5 façons de renforcer votre réseau contre la nouvelle vitesse des attaques IA

5 façons de renforcer votre réseau contre la nouvelle vitesse des attaques IA

Les attaquants deviennent de plus en plus sophistiqués et persistants, et les professionnels de l'informatique doivent également améliorer leurs compétences. Voici comment procéder en 2026.

Principaux enseignements

• Les attaques sur les réseaux d'entreprise deviennent plus rapides.
• Les cybercriminels utilisent l'IA, mais les humains restent le maillon le plus faible.
• Se défendre contre les attaques nécessite des changements structurels au sein du réseau.

Voici le paradoxe de la cyber-guerre moderne : les attaquants utilisent de plus en plus des machines capables de travailler à des vitesses bien supérieures à celles des humains qui les contrôlent. En réponse, les cibles se tournent de plus en plus vers des systèmes automatisés pour détecter et repousser ces intrus.

Cependant, dans ce combat machine contre machine, les humains demeurent au centre de chaque bataille, et ces simples mortels continuent d'être le point faible. C'est la conclusion du rapport de cette année sur le paysage de la sécurité des entreprises de Mandiant, une entreprise de cybersécurité américaine, désormais intégrée à Google Cloud, qui se spécialise dans l'investigation des violations de sécurité majeures et dans le conseil aux organisations sur la manière de se protéger contre les menaces cybernétiques.

État des lieux des réseaux d'entreprise

Les réseaux d'entreprise modernes sont largement distribués et peuvent déléguer des tâches à des partenaires via des services logiciels. Les cybercriminels adoptent également ce modèle, utilisant une approche de "division du travail", où un groupe utilise des techniques à faible impact, comme des publicités malveillantes ou de fausses mises à jour de navigateur, pour accéder à un réseau, puis transmet la cible compromise à un groupe secondaire pour un accès direct.

Tout cela se produit à un rythme alarmant. En 2022, Mandiant rapportait que le "temps de transfert" était supérieur à 8 heures. En 2025, cette fenêtre avait été réduite à une moyenne de seulement 22 secondes. De même, le temps moyen pour compromettre des systèmes avec des exploits zero-day est également en chute libre, avec un temps moyen pour exploiter des vulnérabilités tombant à sept jours avant que les fournisseurs aient eu le temps de publier un correctif.

Identification des attaquants

Selon Mandiant, la majorité des groupes secondaires menant des "opérations manuelles" dans des réseaux d'entreprise compromis peuvent être divisés en deux catégories avec des tactiques et des rythmes distinctement différents. Les cybercriminels visent un gain financier, utilisant des outils comme le ransomware, tandis que les groupes d'espionnage optimisent pour un accès furtif à long terme.

• D'un côté, les groupes de cybercriminalité se concentrent sur un impact immédiat et un déni de récupération délibéré.
• De l'autre, des groupes d'espionnage cybernétique sophistiqués et des menaces internes optimisent pour une persistance extrême, utilisant des dispositifs périphériques non surveillés et des fonctionnalités réseau natives pour échapper à la détection.

Ces "temps de présence" — c'est-à-dire le temps entre l'intrusion et la détection — sont en moyenne de 14 jours, mais les incidents d'espionnage cybernétique peuvent durer beaucoup plus longtemps, avec un temps de présence médian de 122 jours.

Origines des intrusions

Pas de surprise ici : près d'un tiers des intrusions détectées proviennent d'exploits. Le deuxième vecteur le plus couramment observé est l'ingénierie sociale vocale hautement interactive, avec des groupes ciblant les services d'assistance informatique pour contourner l'authentification multifactorielle (MFA) et accéder aux environnements de services logiciels.

Il n'est pas surprenant non plus que l'adoption croissante des outils d'IA pour la reconnaissance, l'ingénierie sociale et le développement de logiciels malveillants soit en hausse. Après avoir accédé à un réseau, les attaquants "armement l'IA... le voleur de données QUIETVAULT a été observé en train de vérifier les machines ciblées pour des outils de ligne de commande IA afin d'exécuter des invites prédéfinies pour rechercher des fichiers de configuration et collecter des jetons GitHub et NPM."

Une réponse rapide des cibles

La bonne nouvelle est que les cibles deviennent également plus intelligentes. "Les organisations améliorent leur visibilité interne. Lors de toutes les enquêtes de 2025, 52% du temps, les organisations ont d'abord détecté des preuves d'activité malveillante en interne, une augmentation par rapport à 43% en 2024." Plus vous découvrez rapidement des preuves d'intrusion, plus vous pouvez commencer le processus de récupération rapidement.

Comment riposter

Alors que les attaquants deviennent de plus en plus sophistiqués et persistants, les professionnels de l'informatique doivent également élever leur niveau de compétence. Les conseils de Mandiant incluent une formation avancée pour les employés et le personnel d'assistance sur la manière de reconnaître les vecteurs d'attaque modernes : reconnaître les attaques d'ingénierie sociale utilisant des outils vocaux et des applications de messagerie, ainsi que les demandes de réinitialisation de MFA non autorisées.

D'autres stratégies de défense impliquent des changements dans l'infrastructure réseau :

• Traiter les plateformes de virtualisation et de gestion comme des actifs de niveau 0 avec les contraintes d'accès les plus strictes.
• Pour contrer la destruction des capacités de récupération, découpler les environnements de sauvegarde du domaine Active Directory de l'entreprise et utiliser un stockage immuable.
• Déployer une détection avancée des menaces sur l'ensemble de l'écosystème et prolonger les politiques de conservation des journaux bien au-delà des fenêtres standard de 90 jours.
• Auditer régulièrement les intégrations SaaS et acheminer toutes les applications SaaS via un fournisseur d'identité central (IdP).
• Mettre en œuvre des modèles de détection basés sur le comportement qui signalent les activités anormales et les écarts par rapport aux normes établies.

Dans sa conclusion, les chercheurs de Mandiant notent que "l'identité est le nouveau périmètre." Il ne suffit plus de faire tourner les mots de passe et d'imposer la MFA. Se concentrer sur le renforcement des contrôles d'identité et passer à une vérification continue de l'identité, en particulier avec les fournisseurs tiers, est essentiel.