[Webinaire en direct] Votre plus grand risque cybernétique est-il invisible ? Comprendre le risque humain dans la cybersécurité moderne. Inscrivez-vous dès maintenant.

Examinez de plus près les risques qui se cachent à la vue de tous

Pour de nombreuses organisations, une grande partie des conversations sur la cybersécurité continue à se concentrer sur ce qui va suivre : les attaques pilotées par l’IA, les nouvelles classes de logiciels malveillants, les perturbations quantiques et l’hypothèse selon laquelle les menaces d’hier sont déjà sous contrôle.

Mais lorsque vous regardez de plus près comment les incidents réels se sont déroulés au cours de l’année écoulée, une image plus instructive se dessine ; une image qui façonne le paysage des menaces auquel les organisations sont actuellement confrontées. Et dans de nombreux cas, quand on y regarde de plus près, ce n’est pas la technologie qui a échoué, mais le comportement humain sous pression.

Les brèches les plus préjudiciables n’ont pas été provoquées par des voies d’attaque nouvelles ou futuristes. Elles provenaient de faiblesses familières qui avaient déjà été documentées, corrigées ou exploitées précédemment, mais qui restaient présentes dans les environnements réels. . Usurpation d’identité. Retards dans l’application des correctifs. L’ingénierie sociale qui s’intègre parfaitement dans les flux de travail quotidiens. Des lacunes opérationnelles qui persistent malgré des tableaux de bord rassurants, des mesures de conformité et des piles technologiques apparemment matures.

Ce compte rendu va au-delà des spéculations et se concentre sur les faits. Les comportements, les schémas d’attaque et les risques négligés qui ont défini les violations récentes et qui continueront d’influencer la manière dont les attaquants agiront en 2026.

Les menaces elles-mêmes ne sont pas nouvelles. Le risque réside dans le fait qu’elles sont souvent sous-estimées et que les organisations ne sont pas préparées lorsqu’elles sont exploitées.

Ce qui s’est réellement passé l’année dernière

  1. Les vulnérabilités ont été exploitées plus rapidement que les organisations n’ont pu réagir

La vitesse d’exploitation s’est encore accélérée en 2025. Dans de nombreux cas de grande gravité, le code de validation et l’exploitation active sont apparus dans les heures qui ont suivi la divulgation, et non pas dans les jours ou les semaines qui ont suivi ; comme on l’a vu dans les incidents largement signalés qui ont affecté des plateformes de VPN et de pare-feu telles que Ivanti Connect Secure et Palo Alto PAN-OSpour n’en citer que quelques-uns.

Dans plusieurs cas, les attaquants ont exploité les vulnérabilités nouvellement divulguées dans les heures qui ont suivi la publication des avis publics.. Si les attaques de type « zero day » ont fait la une des journaux, une proportion importante des intrusions réussies s’est appuyée sur des vulnérabilités plus anciennes et bien documentées que les organisations croyaient être des risques « connus ».

Les services à distance tels que les VPN, les pare-feu, les hyperviseurs et les fournisseurs d’identité sont restés les cibles les plus attrayantes en raison de leur accès direct aux environnements internes.

Pour de nombreuses organisations, le problème n’était pas la complexité des vulnérabilités, mais le décalage opérationnel entre la connaissance de l’existence d’un correctif et la possibilité de l’appliquer rapidement et en toute sécurité.

Pourquoi cela est-il important ?

« Patch plus vite » semble simple, mais l’année dernière a montré que l’exploitation dépasse régulièrement les cycles de patchs traditionnels. En l’absence d’une visibilité précise des actifs, d’une hiérarchisation des risques et d’une capacité opérationnelle, les vulnérabilités connues continuent d’offrir des points d’entrée fiables.

  1. Les rançongiciels n’ont pas reculé, ils ont discrètement changé de forme

Les prévisions de déclin des ransomwares ne se sont pas concrétisées. Au contraire, les rançongiciels ont évolué.

Le rapport sur le paysage des menaces de l’ENISA Rapport de l’ENISA sur le paysage des menaces montre que la fréquence et l’impact des ransomwares ont augmenté en 2025, avec une nette évolution vers l’exfiltration de données et l’extorsion sans chiffrement. Cependant, de nombreuses campagnes ne commencent plus par des événements de chiffrement bruyants et perturbateurs. Les attaquants se sont plutôt concentrés sur le vol de données, la reconnaissance et la collecte d’informations d’identification.

Le cryptage est devenu facultatif. Dans plusieurs cas, il a été entièrement omis. La menace de divulgation des données s’est avérée suffisante pour forcer les négociations, même lorsque les sauvegardes étaient intactes.

L’accès initial a souvent été obtenu en combinant l’exploitation d’une vulnérabilité et le vol d’informations d’identification, plutôt que par la seule diffusion de logiciels malveillants.

Pourquoi cela est-il important ?

Les sauvegardes ne sont plus un filet de sécurité suffisant. La défense contre les ransomwares doit désormais couvrir l’ensemble du cycle de vie de l’intrusion, de l’accès initial à l’exfiltration des données en passant par les mouvements latéraux.

  1. L’ingénierie sociale est devenue consciente du contexte et plus difficile à voir

L’évolution la plus significative de l’ingénierie sociale en 2025 n’a pas été le volume, mais la précision.

Les attaquants utilisent de plus en plus des leurres hautement contextuels qui reflètent les flux de travail internes, les communications avec les fournisseurs, les demandes d’approbation et les alertes système. Les outils assistés par l’IA ont permis une variation rapide du langage, du formatage et de la marque, aidant les tentatives de phishing à contourner les contrôles de détection statiques.

De nombreux utilisateurs ne réagissaient pas à des courriels manifestement suspects. Ils réagissaient à des messages qui ressemblaient à des communications opérationnelles de routine.

L’utilisation généralisée d’outils d’accès à distance, de VPN et de modèles de travail hybrides a créé des points de pression supplémentaires, notamment en ce qui concerne les comptes administratifs et les comptes à privilèges.

Pourquoi cela est-il important ?

Les formations de sensibilisation basées sur des exemples d’hameçonnage dépassés ne reflètent plus la réalité. Lorsque la tromperie semble authentique, le risque passe du manque de connaissances à la prise de décision sous pression.

  1. L’identité est devenue la principale surface d’attaque

L’un des enseignements les plus clairs de l’année dernière a été le rôle central des attaques basées sur l’identité.

L’utilisation abusive d’informations d’identification, la pulvérisation de mots de passe, le détournement de session, le vol de jetons et la lassitude à l’égard de l’AMF ont été des facteurs récurrents dans les brèches de plusieurs secteurs. Les menaces liées à l’identité ont fortement augmenté depuis 2023, représentant 59% des incidents confirmés d’ici au début de 2025. Cela représente une augmentation de 156 % des attaques basées sur l’identité sur une période de deux ans.

Dans de nombreux environnements, les mouvements latéraux sont restés étonnamment faciles en raison d’une segmentation limitée et d’une faible gouvernance de l’accès.

Pourquoi cela est-il important ?

L’identité a dépassé les points d’extrémité en tant que point d’entrée le plus fiable. Le moindre privilège (limiter les utilisateurs et les systèmes à l’accès dont ils ont réellement besoin), associé à une gouvernance d’accès solide et à une gestion des accès multifonctionnelle résistante au phishing, est désormais un contrôle de sécurité fondamental plutôt qu’une amélioration facultative.

  1. Des défaillances familières sont à l’origine d’une perturbation majeure

Bon nombre des incidents les plus perturbateurs survenus en 2025 sont liés à des défaillances opérationnelles bien connues, notamment des interfaces de gestion exposées, des actifs en nuage mal configurés, des systèmes en fin de vie, une séparation insuffisante entre les environnements critiques et non critiques, et des points de défaillance uniques au sein de services tiers.

Il ne s’agissait pas d’attaques avancées. Il s’agissait de défaillances évitables qui ont persisté derrière des hypothèses de maturité et de contrôle.

Pourquoi cela est-il important ?

Des outils perfectionnés ne peuvent pas compenser des bases opérationnelles insuffisantes. La différence entre un incident maîtrisé et un événement qui fait la une des journaux se résume souvent à des éléments de base que l’on croyait acquis.

Principales vulnérabilités et expositions communes (CVE) exploitées

Plusieurs tendances se dégagent de l’ensemble des rapports mondiaux :

  1. L’exploitation s’est concentrée sur les systèmes publics.

Les appareils VPN, les dispositifs de pare-feu, les passerelles de messagerie et les fournisseurs d’identité en nuage continuent d’être les principales cibles.

  1. Les vulnérabilités largement connues figurent toujours parmi les plus exploitées.

Les CVE plus anciens pour lesquels des correctifs étaient disponibles sont restés répandus en raison de longs délais de remédiation, de systèmes existants ou de déploiements incomplets de correctifs.

  1. Les attaquants ont exploité les possibilités de chaînage

Plutôt que de s’appuyer sur une seule faille, les acteurs de la menace combinent souvent les deux :

  • Une vulnérabilité connue d’exécution de code à distance
  • Une faille d’escalade des privilèges
  • Une mauvaise configuration ou des informations d’identification non sécurisées

Cette approche de chaînage a permis un déplacement latéral rapide après l’accès initial.

  1. Les délais d’armement se sont considérablement accélérés

Plusieurs vulnérabilités critiques ont fait l’objet d’une exploitation active le jour même de la publication des que les avis des fournisseurs ont été publiés.

Ce que cela nous apprend :

La menace ne concerne pas seulement les nouvelles vulnérabilités, mais aussi la visibilité, la hiérarchisation et la rapidité. Les attaquants se concentrent sur la voie d’accès la plus facile, et non sur la plus sophistiquée.

Tactiques, techniques et procédures en matière de ransomware

  • Cependant, contrairement aux anciens modèles qui se concentraient sur le cryptage pur des fichiers, de nombreux attaquants privilégient aujourd’hui les méthodes suivantes double-extorsion: ils exfiltrent d’abord les données, puis les chiffrent ou menacent de les divulguer.
  • L’économie des rançongiciels est en train de changer. Selon une étude mondiale, le paiement moyen d’une rançon en 2025 est resté élevé (≈ 1,0 Mio USD)mais seule une minorité d’organisations a payé.
  • Les acteurs du ransomware combinent de plus en plus l’exploitation des vulnérabilités (par exemple, VPN/pare-feu non corrigés) avec le vol d’informations d’identification ou l’hameçonnage/l’ingénierie sociale pour obtenir un accès initial.

Pourquoi cela est-il important ?

L’évolution vers une tactique d’exfiltration d’abord, de chiffrement ensuite, signifie que les défenseurs ne peuvent pas compter uniquement sur les sauvegardes de fichiers. La détection et la prévention doivent désormais couvrir l’ensemble du cycle de vie de l’intrusion, de l’accès à l’exfiltration, et suivre le rythme des attaques basées sur les exploits.

Évolution de l’ingénierie sociale : Ce qui a surpris (et réussi)

  • L’essor du phishing assisté par l’IALes attaquants utilisent désormais fréquemment des outils automatisés ou assistés par l’IA pour créer des courriels de phishing convaincants et hautement personnalisés qui échappent à la détection traditionnelle.
  • En conséquence, de nombreux courriels de phishing utilisent désormais des « polymorphes« qui varient les noms d’expéditeurs, les métadonnées, les sujets et les logos afin de déjouer les filtres basés sur les signatures et d’éviter la détection de modèles.
  • Le passage au travail hybride, les environnements distants et l’utilisation généralisée de logiciels d’accès à distance (VPN, RDP, outils de bureau à distance) ont encore accru l’efficacité des tactiques de vol et les tactiques d’ingénierie sociale.

Pourquoi cela est-il important ?

La sensibilisation à la sécurité ne suffit plus. Alors que les attaquants utilisent l’IA pour développer et adapter l’ingénierie sociale, les organisations doivent investir dans des défenses à plusieurs niveaux (contrôles techniques, formation humaine et détection des anomalies), en particulier en ce qui concerne le courrier électronique et l’accès aux identités.

Où les prévisions ont échoué, et pourquoi

De nombreuses prévisions antérieures partaient du principe que les ransomwares continueraient à être dominés par des attaques de chiffrement à fort impact et que les cycles de correctifs suivraient le même rythme. Ce point de vue était sous-estimé :

  1. L’explosion du volume des vulnérabilités et leur exploitation rapideEn 2025, les divulgations de CVE ont été beaucoup plus nombreuses que ne le prévoyaient les prévisions, et les attaquants en ont exploité un grand nombre en l’espace de quelques heures.
  1. Le passage à des modèles commerciaux fondés sur la double extorsion et la fuite de données : Le cryptage seul perd de sa valeur lorsque les cibles disposent de bonnes sauvegardes ; le vol de données et l’extorsion donnent plus de poids.
  1. Le pouvoir de l’ingénierie sociale et de l’IALes prévisions qui se concentraient uniquement sur les vulnérabilités techniques ne tenaient pas compte de l’efficacité de l’hameçonnage assisté par l’IA et des attaques basées sur l’utilisation d’informations d’identification.

Cela signifie que les défenseurs et les modèles de risque qui s’appuyaient principalement sur les cycles de correctifs, la résilience des sauvegardes ou les mesures d’atténuation basées sur le chiffrement doivent être réévalués. La véritable menace, en particulier pour de nombreuses organisations, est désormais plus large : elle couvre l’identité, l’accès initial, l’exfiltration des données et l’ingénierie sociale.

Ce que le paysage des menaces indique pour 2026

Lorsque l’on examine de près le déroulement des attaques récentes, un schéma se dessine. Les attaquants n’ont pas eu recours à des techniques futuristes ou à des « zero days » complexes. Dans la plupart des cas, ils ont choisi la voie la plus simple et la plus fiable pour pénétrer dans une organisation.

Souvent, cette voie implique des personnes.

Qu’il s’agisse d’usurpation d’identité, de retard dans l’application des correctifs, d’intrusion par ransomware ou de campagnes d’ingénierie sociale, le point commun n’était pas seulement la technologie. C’était le comportement. Des décisions prises sous pression. Des accès qui s’étaient développés au fil du temps. Des contrôles qui semblaient solides sur le papier mais qui n’avaient pas été testés dans la pratique.

L’identité continue d’être au cœur de ce problème. Les informations d’identification sont partagées, réutilisées, approuvées trop rapidement ou exposées par le biais de l’hameçonnage. Même les environnements bien configurés deviennent vulnérables lorsque les comportements quotidiens créent des ouvertures involontaires.

La rapidité de l’exploitation impose également un changement d’état d’esprit. Les cycles de correctifs traditionnels et les contrôles basés sur des politiques ont du mal à suivre le rythme lorsque les attaquants agissent en quelques heures. C’est dans ce fossé entre la connaissance et l’action que réside le risque.

Les rançongiciels ont suivi la même trajectoire. L’exposition des données et l’extorsion font désormais partie des tactiques de base, au même titre que le chiffrement. Pour prévenir l’impact, il faut comprendre non seulement où les systèmes sont vulnérables, mais aussi où les personnes et les processus peuvent présenter un risque.

Les programmes de sensibilisation doivent également évoluer. L’hameçonnage moderne ne semble pas manifestement suspect. Il a l’air routinier. Il reflète les fournisseurs, les collègues, les notifications du système et les demandes internes. Pour reconnaître ce type de tromperie, il faut plus qu’une formation de base. Il faut faire preuve de discernement.

Ce que 2025 a mis en évidence, c’est que la force opérationnelle ne dépend pas seulement des outils. Elle dépend de la visibilité du comportement réel, de l’exposition réelle et de l’état de préparation réel.

En 2026, les organisations qui comprennent leurs risques humains aussi clairement que leurs risques techniques seront en bien meilleure position pour prévenir les perturbations et réagir en toute confiance.

Travailler avec MetaCompliance

Chez MetaCompliance, nous aidons les organisations à examiner de plus près les risques qui se cachent souvent sous la surface. Les incidents qui façonnent le paysage actuel des menaces se produisent rarement parce que les employés ne connaissent pas les règles. Ils se produisent parce que les organisations s’appuient sur des hypothèses concernant le comportement, la couverture et la préparation qui ne reflètent plus la façon dont les attaques se déroulent réellement.

Notre approche consiste à transformer ces hypothèses en preuves. Grâce à notre plateforme de gestion des risques humains, les responsables de la sécurité ont une meilleure visibilité sur les risques réels, en se basant sur les comportements réels, les modèles d’engagement et l’exposition aux menaces modernes, plutôt que sur les taux d’achèvement ou les mesures statiques.

Au lieu de programmes de sensibilisation uniformes, les organisations peuvent proposer des interventions ciblées et personnalisées en fonction du profil de risque de chaque utilisateur. Cela garantit que la formation concentre l’attention là où c’est le plus important, plutôt que de répartir les efforts de manière égale entre les utilisateurs à faible risque et ceux à haut risque.

Nos formations basées sur des scénarios reflètent l’aspect réel de la tromperie aujourd’hui, du phishing contextuel et de l’usurpation d’identité d’un fournisseur aux tentatives d’intrusion basées sur l’identité. Ces moments d’apprentissage courts et ciblés sont conçus pour aiguiser le jugement dans des conditions réalistes, en aidant les employés à reconnaître les risques lorsqu’ils sont subtils, familiers et faciles à manquer.

Les simulations de phishing évoluent en permanence au sein de la plateforme, reflétant les tactiques, le langage et le contexte utilisés par les attaquants dans les campagnes réelles. Cela permet aux organisations de dépasser le simple test de réussite ou d’échec et de s’orienter vers un changement de comportement durable qui réduit l’exposition au fil du temps.

La gestion des politiques et de la conformité est entièrement intégrée, ce qui permet aux organisations d’avoir une vision plus claire de la façon dont la gouvernance, le comportement et le risque se croisent. Les rapports mettent en évidence les tendances émergentes et les faiblesses cachées, ce qui permet aux dirigeants de donner la priorité à l’action en se basant sur des preuves plutôt que sur la réassurance.

Alors que le fossé entre la confiance en la sécurité et la réalité des violations continue de se creuser, MetaCompliance aide les organisations à le combler en se concentrant sur les décisions humaines et les contrôles quotidiens que les attaquants exploitent le plus souvent. Il est temps d’examiner de plus près où se situe réellement le risque.

 

Foire aux questions : Les leçons de 2025 et ce qu'elles signifient pour 2026

Quelle est la définition du paysage des menaces en matière de cybersécurité en 2025 ?

L’évolution des ransomwares, les attaques basées sur l’identité et l’ingénierie sociale assistée par l’IA ont dominé le paysage des menaces.