Lorsqu’un fournisseur en amont signalait une compromission ou une indisponibilité, ses clients se retrouvaient souvent contraints de s’arrêter pour répondre à une question élémentaire : sommes-nous concernés ? Et dans bien des cas, la visibilité sur leur propre exposition restait limitée.
Le nouveau mode de défaillance n’est plus celui d’un client isolé et compromis. Des cohortes d’organisations sont contraintes de lancer dans un tri, alors même que la situation « en amont » demeure floue. Résultat : la supply chain devient une cible à forte valeur, autant pour les acteurs étatiques que pour les groupes cybercriminels. Une seule compromission peut se transformer en attaque à grande échelle, en s’appuyant sur la connectivité de confiance au cœur des activités modernes.
Intégrations SaaS : des autorisations héritées à grande échelle
Les environnements SaaS s’assemblent via des applications OAuth, des clés API et des automatisations de workflows. Ces connexions donnent très souvent accès aux données et aux processus métiers. Pour les attaquants, une intégration compromise peut devenir une voix de latéralisation qui s’apparente à une simple automatisation.
Cette exposition est visible dans les investigations d’Unit 42. En 2025, des données issues d’applications SaaS étaient pertinentes dans 23 % des dossiers, contre 18 % en 2024, 12 % en 2023 et seulement 6 % en 2022. Cette progression continue montre que les attaquants dépassent les périmètres traditionnels et se concentrent sur les outils cloud où s’exerce désormais l’activité quotidienne.
Le risque clé : les autorisations héritées. Lorsqu’une organisation intègre une application tierce via OAuth, cette application reçoit les droits qui lui ont été accordés – allant parfois jusqu’à la lecture de données sensibles, la gestion des utilisateurs ou la modification d’enregistrements. Si le fournisseur en amont est compromis, ces mêmes autorisations peuvent ensuite être détournées en aval.
Dans une enquête récente portant sur la compromission d’une plateforme d’engagement commercial (intégration Salesloft/Drift), les attaquants ont exploité des tokens OAuth valides pour accéder, en aval, à des environnements Salesforce. L’activité imitait une automatisation CRM parfaitement banale et se fondait dans le trafic normal des intégrations. Le retour d’expérience a mis au jour un problème plus profond : l’organisation a découvert près de 100 intégrations tierces supplémentaires connectées à Salesforce – pour beaucoup inactives, non supervisées, ou encore rattachées à d’anciens employés.
Open Source et IA : prolifération des dépendances et compromission liée au développement
L’open source reste la pierre angulaire du développement moderne, mais le risque se concentre de plus en plus sur les dépendances indirectes. Les travaux d’Unit 42 indiquent que plus de 60 % des vulnérabilités des applications cloud natives se trouvent dans des bibliothèques transitives – ces dépendances « silencieuses » importées via les packages dont votre code dépend.
En parallèle, les acteurs de la menace injectent du code malveillant dans des packages en amont afin de l’exécuter lors des étapes d’installation et de build, compromettant les pipelines avant même le déploiement. La cadence de développement amplifie encore ce risque. Tandis que l’utilisation de la GenAI devient la norme, les équipes ingèrent davantage de code et de dépendances, à un rythme soutenu et sans examen suffisant de la provenance, de la confiance accordée aux mainteneurs et du comportement réel des packages en aval.
Nous avons enquêté sur une campagne au cours de laquelle des acteurs malveillants ont mis en ligne des versions piégées de packages npm légitimes. L’un d’eux, bien dissimulé dans un arbre de dépendances, exécutait du code sous contrôle d’un attaquant dès l’installation. Puisque cette activité se déroule au moment du build et de l’installation, elle peut contourner les détections au runtime et établir un point d’appui dans plusieurs environnements de build avant l’apparition de la moindre alerte.
Outils éditeurs : l’instrumentalisation des canaux d’administration
Les outils éditeurs – en particulier les plateformes de supervision et de gestion à distance (RMM) et de gestion des terminaux mobiles (MDM) – sont conçus pour exécuter, à grande échelle, des actions d’administration hautement privilégiées. Lorsqu’un attaquant obtient l’accès à l’infrastructure de gestion d’un fournisseur (ou au tenant du client), il peut pousser des malwares, exécuter des commandes ou modifier des configurations d’une manière qui se fond dans le trafic administratif. Cette tendance se confirme sur le terrain : nous avons constaté que 39 % des techniques CnC étaient liées à des outils d’accès à distance (T1219).
Les entreprises héritent également de risques liés à des applications tierces opaques, exécutées au sein de workflows critiques. Lorsque les clients ne peuvent pas examiner le code d’un fournisseur ni ses hypothèses de sécurité, des backdoors latentes, des identifiants codés en dur ou des interfaces exposées peuvent persister sans être détectés.
Dans le cadre d’une enquête multinationale, une application de facturation héritée exposait sur Internet une interface non documentée, accessible sans authentification. Les contrôles existants ne l’ont pas détectée, car le trafic paraissait conforme au comportement normal de l’application. Une analyse plus approfondie a révélé des failles structurelles, dont des points d’injection SQL et des fonctionnalités shell dissimulées. Ces problèmes persistaient depuis des années, faute pour le client de pouvoir examiner le code sous-jacent.
L’impact : d’une réponse ralentie aux perturbations métier
Les incidents sur la supply chain amplifient la perturbation par l’incertitude. Lorsqu’un fournisseur est compromis, les équipes en aval opèrent dans un vide d’information. Résultat : des organisations entières basculent en « mode évaluation » à grande échelle. Elles gèlent les modifications, passent en revue les intégrations, isolent les dépendances et tentent de confirmer l’absence d’impact avant de reprendre un fonctionnement normal.
Trois angles morts systémiques alimentent cette charge :
- Les lacunes d’inventaire – Bon nombre d’organisations ne disposent pas d’une vue homogène sur leurs connexions SaaS, les agents éditeurs et les bibliothèques transitives, ce qui réduit les capacités de réponse à une simple question : « où est-ce utilisé ? »
- L’opacité des autorisations – Les privilèges effectifs des intégrations, agents et outils sont difficiles à établir rapidement sans revue manuelle, rendant l’impact réel difficile à qualifier.
- Les lacunes en matière de télémétrie – L’activité étant transmise via des canaux de confiance (mises à jour, appels API, outils d’administration), les logs paraissent souvent légitimes, ce qui peut retarder la détection et prolonger les investigations.
Perspectives : ce défi ne fera que s’amplifier à mesure que les organisations adopteront des workflows optimisés par l’IA et des agents tiers. Le risque sur la supply chain ne concernera plus seulement l’intégrité du code, mais de plus en plus aussi celle des modèles, des connecteurs et des actions déléguées exécutées au nom de l’organisation.
Contre-mesures : sécurisation de la supply chain logicielle
Protéger la chaîne d’approvisionnement suppose de réduire à la fois le temps nécessaire pour évaluer l’exposition et l’aire d’impact.
- Responsabilités et périmètre du SaaS – Recensez les applications OAuth et les intégrations (gestion de la posture de sécurité des applications SaaS et découverte). Désignez des responsables. Supprimez les intégrations dormantes et celles rattachées aux utilisateurs ayant quitté l’organisation.
- Des plans de coupure « break-glass » – Anticipez la révocation des jetons, la désactivation des connecteurs et l’isolation des agents éditeurs – sans improviser lorsqu’un incident survient en amont.
- Journalisation de l’activité des éditeurs et des intégrations de niveau audit – Soyez capable de répondre à trois questions clés : qu’est-ce qui a été exécuté, où, et par qui. Déclenchez des alertes sur les changements d’autorisations, les attributions de jetons et les actions d’administration anormales.
- Renforcement de l’ingestion au moment du build – Appuyez-vous sur les analyses de la composition logicielle (SCA) et les contrôles de provenance. Épinglez les versions, restreignez l’ajout de nouveaux dépôts et exigez une revue pour toute nouvelle dépendance – en particulier celles qui s’exécutent à l’installation ou lors de la phase de build.
Tendance 4. Les acteurs étatiques adaptent leurs tactiques aux environnements modernes
Les opérations étatiques ont gagné en ampleur en 2025, avec des campagnes d’espionnage, de prépositionnement et d’obtention d’accès. À travers des campagnes associées à la Chine, à la Corée du Nord et à l’Iran, trois évolutions se détachent :
- Un recours accru à des accès pilotés par l’identité
- Des compromissions plus profondes des couches d’infrastructure et de virtualisation
- Les premiers essais d’un savoir-faire opérationnel optimisé par l’IA, orienté furtivité et persistance
Les groupes alignés sur la Chine ont dépassé l’activité au niveau « utilisateur » pour viser directement l’infrastructure et les plateformes de virtualisation. Les opérateurs nord-coréens et iraniens ont, eux, élargi leur recours aux leurres de recrutement, aux personas synthétiques et aux malwares sur mesure pour obtenir un accès. Nous avons également observé l’émergence de techniques pilotées par l’IA, notamment la création d’identités via deepfakes et la génération CnC automatisée.
Ces évolutions traduisent un basculement vers des méthodes d’accès nettement plus difficiles à détecter – et à valider – pour les défenseurs.
Chine : cap sur la périphérie et la virtualisation
Les activités associées à la sphère chinoise ont continué de privilégier l’accès à long terme et la collecte de données. En 2025, une évolution marquante s’est dessinée : d’une logique d’espionnage centrée sur la messagerie, on passe à une exploitation plus profonde des couches applicatives, d’infrastructure et de virtualisation.
Phantom Taurus illustre cette bascule. D’abord axées sur la collecte d’e-mails sensibles, ses campagnes ont évolué vers un ciblage direct de bases de données et de serveurs web, à des fins de collecte et d’exfiltration. Son malware NET-STAR s’appuie sur des techniques avancées de contournement, faisant peser un risque significatif sur les organisations exposant une infrastructure web.
De même, nous avons observé une campagne de persistance, menée sur près d’un an, visant des organisations IT, SaaS et d’externalisation de processus métiers (suivie par Unit 42 sous le cluster d’activité CL-STA-0242). Le groupe à l’origine de cette campagne a compromis des plateformes de virtualisation opérées par des prestataires de services IT et déployé le malware BRICKSTORM, qui dissimulait le trafic CnC au sein de sessions web chiffrées ordinaires, rendant la détection via la surveillance réseau nettement plus difficile. La CISA a publiquement attribué l’activité BRICKSTORM à des acteurs soutenus par l’État chinois.
Ces évolutions confirment un mouvement de fond : un éloignement de la collecte au niveau « utilisateur » au profit de compromissions plus profondes d’infrastructures et d’environnements virtualisés, où l’accès de long terme est à la fois plus durable et plus difficile à détecter.
Corée du Nord : l’instrumentalisation des RH (Partie 1)
En 2025, les activités associées à la Corée du Nord sont restées un défi persistant pour les entreprises. Plusieurs campagnes de longue durée se sont poursuivies malgré une couverture médiatique abondante, des actions des forces de l’ordre et des mesures de sanctions multilatérales.
Unit 42 a suivi au moins deux campagnes :
- Wagemole – Des opérateurs nord-coréens ont obtenu des emplois à distance non autorisés au sein d’organisations américaines et européennes, puis ont discrètement redirigé les revenus vers le régime. L’accès acquis via ces rôles de sous-traitants ou d’employés a facilité à la fois des paiements financiers non autorisés et des activités d’espionnage. Rendue publique pour la première fois en 2023, Wagemole est restée active en 2025, et nous avons identifié puis expulsé l’activité associée dans plus de 20 environnements d’entreprise.
- Contagious Interview – Depuis au moins 2022, des opérateurs ciblent des développeurs logiciels et du personnel IT via de faux entretiens d’embauche, qui délivrent des malwares au travers d’exercices de code. Rien qu’en 2025, nous avons supprimé des infections Contagious Interview sur plus de 10 réseaux d’entreprise, illustrant les risques liés à l’exécution de code non vérifié sur de tels systèmes.
Iran : l’instrumentalisation des RH (Partie 2)
En 2025, l’activité associée à l’Iran est restée élevée, plusieurs groupes poursuivant des opérations contre des secteurs stratégiques. Screening Serpens et Curious Serpens se distinguent tout particulièrement : tous deux ont utilisé des leurres liés à l’emploi pour cibler des acteurs de l’aéronautique et des fournisseurs de communications par satellite. Cette activité s’inscrit dans l’intérêt de longue date de l’Iran pour les organisations qui manipulent des informations techniques et opérationnelles sensibles.
Unit 42 a suivi les campagnes suivantes :
- Screening Serpens (ou Smoke Sandstorm, UNC1549) – Ce groupe a visé des organisations gouvernementales au Moyen-Orient en créant de faux portails de recrutement imitant des grands noms de l’aéronautique et de la défense. Ces sites délivraient des malwares présentés comme des pièces de candidature, souvent signés avec des certificats de code valides afin de renforcer leur crédibilité. Des erreurs de sécurité opérationnelle ont permis aux chercheurs d’Unit 42 d’analyser l’intégralité de la chaîne d’infection, qui amenait les candidats à télécharger un fichier infecté ou un ensemble de documents compromis.
- Curious Serpens (ou APT33, Peach Sandstorm) – Curious Serpens a ciblé un opérateur de communications via des leurres de recrutement envoyés par e-mail et publiés sur des sites dédiés. L’opération a permis d’installer un backdoor modulaire capable de collecter du renseignement et de préparer le déploiement de payloads ultérieurs. Les opérateurs s’appuyaient sur des exécutables légitimes signés, le side-loading de DLL et des techniques de contournement, signe d’un investissement continu dans un arsenal spécialisé conçu pour échapper aux contrôles de sécurité modernes.
Dans le cadre d’une enquête sur Screening Serpens, un attaquant a approché un employé via LinkedIn (puis par e-mail), en lui envoyant un CV personnalisé qui a installé un malware et permis le recours à des outils légitimes de gestion à distance. Une fois à l’intérieur, l’opérateur a collecté des identifiants, cartographié l’environnement, déployé un backdoor sur mesure et tenté d’effacer les traces de son activité – signe d’une priorité donnée à la persistance et à la furtivité.
Des thématiques de recrutement réalistes, associées à des binaires signés, augmentent la probabilité que les victimes ouvrent des fichiers malveillants. Cela souligne la nécessité, pour les secteurs sensibles, de surveiller étroitement l’activité liée au recrutement et de vérifier tout document ou code provenant de sources externes.
Adoption de l’IA par des acteurs étatiques
Les preuves d’une adoption de l’IA à grande échelle par des acteurs étatiques restent limitées, mais 2025 a fourni les premiers signaux d’une intégration progressive dans certaines opérations. Une grande partie de cette activité échappe à l’observation des défenseurs, car nombre de cas d’usage probables (développement de malwares, génération d’infrastructures ou analyse de données exfiltrées) se déroulent hors des environnements d’entreprise et en dehors des périmètres de visibilité habituels. Mais tandis que les capacités progressent, le fait de comprendre où et comment les États expérimentent avec l’IA devient essentiel pour anticiper l’évolution des modes opératoires.
Les attaquants semblent particulièrement intéressés par l’IA pour renforcer la persistance et établir des points d’ancrage plus durables. Les opérateurs étatiques s’appuient de plus en plus sur des points d’entrée fondés sur l’identité et la crédibilité, ainsi que sur des compromissions plus profondes d’infrastructures applicatives et virtualisées. Si ces méthodes d’accès sont déjà difficiles à valider pour les défenseurs, l’IA devrait encore les rendre plus efficaces – et plus difficiles à neutraliser.
L’un des exemples publics les plus évidents est apparu en juillet. Dans un avis CERT-UA, les autorités ukrainiennes ont indiqué qu’un malware présumé russe – LAMEHUG –, utilisait un LLM pour générer des instructions CnC via une API. Attribuée à Fighting Ursa (ou APT28, Fancy Bear), cette activité remplaçait l’opérateur humain par un workflow automatisé.
Les opérateurs nord-coréens ont également montré des signes d’expérimentation. Dans le cadre des recherches d’Unit 42 associées à la campagne Wagemole, les enquêteurs ont identifié des comptes nord-coréens présumés utilisant des services de manipulation d’images pour créer des deepfakes dans le cadre de fraudes à l’emploi. Dans une opération connexe rappelant Contagious Interview, les attaquants ont fabriqué de toutes pièces une entreprise et l’ont déployée sur plusieurs réseaux sociaux à l’aide d’identités générées par IA, de comptes réaffectés et de profils modifiés appartenant à de vrais professionnels. Résultat : une vitrine corporate convaincante, conçue pour renforcer la confiance et améliorer le taux de réussite d’opérations d’accès axées sur le recrutement.
Contre-mesures : Se défendre contre les adversaires étatiques
Concentrez les défenses sur les chemins d’accès, les couches d’infrastructure et les canaux de confiance que les opérateurs étatiques exploitent pour obtenir – et conserver – un accès à long terme.
- Renforcez les contrôles sur les workflows d’identité et de recrutement – Durcissez la vérification lors de l’intégration des sous-traitants et des recrutements externes afin d’identifier les personas synthétiques, les deepfakes et autres leurres avant qu’ils n’atteignent les systèmes métier.
- Étendez la surveillance aux infrastructures applicatives et virtualisées – Créez des baselines et journalisez l’activité sur les plateformes de virtualisation, les applications exposées au web et les environnements fournisseurs. Déclenchez des alertes sur les écarts susceptibles de révéler une persistance ou une latéralisation.
- Renforcez et surveillez l’usage des outils et canaux de confiance – Examinez l’utilisation des binaires signés, du trafic chiffré, des outils de gestion à distance et des plateformes collaboratives. Signalez les schémas évocateurs d’un détournement d’identifiants ou d’une activité furtive.
- Instrumentez et gouvernez l’activité IA dans les workflows sensibles – Limitez les services d’IA autorisés à interagir avec les identités, le code source ou des données sensibles. Tracez leur usage et analysez les schémas anormaux pouvant indiquer une création automatisée de personas ou des opérations pilotées par IA.
3. Au cœur de l’intrusion
Cette section détaille les comportements observés dans les enquêtes de réponse à incident menées par Unit 42 en 2025. Nous structurons ces enseignements autour de quatre dimensions, afin de montrer ce que font les attaquants – et pourquoi ils réussissent :
- La surface d’attaque – Là où les attaquants frappent. Les intrusions restent rarement cantonnées à un seul « couloir » ; elles s’étendent désormais, en parallèle, aux terminaux, aux infrastructures cloud et aux couches d’identité.
- Le point d’entrée – La faille dans laquelle ils s’engouffrent. Le phishing et l’exploitation de vulnérabilités arrivent à égalité parmi les principaux vecteurs d’accès initial (22 %). Les attaquants sont pragmatiques : ils exploitent aussi souvent l’erreur humaine que les systèmes non corrigés.
- La vélocité – La vitesse à laquelle ils se déplacent. Si les délais moyens varient, le groupe des attaquants les plus rapides accélère, ce qui réduit d’autant plus la fenêtre d’action pour une défense efficace.
- Les impacts – Le coût pour la victime. Cette année marque un basculement : moins de chiffrement, davantage de vol de données et d’extorsion.
3.1. La surface d’attaque : les intrusions traversent l’entreprise
Les attaques restent rarement confinées à une même surface
Le tableau 1 recense les principales surfaces d’attaque impliquées dans les investigations d’Unit 42 en 2025 : terminaux, réseaux, services cloud, systèmes d’identité, applications, e-mail et activité pilotée par l’utilisateur. Ces catégories correspondent aux grandes couches opérationnelles sur lesquelles nous avons observé l’activité des attaquants. Les intrusions étant fréquemment déployées sur plusieurs couches, ces catégories ne sont pas exclusives et ne totalisent pas 100 %. Un même incident peut en mobiliser plusieurs simultanément.
| Surface d’attaque | Pourcentage |
|---|---|
| Identités | 89 % |
| Terminaux | 61 % |
| Réseau | 50 % |
| Humain | 45 % |
| 27 % | |
| Application | 26 % |
| Cloud | 20 % |
| SecOps | 10 % |
| Base de données | 1 % |
Tableau 1. Surfaces d’attaque impliquées dans les intrusions, indiquant le pourcentage d’incidents dans lesquels chaque surface a été touchée.
Tous incidents confondus, 87 % ont mobilisé au moins deux surfaces d’attaque. 67 % en ont impliqué trois ou plus. Dans 43 % des cas, l’activité s’est étendue à quatre surfaces ou davantage – et, dans certains cas, jusqu’à huit. Si la répartition varie d’une année à l’autre, la conclusion reste la même : une intrusion n’est que rarement cantonnée à une seule surface ; elle s’étend au gré de l’accès obtenu et des opportunités.
L’identité occupe une place centrale dans de nombreux incidents (près de 90 % d’entre-eux), ce qui en fait l’une des surfaces d’attaque les plus fréquemment impliquées dans nos dossiers.
Les activités ciblant l’humain apparaissent également très souvent (dans 45 % des cas). Ce constat fait écho aux enseignements de notre Social Engineering Report, qui met en évidence le rôle toujours décisif de l’interaction humaine dans la réussite des intrusions.
La surface d’attaque du navigateur : l’interface humaine au centre du viseur
Cette année, le navigateur a joué un rôle dans 48 % des investigations (contre 44 % en 2024). Cela reflète une réalité simple : des sessions web ordinaires exposent les utilisateurs à des liens malveillants, à des pages de collecte d’identifiants et à du contenu injecté en cas de contrôles locaux insuffisants.
Dans le cadre d’un incident ClickFix sur lequel nous avons enquêté, des attaquants ont redirigé un employé d’un grand groupe industriel vers un site maquillé, via un empoisonnement SEO alors qu’il cherchait un restaurant. Le site s’appuyait sur des invites d’ingénierie sociale pour convaincre l’employé d’exécuter du code malveillant copié dans son presse-papiers, après quoi l’attaquant a tenté d’exécuter un malware en mémoire. L’objectif semblait être le téléchargement d’un infostealer, sans que nous ayons pu confirmer le payload exact.
Une acteur mondial des technologies médicales a subi une intrusion qui a, elle aussi, débuté par un empoisonnement SEO. Un administrateur a accédé à un site maquillé hébergeant une version malveillante d’un outil d’administration, puis le lien a été envoyé à un administrateur de domaine via la messagerie interne. Le logiciel compromis a alors été exécuté. Après avoir établi un point d’appui, l’attaquant a déployé un ransomware sur des systèmes clés, exfiltré des données et formulé une demande de rançon. La perturbation qui s’en est suivie a affecté, sur une période prolongée, la fabrication, la distribution, l’expédition et le traitement des commandes, le temps de rétablir les systèmes.
Dans un premier cas, des applications non gérées et des protections navigateur limitées ont permis une tentative d’exécution initiale avant endiguement. Dans un second, l’exécution, avec privilèges, d’un outil d’administration malveillant a facilité le déploiement du ransomware et entraîné une perturbation opérationnelle plus large.
La surface d’attaque du Cloud : compromission du pipeline
Dans la continuité de l’an dernier, environ 35 % de nos investigations ont impliqué des actifs cloud ou SaaS. Dans ces dossiers, l’enquête a nécessité de collecter des logs ou des images depuis des environnements cloud, ou d’analyser l’activité au sein d’applications hébergées par des tiers – signe que l’intrusion a touché des actifs ou des workflows hébergés dans le cloud.
Les faiblesses observées côté cloud étaient diverses, mais même des lacunes basiques ont pesé sur la trajectoire de l’attaque une fois l’accès établi. Dans le cadre d’une enquête, des identifiants sensibles avaient été exposés dans un dépôt public, élargissant les chemins d’accès possibles vers les environnements cloud.
Dans une autre, des attaquants ont ciblé un développeur sur un forum open source et l’ont convaincu de télécharger un outil de débogage piégé – transformant une collaboration de routine en point d’entrée vers une compromission cloud.
L’outil compromis a donné aux attaquants l’accès aux identifiants stockés par le développeur. Ils s’en sont servis pour atteindre des systèmes backend et déclencher des retraits non autorisés sur plusieurs réseaux blockchain. Ce cas montre comment un accès obtenu via des workflows de développement cloud natif peut être détourné pour atteindre des systèmes sensibles et produire un impact substantiel.
3.2. Le point d’entrée : un accès initial par des voies prévisibles
En 2025, l’accès initial a suivi un schéma bien connu : la plupart des intrusions commencent par un ensemble resserré de vecteurs, désormais bien documentés. La figure 1 présente la répartition de ces voies d’accès sur les cinq dernières années et met en évidence un constat régulier : le phishing et l’exploitation de vulnérabilités logicielles figurent, année après année, parmi les principaux points d’entrée. Si l’équilibre entre ces vecteurs varie d’une année à l’autre, la tendance, elle, reste stable : les attaquants s’appuient toujours sur un petit nombre de techniques éprouvées pour obtenir leur premier point d’appui.
Figure 1. Les vecteurs d’accès initiaux (2021-2025). La méthodologie de collecte des données d’Unit 42 a été ajustée afin d’apporter davantage de granularité, ce qui a réduit le poids de la catégorie « Autres ». Cette granularité accrue introduit également de nouvelles catégories, telles que « Menace interne » et « Abus de relations et d’outils de confiance » Lorsque des données ne sont pas disponibles pour une année donnée, cela est indiqué par « N/A ».
Phishing et vulnérabilités : le duo de tête
Le phishing et l’exploitation de vulnérabilités sont les vecteurs d’accès initial les plus fréquents : chacun représente 22% des accès initiaux observés dans les incidents sur l’année 2025. Si ces deux méthodes arrivent à égalité, c’est pour une raison simple : elles fonctionnent très bien.
Les campagnes de phishing affichent de meilleurs taux de conversion, l’IA aidant les attaquants à produire des leurres crédibles, sans erreurs, capables de contourner les filtres traditionnels et d’engager plus efficacement les utilisateurs. Dans le même temps, l’exploitation de vulnérabilités s’accélère : les surfaces d’attaque s’étendent et l’automatisation permet aux adversaires de scanner et d’exploiter des faiblesses plus vite que les défenseurs ne peuvent patcher. Comme ces deux vecteurs offrent une voie fiable vers la compromission, les attaquants les utilisent massivement et en parallèle.
Au-delà du phishing et de l’exploitation de vulnérabilités, notre jeu de données sur cinq ans fait ressortir plusieurs tendances marquantes pour les autres vecteurs clés d’accès initial :
- Les identifiants déjà compromis reculent à 13 % en 2025, inversant la hausse observée en 2023 et 2024.
- La catégorie « Autres formes d’ingénierie sociale » progresse nettement sur la période et passe de 3 à 11 % entre 2021 et 2025, y compris après l’ajout d’une granularité plus fine. Une grande partie de cette hausse semble s’aligner sur des tactiques d’interaction directe, comme les techniques de manipulation du support utilisées par des groupes tels que Muddled Libra.
- La force brute recule de 13 à 8 %, mettant fin à une progression pluriannuelle et suggérant un renforcement des contrôles d’identité dans de nombreuses organisations.
- Les configurations IAM erronées restent un vecteur d’accès initial récurrent, se situant entre 1 et 4 % sur cette période de cinq ans.
L’exploitation de vulnérabilités relève de l’opportunité – pas de la nouveauté
Les attaquants ont recours à l’exploitation de vulnérabilités lorsqu’elle leur apporte un avantage opérationnel clair. Sur cinq ans, la tendance montre des acteurs qui s’ajustent directement au type de faiblesses à leur portée et à l’effort nécessaire pour transformer ces faiblesses en accès.
Lorsque des failles à fort impact émergent dans des systèmes largement déployés, les opérateurs se déplacent vite : la portée potentielle est considérable et le travail pour automatiser l’exploitation reste, souvent, relativement limité.
Ce schéma illustre le pragmatisme des attaquants : ils exploitent, au moment où l’opportunité se présente, ce qui est le plus accessible et le plus rentable.
Plus l’environnement est vaste, plus la surface exploitable s’élargit
Les données suggèrent que les plus grandes entreprises font face à un équilibre différent en matière de risque d’accès initial. En 2025, les vulnérabilités représentent un peu plus d’un quart (26 %) des accès initiaux dans ces environnements, contre 17 % pour le phishing. Cela indique que les grandes organisations réduisent peut-être leur exposition au phishing grâce à un filtrage e-mail plus robuste, davantage de sensibilisation et des contrôles d’identité renforcés. Ces mesures n’éliminent pas le risque, mais elles en réduisent vraisemblablement l’efficacité – en particulier par rapport aux structures plus petites.
À l’inverse, des environnements vastes et distribués, à gouvernance partagée, mêlant systèmes hérités et cycles de patching inégaux, facilitent la persistance de faiblesses exploitables, même dans des organisations disposant de moyens importants. À cette échelle, la complexité elle-même augmente la probabilité que certaines vulnérabilités restent sans correction, ce qui explique pourquoi l’exploitation apparaît plus souvent comme vecteur d’accès initial.
3.3. La vélocité : les plus rapides des attaques le sont toujours plus
Le délai jusqu’à l’exfiltration (à savoir le temps entre la compromission initiale et le vol de données avéré) s’est nettement contracté sur le segment le plus rapide. En 2025 (année civile), le quartile le plus rapide des intrusions a atteint l’exfiltration en un peu plus d’une heure (72 minutes), contre près de cinq heures (285 minutes) en 2024, comme l’illustre la figure 2. La part d’incidents aboutissant à une exfiltration en moins d’une heure a également progressé, passant de 19 % en 2024 à 22 % en 2025.
Figure 2. Accélération des vitesses d’attaque du premier quartile entre 2024 et 2025.
Sur l’ensemble du jeu de données, le délai médian jusqu’à l’exfiltration (MTTE) s’établit à deux jours. C’est plus long que pour les incidents les plus rapides, mais même cette médiane rappelle à quelle vitesse des attaquants peuvent accéder aux données (et les extraire) une fois à l’intérieur de l’environnement.
Les défenseurs doivent donc se préparer à deux réalités : des intrusions qui basculent de la compromission à l’exfiltration en minutes ou en heures, et des opérations plus lentes et méthodiques, étalées sur plusieurs jours, avec reconnaissance approfondie et persistance durable.
3.4. L’impact : l’extorsion ne se limite plus au chiffrement
Le chiffrement apparaît dans 78 % des cas d’extorsion en 2025, en net recul par rapport aux niveaux proches, voire supérieurs, à 90 % observés entre 2021 et 2024 (voir figure 2). C’est la variation annuelle la plus marquée de l’ensemble du jeu de données. Le ransomware « traditionnel » n’a pas disparu, mais il n’est plus systématiquement au cœur des opérations d’extorsion.
| Tactique d’extorsion | 2021 | 2022 | 2023 | 2024 | 2025 |
|---|---|---|---|---|---|
| Chiffrement | 96 % | 90 % | 89 % | 92 % | 78 % |
| Vol de données | 53 % | 59 % | 53 % | 60 % | 57 % |
| Harcèlement | 5 % | 9 % | 8 % | 13 % | 10 % |
Tableau 2. Évolution des tactiques d’extorsion entre 2021 et 2025.
Cette baisse du chiffrement ne s’accompagne pas d’une hausse nette d’une autre tactique prise isolément. Elle traduit plutôt un changement de logique : les attaquants considèrent de plus en plus le chiffrement comme une option, et non comme une étape indispensable. En 2025, plusieurs intrusions ont donné lieu à une extorsion alors même que les victimes conservaient l’accès à leurs systèmes. Dans ces cas, l’exposition des données, la pression directe – ou les deux – suffisaient à créer un levier, sans verrouillage des fichiers.
Le vol de données, lui, reste un élément constant de l’extorsion : il apparaît dans plus de la moitié des cas, année après année. Les acteurs de la menace s’appuient fréquemment sur la menace de publication sur des sites de leak et, dans certains cas, sur la revente des données dérobées pour faire pression sur les victimes – que le chiffrement ait eu lieu ou non.
Le harcèlement, bien que moins fréquent, reste une tactique récurrente. Il s’est notamment traduit par des prises de contact directes avec des employés, des menaces de publication d’informations internes ou l’affirmation que des données clients seraient revendues à d’autres acteurs en l’absence de paiement. Certains groupes ont encore renforcé la pression en contactant des clients ou des partenaires, amplifiant le coût réputationnel et la perturbation opérationnelle – alors même que les systèmes restaient accessibles.
Ces signaux confirment un basculement : l’extorsion ne dépend plus du chiffrement. Celui-ci reste important, mais les attaquants disposent désormais de plusieurs leviers fiables pour exercer une pression. Le champ des scénarios dans lesquels une extorsion peut se produire s’élargit d’autant plus. Et cela renforce une exigence : la visibilité, une réponse rapide et des pratiques robustes de gestion des données restent indispensables, que les attaquants déploient ou non un ransomware.
Le vol de données reste un levier durable
L’économie du ransomware permet de comprendre pourquoi les attaquants continuent de miser sur ces opérations. La figure 3 montre que la demande initiale médiane est passée de 1,25 million de dollars en 2024 à 1,5 million en 2025, et que les paiements médians ont également augmenté.
| 2024 | 2025 | |
|---|---|---|
| Demandes initiales de rançon (médiane) | 1,25 million $ | 1,5 million $ |
| Paiements de rançon (médiane) | 267 500 $ | 500 000 $ |
Tableau 3. Le ransomware reste une option lucrative pour les attaquants.
Rapportées au CA annuel perçu, ces demandes représentaient 0,55 % de ce chiffre, contre 2 % l’année précédente. De nombreux groupes liés aux ransomwares semblent analyser la capacité de paiement des victimes et s’en servir pour calibrer leurs exigences. Le fait de réclamer un pourcentage plus faible du CA annuel peut traduire une stratégie visant à augmenter la probabilité de paiement.
Parmi les organisations qui ont choisi de payer, les paiements médians ont progressé de 267 500 à 500 000 $, même si, en proportion du CA annuel, ils ont reculé de 0,6 à 0,26 %. L’écart entre demandes initiales et paiements finaux montre l’ampleur de la marge de négociation dont disposent souvent les victimes et souligne l’intérêt d’une négociation structurée pour limiter l’exposition financière.
La décision de payer reste éminemment contextuelle : elle dépend de l’impact opérationnel, des contraintes réglementaires, des obligations juridiques et des impératifs de continuité. Dans les dossiers de 2025 où une négociation a eu lieu, la réduction médiane entre la demande initiale et le paiement final est passée de 53 à 61 %. Cela démontre que des négociateurs expérimentés parviennent fréquemment à réduire la facture, même lorsque la « tarification » globale des attaquants continue de grimper.
De nombreux groupes fonctionnent désormais comme de véritables organisations, avec des rôles définis, des programmes d’affiliation et des playbooks de négociation reproductibles. Certains cultivent même une forme « d’image de marque » via leurs communications sur le dark web, en se présentant comme des interlocuteurs fiables, voire « professionnels ».
Cette logique de marque va jusqu’au respect des engagements : dans notre jeu de données 2025, les acteurs de la menace ont tenu leurs promesses (par exemple, fournir une clé de déchiffrement ou prétendument supprimer des données volées) dans 68 % des cas où ils s’étaient engagés. Pour les défenseurs, ces schémas reconnaissables peuvent constituer un levier – sans jamais supprimer le risque inhérent à toute interaction avec des acteurs criminels.
Les pratiques de restauration ont également un impact sur l’issue des extorsions. Environ 41 % des victimes ont pu restaurer leurs systèmes via des sauvegardes sans avoir à payer, ce qui a réduit l’impact opérationnel du chiffrement sans pour autant supprimer les interruptions. Même en cas de restauration, beaucoup d’organisations ont dû composer avec des reconstructions de systèmes, des actions d’endiguement et d’autres délais avant un retour à la normale. La restauration reste par ailleurs précaire : dans 26 % des cas d’extorsion, les attaquants ont infecté les sauvegardes, ajoutant une couche de perturbation supplémentaire.
Que le chiffrement soit neutralisé par une restauration, ou que les sauvegardes échouent, la menace de divulgation reste intacte et pèse toujours sur les victimes. C’est pourquoi le vol de données reste au cœur des opérations d’extorsion.
4. Recommandations pour les équipes de sécurité
Cette section met en évidence les faiblesses systémiques qui rendent les attaques possibles, ainsi que les mesures concrètes nécessaires pour les enrayer. En traitant les causes profondes plutôt que leurs seuls symptômes, les organisations peuvent relever durablement leur niveau de protection face aux menaces courantes comme émergentes.
4.1 Pourquoi les attaques aboutissent : les facteurs systémiques
La réussite des attaquants tient rarement à des exploits zero-day. Dans les incidents traités en 2025, nous avons constaté que, dans plus de 90 % des cas, des lacunes évitables de couverture et des contrôles appliqués de manière inégale ont contribué directement à l’intrusion.
Ces failles conditionnent la facilité avec laquelle un attaquant obtient un accès initial, la vitesse à laquelle il progresse par latéralisation, et la capacité des défenseurs à détecter et à réagir à temps. Dans les investigations de cette année, trois conditions systémiques reviennent de façon récurrente.
1. Visibilité lacunaire : sans contexte, la détection prend du retard
Beaucoup d’organisations n’exploitent pas la télémétrie nécessaire pour repérer les signaux des premières phases d’une intrusion. Des indicateurs clés d’accès initial et d’activité précoce passent souvent inaperçus, le SOC n’ayant pas opérationnalisé ces signaux entre les couches terminal, réseau, cloud et SaaS. Résultat : un manque de contexte. Les défenseurs voient des événements isolés, sans disposer des liens qui permettent d’identifier une intrusion en cours.
Cette fragmentation contraint les équipes à reconstituer l’attaque à la main à partir d’outils hétérogènes – un délai dont les attaquants tirent parti. Dans 87 % des cas, les enquêteurs d’Unit 42 ont dû croiser des éléments issus d’au moins deux sources distinctes pour établir les faits – et jusqu’à dix dans les cas les plus complexes. L’absence de visibilité unifiée a, de façon récurrente, ralenti la détection, laissant aux adversaires le temps d’amorcer la latéralisation avant que les défenseurs ne disposent d’une vue complète.
2. Complexité environnementale : la voie royale pour les attaquants
Les référentiels de sécurité sont rarement appliqués partout, de manière homogène. Avec le temps, la dérive de l’environnement – alimentée par les systèmes hérités, l’adoption de nouvelles technologies ou les fusions-acquisitions – rend difficile l’application d’un standard unique à l’échelle de l’entreprise.
Dans de nombreux cas, des contrôles critiques comme la protection des terminaux étaient pleinement déployés dans une entité... mais absents ou dégradés dans une autre. Cette hétérogénéité ouvre la voie pour les attaquants. Dans plus de 90 % des brèches, ce sont des erreurs de configuration ou des lacunes de la couverture qui ont rendu l’intrusion possible, bien plus que des exploits inédits.
3. Identité : les privilèges trop larges alimentent la latéralisation
Dans l’ensemble de nos investigations, les faiblesses liées à l’identité ont, à maintes reprises, transformé un point d’appui initial en accès élargi. Le problème de fond tenait souvent à une confiance excessive : des privilèges et des chemins d’accès trop permissifs, ou maintenus bien après qu’ils aient cessé d’être nécessaires.
Les attaquants ont procédé à une escalade des privilèges en abusant de rôles historiques jamais retirés et de comptes de service sur-autorisés. Plutôt que de « forcer l’entrée », ils ont progressé en exploitant des accès valides, là où l’organisation avait laissé s’installer une confiance excessive.
Ces défaillances traduisent une dérive des identités. À mesure que les droits s’accumulent et que les exceptions perdurent, les intrus rencontrent de moins en moins d’obstacles. Près de 90 % des incidents renvoient à un élément lié à l’identité, soit comme source critique de l’investigation, soit comme vecteur d’attaque principal.
4.2. Recommandations pour les équipes de sécurité
Les recommandations qui suivent mettent l’accent sur des mesures concrètes pour traiter les conditions systémiques décrites plus haut.
1. Doter les SecOps de capacités accrues de détection et réponse
À l’heure où les attaques les plus rapides exfiltrent des données en l’espace d’une heure environ, les SecOps doivent agir à vitesse machine. Cela suppose de doter le SOC d’une visibilité exhaustive à l’échelle de l’entreprise, de capacités IA pour distinguer le signal du bruit, et d’automatisations à même d’orchestrer une réponse et une remédiation immédiates. L’adoption des six capacités ci-dessous place votre SOC dans les meilleures conditions de réussite :
Ingérer l’ensemble des données de sécurité pertinentes – Les attaquants n’opèrent pas en silo. Mais les défenseurs, eux, ont tendance à le faire. En 2025, les angles morts de visibilité, en particulier sur les couches SaaS, identité cloud et automatisation, ont été un facteur majeur de réussite des attaquants. La télémétrie critique existait souvent, mais restait confinée dans des systèmes disparates, empêchant de corréler des dérives d’identité avec des sorties d’automatisation, ou avec des artefacts stockés dans le navigateur, tels que des jetons de session.
Pour détecter les intrusions modernes, les organisations doivent ingérer et normaliser, dans une vue unifiée, les signaux issus des fournisseurs d’identité, des plateformes cloud et des applications SaaS. Cette consolidation referme les points faibles exploités par les attaquants et permet d’identifier plus tôt les routes d’escalade. Qu’il s’agisse de détection par règles ou assistée par l’IA, la qualité des enseignements dépend entièrement de l’exhaustivité des données qui l’alimentent.
Prévenir, détecter et prioriser les menaces grâce aux capacités pilotées par IA – Des volumes d’alertes élevés et des outils fragmentés permettent aux attaquants de se dissimuler en dispersant leur activité sur différentes systèmes. Sans corrélation, ces actions semblent isolées, ce qui retarde l’escalade. Des capacités pilotées par IA sont indispensables pour relier ces signaux hétérogènes et les convertir en une visibilité opérationnelle unifiée.
Les analyses comportementales font émerger des anomalies discrètes, comme un usage atypique de jetons ou une latéralisation via des automatisations cloud, que la détection basée sur des règles peine souvent à capturer.
L’IA renforce la défense en corrélant les événements entre les couches identité, terminal, cloud et réseau, et en priorisant les incidents à haute fiabilité plutôt que le bruit de fond. Les équipes sécurité peuvent ainsi distinguer instantanément une attaque coordonnée d’une activité de routine, et s’assurer que les analystes concentrent leurs efforts sur les menaces les plus critiques plutôt que sur les faux positifs.
Obtenir une réponse en temps réel grâce à l’automatisation – Les retards d’endiguement proviennent souvent d’une responsabilité mal définie et d’étapes de validation manuelles qui ne peuvent pas suivre le rythme de l’automatisation côté attaquant. Une réponse efficace suppose d’attribuer une autorité explicite aux actions d’endiguement automatisées (révoquer des tokens ou isoler des workloads) afin que l’exécution soit lancée sans hésitation.
En remplaçant les décisions ad hoc par des playbooks standardisés et validés, les organisations s’assurent que la réponse suit une séquence auditable. Mais pour tenir le rythme des menaces actuelles, l’IA agentique doit être déployée comme catalyseur ultime de défense. Ces systèmes autonomes investiguent dynamiquement des alertes complexes, en corrélant les données entre domaines à vitesse machine afin d’obtenir une vision complète.
Une fois la validation effectuée, les agents sont autorisés à exécuter des actions d’endiguement dynamiques et chirurgicales : isolement des systèmes affectés via la microsegmentation, révocation automatique d’identifiants compromis, entre autres. Cette approche disciplinée et intelligente réduit fortement la dérive opérationnelle, limite le temps de présence des attaquants et évite qu’une compromission isolée ne dégénère en incident plus large.
Passer de la réactivité à la proactivité – Pour sortir de leur posture de défense réactive, les organisations doivent aller au-delà des pentests traditionnels et adopter des tests adverses en continu. Les audits ponctuels capturent rarement l’interaction entre dérive des identités et mauvaises configurations cloud, pourtant exploitées dans le cadre d’intrusions réelles. Les défenseurs doivent valider le comportement des contrôles en conditions réalistes, afin de s’assurer que les pipelines de télémétrie et les workflows de réponse fonctionnent comme prévu.
La proactivité s’étend aussi à la reprise. Les organisations résilientes vérifient que les systèmes sont exempts de tout accès résiduel (identifiants compromis ou configurations altérées) avant de rétablir les services. En veillant à ce que la remédiation traite les causes profondes, plutôt que de simplement restaurer des snapshots obsolètes, elles réduisent le risque de réinfection rapide et renforcent la résilience à long terme.
Élever le SOC pour propulser les résultats – En phase d’incident, un endiguement incohérent ou une responsabilité mal définie crée des ouvertures dont les attaquants profitent pour rétablir l’accès. Les SOC les plus performants éliminent cette variabilité en s’assurant que les actions de réponse sont appliquées de manière homogène, par tous les analystes et à tout moment.
Cette constance sous pression est décisive : elle évite qu’une compromission isolée ne se transforme en crise à grande échelle.
Pour y parvenir, il faut décloisonner les opérations entre Sécurité, IT et DevOps. Les playbooks doivent refléter le fonctionnement réel des systèmes contemporains – et non la manière dont ils ont été conçus à l’origine – afin que les actions automatisées s’alignent sur la logique métier. Le fait de confier aux analystes un périmètre plus large, comme la réponse à incident de bout en bout plutôt que le seul tri des alertes, améliore la rétention, accroît la polyvalence et produit des résultats concrets pour l’activité.
Renforcer les capacités avec un service d’astreinte pour la réponse à incident – Un bon service d’astreinte ne se limite pas à l’intervention en urgence. Pour conserver une longueur d’avance, les organisations doivent tester et valider leurs contrôles face aux comportements réels observés sur le terrain. Des évaluations récurrentes en sécurité offensive, sécurité de l’IA, processus SOC et sécurité cloud permettent de confirmer que les pipelines de télémétrie et les workflows de réponse fonctionnent comme prévu, dans des conditions d’attaque réalistes.
Votre partenaire doit vous offrir un accès rapide à des experts pour des contrôles de préparation proactifs, de l’ingénierie de détection et des validations, afin de s’assurer que les améliorations défensives tiennent dans la durée. En associant des tests continus à une expertise mobilisable, les organisations renforcent leur résilience.
En alignant votre SOC sur ces principes clés, vous transformez votre dispositif de défense en un moteur de réponse à haute vélocité, capable de prendre de vitesse les adversaires et d’endiguer les menaces avant toute escalade.
2. Adopter le Zero Trust pour réduire l’aire d’impact
Dans un environnement où l’identité est devenue la principale surface d’attaque, le Zero Trust est une nécessité stratégique. L’objectif est d’éliminer les relations de confiance implicites entre utilisateurs, terminaux et applications, et de valider en continu chaque étape d’une interaction numérique.
Dans les faits, la mise en œuvre du Zero Trust est complexe. Mais même des progrès modestes suffisent à réduire la surface d’attaque, à limiter la latéralisation et à minimiser l’impact d’un accès initial à votre environnement. En supprimant l’hypothèse de sécurité « au sein du périmètre », les défenseurs contraignent les attaquants à travailler plus dur à chaque instant, ce qui ralentit leur progression et multiplie les opportunités de détection.
Contrôler en continu les utilisateurs, les terminaux et les applications – Les attaquants exploitent souvent la confiance statique qui persiste après une première connexion. Une fois à l’intérieur, ils utilisent des tokens de session volés ou des identifiants valides pour se faire passer pour des utilisateurs légitimes, en contournant parfois entièrement les contrôles périmétriques. Les contrôles ponctuels « à l’entrée » ne suffisent plus.
La vérification continue traite la confiance comme un paramètre dynamique, avec des décisions réévaluées à mesure que les conditions évoluent au cours d’une session. Valider en temps réel le contexte d’identité, l’état du terminal et le comportement applicatif permet de détecter le détournement d’une session légitime ou des écarts de comportement. Résultat : un compte ou un terminal compromis ne reste utile aux attaquants que sur une période limitée, ce qui réduit les possibilités d’élargir l’accès ou de préparer l’exfiltration.
Appliquer le principe du moindre privilège pour limiter les déplacements des attaquants – Les autorisations excessives sont des catalyseurs pour les attaquants. Dans de nombreux incidents survenus en 2025, des intrus ont contourné les contrôles internes en tirant parti de la dérive des identités, en exploitant des privilèges accumulés et des rôles historiques que les organisations n’avaient pas supprimés. Plutôt que de s’appuyer sur des exploits complexes, ils ont progressé par latéralisation via des chemins d’accès valides mais surprovisionnés.
L’application du moindre privilège réduit cette surface d’attaque en limitant utilisateurs, services et applications aux seuls accès nécessaires à leur fonction. Cela doit aller au-delà des utilisateurs humains et inclure les identités machine et les comptes de service, qui conservent souvent des droits étendus, peu surveillés. Supprimer les droits superflus élimine les voies d’accès directes sur lesquelles s’appuient les attaquants, les forçant à recourir à des techniques plus visibles – et donc plus faciles à détecter.
Appliquer une inspection homogène sur les flux de confiance comme sur les flux non fiables – Appliquer une inspection homogène sur les flux de confiance comme sur les flux non fiables – Les attaquants savent que si le périmètre est surveillé, le trafic interne « est-ouest » entre workloads circule souvent sans inspection. Ils exploitent cette confiance en s’appuyant sur des connexions internes et chiffrées pour se déplacer latéralement et préparer des données sans déclencher d’alertes.
Pour obtenir une analyse des menaces homogène et omniprésente, les organisations doivent consolider l’ensemble de la sécurité réseau, cloud et SASE sur une plateforme unifiée. Cet environnement fournit partout une inspection complète de la couche 7, en appliquant automatiquement les politiques via un plan de gestion unique.
Cette consolidation permet un basculement stratégique vers des services de sécurité avancés, fournis depuis le cloud. Elle autorise une analyse inline, en temps réel, de l’ensemble des flux – y compris le déchiffrement et l’inspection, critiques, du trafic circulant entre workloads internes. Cette capacité élimine les zones d’ombre exploitées par les attaquants, en stoppant de manière proactive le phishing inconnu, les malwares zero-day et les activités CnC furtives.
Contrôler l’accès aux données et leurs déplacements pour réduire l’impact – Dans de nombreux cas, les conséquences les plus dommageables ne se produisent pas au moment de la compromission initiale, mais lors de l’accès ultérieur aux données, de leur mise à disposition et de leur exfiltration. Les attaquants recherchent souvent des référentiels faiblement contrôlés ou des flux peu surveillés afin d’agréger discrètement des informations sensibles avant la détection.
Une gouvernance renforcée de l’accès, du partage et du transfert des données réduit ces opportunités en limitant où l’information sensible peut circuler – et sous quelles conditions. Lorsque les parcours de données sont strictement encadrés et surveillés de façon homogène, les attaquants disposent de moins d’options pour préparer ou extraire des actifs de valeur, ce qui réduit l’ampleur et la gravité des pertes potentielles, même en cas de compromission.
En éliminant méthodiquement la confiance implicite, vous privez les attaquants de la mobilité sur laquelle ils s’appuient. Ce faisant, chaque point de compromission produit un incident contenu, et non une crise à grande échelle.
3. Neutraliser les attaques liées à l’identité grâce à une gestion plus robuste des identités et des accès
Si l’identité s’impose comme le nouveau périmètre de sécurité, elle reste trop souvent mal protégée. Les lacunes dans ce domaine ont été un facteur déterminant dans plus de la moitié des intrusions investiguées en 2025, principalement parce que les référentiels d’identité se sont étendus plus vite que les contrôles censés les gouverner.
Les attaquants ont constamment progressé dans les interstices créés par cette dérive de gouvernance, en exploitant des autorisations héritées et des comptes de service non surveillés pour contourner les défenses périmétriques. Pour y remédier, les organisations doivent gérer l’identité non comme une liste statique d’identifiants, mais comme un actif opérationnel et dynamique sur l’ensemble de son cycle de vie.
Centraliser la gestion des identités humaines et machine – On ne peut gouverner que ce que l’on voit. Lorsque les données d’identité sont fragmentées entre annuaires hérités, fournisseurs cloud et environnements SaaS, les attaquants profitent des angles morts.
Regrouper identités utilisateurs et identités machine dans des annuaires de référence simplifie l’authentification et supprime des chemins d’accès « cachés», difficiles à surveiller de manière homogène. Cette consolidation doit également inclure les intégrations tierces et les connecteurs API. Ainsi, toute entité demandant un accès (personne, compte de service ou agent IA) sera visible pour les équipes sécurité. Avec un plan de contrôle unifié, une IA défensive peut corréler des anomalies de connexion avec des activités suspectes, faisant de l’identité un signal opérationnel actif plutôt qu’une simple liste d’identifiants.
Lutter contre les dérives de gouvernance grâce à une gestion continue du cycle de vie – La dérive de gouvernance désigne les changements opérationnels survenant plus rapidement que les contrôles conçus pour les encadrer. Cette réalité reste un facteur majeur pour l’effet de levier dont bénéficient les attaquants.
Les changements de rôle, les cycles de déploiement rapides et les raccourcis pris au quotidien ont creusé l’écart entre la politique écrite et les accès réels. Les droits accordés aux outils de workflow et aux connecteurs de services allaient souvent bien au-delà de ce que la politique autorisait. Cela a créé des voies d’escalade que les attaquants ont exploités via des droits hérités et des comptes de service non supervisés. Traiter l’identité comme un cycle de vie, en limitant l’automatisation aux besoins actuels et en supprimant progressivement les accès excédentaires, aide à refermer ces brèches et à restreindre la mobilité des attaquants après l’accès initial.
Détecter et répondre aux menaces liées à l’identité – L’IA défensive est la plus efficace dans les environnements où l’identité est gérée comme un actif opérationnel, et non comme un simple ensemble d’identifiants statiques. D’après nos investigations, les organisations disposant de bases solides en matière d’identité ont établi plus tôt le lien entre anomalies de connexion, activité d’automatisation et événements périphériques liés à l’identité – autant de facteurs ayant contribué à un endiguement plus rapide.
Là où la gouvernance était robuste, les pipelines de détection produisaient des indicateurs plus clairs et plus fiables, aidant les équipes à identifier plus tôt les comportements d’escalade. À l’inverse, une gouvernance faible générait du bruit et masquait ces signaux. Des revues régulières permettent de conserver des droits alignés sur les besoins réels, améliorent la précision des signaux de détection et garantissent l’efficacité des contrôles pilotés par IA.
Sécuriser l’intégrité de l’IA et des automatisations –À mesure que les organisations intègrent des agents IA et des workflows automatisés au cœur de leurs processus, ces systèmes deviennent des cibles de choix pour la manipulation. Dans le cadre de nos investigations, nous avons observé des comptes d’assistants déployés avec de larges accès par défaut, ainsi que des outils d’automatisation exécutés sans validation d’intégrité.
Pour éviter que ces outils ne deviennent des vecteurs d’attaque, les équipes sécurité doivent appliquer aux systèmes d’IA le même niveau d’exigence de gouvernance qu’aux utilisateurs humains. Cela implique notamment de valider explicitement les étapes d’automatisation avant leur mise en production, d’appliquer des contrôles d’intégrité aux workflows optimisés par l’IA et de s’assurer que les comptes d’assistants sont durcis contre les usages abusifs.
En traitant l’identité comme un système opérationnel dynamique, et non comme un annuaire statique, vous éliminez les chemins d’accès invisibles sur lesquels s’appuient les attaquants et permettez aux équipes sécurité de détecter tout détournement dès qu’il se produit.
4. Sécuriser le cycle de vie applicatif, du code au Cloud
Protéger l’entreprise moderne ne consiste pas seulement à sécuriser l’infrastructure : il faut également sécuriser l’infrastructure qui la produit.
En 2025, les attaquants ont de plus en plus ciblé la supply chain et les API cloud pour contourner les périmètres traditionnels, en injectant des vulnérabilités dans le code ou en exploitant des intégrations faibles avant même la mise en production. Pour y faire face, les organisations doivent étendre les garde-fous de sécurité dès les premières phases de développement jusqu’au runtime, en appliquant aux modèles d’IA, aux pipelines de build et au code tiers la même rigueur qu’aux systèmes internes.
Neutraliser les failles avant qu’elles n’atteignent la production – La sécurité doit suivre le rythme du développement. L’intégration de garde-fous au sein des pratiques DevOps et des pipelines d’intégration et de déploiement continus (CI/CD) permet d’identifier et de corriger, avant déploiement, les vulnérabilités du code spécifique, des composants open source et des configurations d’IA.
La même logique s’applique aux systèmes d’IA : une évaluation précoce de la sécurité et de la configuration des modèles réduit les risques en aval. Le durcissement des outils de développement et la gouvernance des dépendances open source contribuent à éliminer les points faibles que les attaquants exploitent pour hériter d’une confiance au sein des workflows métiers.
Sécuriser la supply chain logicielle et de IA – S’il ne s’agit pas du vecteur d’attaque le plus fréquent, la compromission de la supply chain produit les impacts les plus lourds – en particulier dans des organisations par ailleurs matures. Les faiblesses ds systèmes de build, des services d’intégration et des dépôts liés à l’IA permettent aux attaquants d’atteindre des environnements en aval sans « toucher » au moindre pare-feu.
Réduire cette exposition exige de stricts contrôles de la provenance. Les environnements de build et les pipelines de déploiement doivent disposer de contrôles d’identité clairs et de protections d’intégrité. Les bibliothèques logicielles externes, les connecteurs API et les composants d’IA doivent être évalués – pratiques d’accès et de mise à jour à l’appui – avant toute adoption. Une gouvernance efficace de la supply chain fournit aux mécanismes de détection une référence fiable, ce qui facilite l’identification des comportements anormaux dès qu’une dépendance de confiance commence à agir de manière inattendue.
Identifier et bloquer les attaques au niveau du runtime – Une fois les applications mises en production, la priorité devient l’endiguement. Les attaquants cherchent fréquemment à maintenir leur persistance et à étendre leur accès en détournant des identités cloud légitimes, des API ou des autorisations de workloads.
Une détection en temps réel, associée à des contrôles runtime cohérents (supervision comportementale, frontières réseau clairement définies et limitations des interactions API inattendues) contribue à perturber ces tactiques. Ces protections doivent également s’étendre aux environnements d’hébergement de l’IA : le fait de surveiller la dérive des modèles et les accès non autorisés aux données limite la mobilité des attaquants, même après une compromission initiale.
Automatiser la détection et la réponse dans le cloud – Dans le cloud, la vitesse est le seul indicateur qui compte. Tout délai dans l’isolement des workloads affectés ou la révocation d’identités détournées laisse aux attaquants l’espace nécessaire pour escalader.
L’automatisation permet aux équipes SecOps de détecter et de répondre en continu aux menaces cloud, en s’appuyant sur les contrôles natifs pour endiguer rapidement les incidents. Des actions telles que l’isolement de conteneurs compromis ou la révocation de jetons de session suspects évitent qu’un incident localisé ne devienne une panne plus étendue – ou une perte de données.
Instaurer une culture de sécurité de l’IA et du développement – L’IA n’est plus un simple outil : elle est désormais un actif opérationnel. Au fil de leur intégration au sein des workflows quotidiens, les assistants et prompts automatisés introduisent des risques comportementaux que les seuls contrôles techniques ne peuvent pas résoudre.
Une culture de sécurité solide traite les systèmes d’IA avec la même discipline que les infrastructures critiques. Cela implique d’examiner la manière dont les assistants sont utilisés, d’éviter d’exposer des données sensibles dans les prompts et de valider le code généré par l’IA. Lorsque les équipes comprennent que le jugement humain reste central pour un usage efficace de l’IA, les contrôles de gouvernance sont renforcés plutôt que contournés –ce qui garantit que la dynamique d’automatisation ne dépasse pas la capacité à la superviser.
En intégrant la sécurité au cœur de vos environnements de développement et d’exécution, vous faites en sorte que la vitesse d’innovation portée par l’IA et le cloud alimente la croissance plutôt que le risque systémique.
5. Sécuriser la surface d’attaque et l’interface humaine
Désormais, la sécurisation d’une organisation impose de voir au-delà de l’ordinateur professionnel. La surface d’attaque moderne s’est élargie : elle inclut des terminaux de sous-traitants non gérés, des actifs cloud exposés au web et le navigateur en tant que tel, qui s’est imposé en tant qu’espace de travail de prédilection.
Côté défenseurs, le défi est double. Il faut gérer avec rigueur les expositions externes que les attaquants scrutent en permanence, tout en sécurisant l’interface humaine où les utilisateurs interagissent avec les données, l’IA et le web. Pour protéger cet environnement tentaculaire, la sécurité doit étendre sa portée de la périphérie externe jusqu’à la session navigateur.
Réduire la surface d’attaque au moyen d’une gestion active de l’exposition – Unit 42 a constaté que les vulnérabilités logicielles représentaient 22 % des accès initiaux dans les incidents de cette année, ce qui souligne l’urgence de dépasser la simple découverte pour passer à une priorisation active des risques. Une gestion efficace de l’exposition comble cette lacune en établissant un inventaire complet et continu de l’empreinte numérique, y compris l’infrastructure fantôme et les outils d’IA non autorisés qui échappent aux scans traditionnels.
Point clé : cette stratégie doit filtrer le bruit. Appuyez-vous sur le renseignement sur les menaces pour ne prioriser que les actifs réellement ciblés « dans la nature » (comme les KEV de la CISA) et dépourvus de contrôles compensatoires. En concentrant des ressources limitées sur des risques métier exploitables et critiques, les équipes peuvent refermer la fenêtre d’opportunité avant qu’un attaquant ne trouve une porte ouverte.
Protéger l’interface humaine – Le navigateur est le nouveau terminal et le nouveau poste de travail en entreprise. C’est là que les collaborateurs accèdent aux données, que les sous-traitants travaillent et, malheureusement, là aussi que les attaques d’ingénierie sociale – comme le phishing – se révèlent les plus efficaces.
La sécurisation de cette interface suppose d’employer un navigateur sécurisé, pensé pour l’entreprise, capable d’établir un espace de travail corporate entièrement isolé et protégé, sur des terminaux managés (ou non). Cette couche de protection applique des contrôles de données en temps réel, indépendamment du matériel sous-jacent : elle peut désactiver le copier-coller sur des pages sensibles, bloquer les téléchargements depuis des sources inconnues et détecter des sites de phishing sophistiqués qui échappent aux filtres e-mail standards. En durcissant le navigateur, les organisations gagnent une visibilité fine sur les usages de Shadow AI et empêchent directement la fuite de données sensibles dans des outils de GenAI non autorisés.
Sécuriser les accès tiers et non managés – Le modèle consistant à expédier un PC d’entreprise à chaque sous-traitant ou nouvelle entité n’est ni tenable, ni sûr. Les organisations doivent pouvoir imposer un accès Zero Trust sur des terminaux non gérés, sans le coût et la complexité des solutions VDI traditionnelles.
En sécurisant l’espace de travail via le navigateur, les entreprises accordent aux sous-traitants et aux utilisateurs BYOD un accès sécurisé aux applications corporate, tout en maintenant une séparation stricte entre les données métiers et les environnements personnels. Cette approche accélère l’intégration post-fusion-acquisition et l’onboarding des prestataires, tout en garantissant qu’un terminal personnel compromis ne puisse pas servir de tremplin vers le réseau de l’entreprise.
Collecter une télémétrie unifiée et automatiser la réponse – Sur les terminaux que vous gérez, les données sont le carburant de la défense. Détecter des attaques sophistiquées suppose de collecter une télémétrie haute fidélité – processus, connexions réseau, comportements des identités – puis de la consolider au sein d’une plateforme centrale.
Lorsque cette donnée est analysée par des moteurs pilotés par IA, des anomalies qui, prises isolément, passeraient inaperçues deviennent des indicateurs clairs de compromission. Mais la détection ne suffit pas : il ne s’agit que de la moitié du parcours.
Pour limiter les dommages, les mécanismes de réponse doivent être automatisés. Les équipes de sécurité doivent pouvoir isoler un terminal compromis, déclencher des analyses forensiques et remédier aux menaces à vitesse machine – ce qui garantira qu’une infection localisée ne devienne pas une faille systémique.
En sécurisant le navigateur comme espace de travail principal, et en pilotant avec rigueur la surface d’attaque externe, vous protégez les utilisateurs et les actifs que les contrôles traditionnels ne couvrent plus.
5. Annexe
Nous avons structuré les données de cette section selon trois axes, afin d’offrir aux défenseurs une lecture plus claire des tendances observées en 2025. Nous présentons d’abord les techniques MITRE ATT&CK® les plus étroitement associées à chaque tactique. Nous proposons ensuite des vues par région et par secteur, qui montrent comment les types d’investigation varient en fonction des paramètres géographiques et sectoriels.
5.1 Présentation des techniques MITRE observées, par tactique
La série de graphiques suivante (figures 3 à 14) présente les techniques MITRE ATT&CK® que nous avons observées, associées à des tactiques spécifiques. Les pourcentages indiqués correspondent à la prévalence de chaque technique par rapport aux autres approches identifiées pour la tactique concernée. Ils ne reflètent pas la fréquence d’apparition de ces techniques dans les cas traités (consulter la version web pour parcourir les données relatives aux techniques uniques et aux cas).
Sélection des données
Accès initial- Accès initial
- Découverte
- Exécution
- Persistence
- Escalade de privilèges
- Contournement des défenses
- Accès aux identifiants
- Latéralisation
- Collecte
- Commande et contrôle (CnC)
- Exfiltration
- Impact
Figure 3 : Prévalence relative des techniques observées en lien avec la tactique Accès initial.
5.2 Type d’investigation par région
Les figures 15 à 17 proposent une lecture régionale et sectorielle des investigations traitées par Unit 42 en 2025. Elles montrent comment les types d’incidents varient entre l’Amérique du Nord, la région EMEA et l’Asie-Pacifique, ainsi qu’une ventilation des catégories d’investigation les plus fréquentes dans les secteurs les plus représentés dans nos données. Ces enseignements permettront aux décideurs de comprendre où l’activité se concentre et en quoi l’exposition diffère selon les secteurs et les zones géographiques.
Les données géographiques mettent en évidence des écarts régionaux entre les types d’investigation, tandis que les graphiques par secteur font ressortir des schémas clairs : l’activité s’aligne sur des opérations et des stacks technologiques propres à chaque industrie. Les Hautes technologies, la Fabrication, les Services financiers et la Santé présentent chacun des combinaisons distinctes de types d’intrusion, reflétant des variations liées aux surfaces d’attaque, aux architectures d’identité et à la maturité cloud. Regroupées, ces vues offrent aux responsables sécurité une lecture plus nette des zones où les menaces sont les plus actives – et de la manière dont le contexte opérationnel façonne les intrusions investiguées par Unit 42.
Sélection des données
Amérique du Nord- Amérique du Nord
- Europe, Moyen-Orient et Afrique
- Région Asie-Pacifique
Figure 15 : Type d’investigation par région Amérique du Nord.
5.3 Type d’investigation par secteur
Les figures 18 à 24 ci-dessous présentent une ventilation des principaux types d’investigation associés aux secteurs les plus représentés dans nos données de réponse à incident.
Sélection des données
Haute technologie- Haute technologie
- Fabrication
- Services professionnels et juridiques
- Retail et vente en gros
- Services financiers
- Collectivités locales et territoriales
- Santé
Figure 18 : Type d’investigation par secteur : Haute technologie.
6. Méthodologie
Les données de ce rapport proviennent de plus de 750 cas traités par Unit 42 entre le 1er octobre 2024 et le 30 septembre 2025. Elles sont comparées aux métriques issues de dossiers antérieurs remontant à 2021. Nos clients vont de petites structures de moins de 50 personnes aux organisations Fortune 500, Global 2000 et aux entités gouvernementales comptant plus de 100 000 employés.
Les organisations concernées avaient leur siège dans plus de 50 pays différents. Environ 65 % des organisations ciblées dans ces dossiers étaient basées aux États-Unis. Les cas impliquant des organisations situées en Europe, au Moyen-Orient et en Asie-Pacifique représentaient les 35 % restants. Les attaques ont souvent eu des impacts au-delà des pays où se trouvent les sièges de ces organisations.
Nous avons croisé ces données avec les résultats de notre recherche sur les menaces, elle-même alimentée par la télémétrie produits, des observations issues de sites de fuite du dark web et d’autres informations open source. Les équipes de réponse à incident ont également partagé leurs constats de terrain sur les tendances clés, issus de leur travail direct auprès des clients.
Plusieurs facteurs peuvent influencer la nature de notre jeu de données, notamment une tendance à intervenir davantage auprès de grandes organisations dotées de postures de sécurité plus matures. Nous avons également privilégié des dossiers mettant en évidence des tendances émergentes – ce qui, pour certaines thématiques, implique de nous concentrer sur des sous-ensembles plus restreints de l’ensemble des cas.
Pour certains axes d’analyse, nous avons choisi de filtrer les données afin d’éviter des résultats biaisés. À titre d’exemple, nous avons apporté notre appui en matière réponse pour aider des clients à évaluer d’éventuels impacts liés aux CVE 2024-0012 et 2024-3400. Par conséquent, ces vulnérabilités sont surreprésentées dans notre jeu de données – un aspect que nous avons corrigé lorsque c’était pertinent.
Notre fil conducteur est resté le même : éclairer le paysage des menaces, tel qu’il se manifeste aujourd’hui et tel qu’il évolue, afin d’aider les défenseurs à renforcer leur posture face aux tactiques que les attaquants déploient maintenant – et à celles qu’ils s’apprêtent à adopter.
Téléchargez le kit du Comex 2026 sur la réponse à incident
Au programme : un rapport détaillé, des éclairages à destination des leaders et des diapositives optimisées pour les réunions du CA.