Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'évolution rapide des cyberattaques
Les cybercriminels ne cessent de perfectionner leurs méthodes, rendant les attaques sur les réseaux d'entreprise plus rapides et plus complexes. Les professionnels de l'informatique doivent ainsi constamment améliorer leurs compétences pour faire face à ces menaces en 2026.
Une course contre la montre
Dans le domaine de la cybersécurité, un paradoxe se dessine : alors que les attaquants utilisent des machines pour opérer à des vitesses inaccessibles aux humains, les entreprises ciblées s'appuient de plus en plus sur des systèmes automatisés pour détecter et repousser ces intrusions. Cependant, malgré cette automatisation croissante, les humains restent au cœur de la bataille, souvent considérés comme le maillon faible. C'est ce que révèle le dernier rapport de Mandiant, une société de cybersécurité américaine intégrée à Google Cloud, spécialisée dans l'investigation des violations de sécurité majeures.
Les réseaux d'entreprise sous pression
Les réseaux d'entreprise actuels sont largement distribués et font appel à des partenaires via des services logiciels. Les cybercriminels ont adopté une approche similaire, utilisant une "division du travail". Un groupe initial utilise des techniques à faible impact, telles que des publicités malveillantes ou de fausses mises à jour de navigateur, pour infiltrer un réseau. Ensuite, ils transmettent la cible compromise à un autre groupe pour un accès plus direct. Cette stratégie se déroule à un rythme alarmant. En 2022, Mandiant rapportait que le "temps de transfert" entre ces groupes était supérieur à 8 heures. En 2025, ce délai a été réduit à une moyenne de seulement 22 secondes. Par ailleurs, le temps moyen pour exploiter des failles zero-day a chuté à sept jours, avant même que les fournisseurs ne puissent publier un correctif.
Les différents types d'attaquants
Mandiant identifie deux grandes catégories de groupes menant des "opérations manuelles" dans les réseaux compromis. Les cybercriminels cherchent un gain financier rapide, souvent à travers des ransomwares, tandis que les groupes d'espionnage visent un accès furtif et prolongé. Les premiers se concentrent sur un impact immédiat et un déni de récupération, alors que les seconds, plus sophistiqués, misent sur une persistance extrême, utilisant des dispositifs périphériques non surveillés et des fonctionnalités réseau natives pour échapper à la détection. En moyenne, le "temps de présence" des attaquants, c'est-à-dire la durée entre l'intrusion et la détection, est de 14 jours. Cependant, les incidents d'espionnage peuvent durer bien plus longtemps, avec un temps de présence médian de 122 jours.
Les vecteurs d'intrusion
Près d'un tiers des intrusions détectées proviennent d'exploits. L'ingénierie sociale vocale hautement interactive est le deuxième vecteur le plus courant, ciblant souvent les services d'assistance informatique pour contourner l'authentification multifactorielle (MFA) et accéder aux environnements de services logiciels. L'utilisation croissante de l'IA pour la reconnaissance, l'ingénierie sociale et le développement de logiciels malveillants est également en hausse. Une fois qu'un réseau est compromis, les attaquants utilisent l'IA pour automatiser la collecte de données sensibles. Par exemple, le voleur de données QUIETVAULT a été observé en train de vérifier les machines ciblées pour des outils de ligne de commande IA afin d'exécuter des tâches prédéfinies, telles que la recherche de fichiers de configuration et la collecte de jetons GitHub et NPM.
La riposte des entreprises
Heureusement, les entreprises deviennent elles aussi plus intelligentes dans leur réponse aux cybermenaces. En 2025, 52% des organisations ont détecté des preuves d'activité malveillante en interne, une amélioration par rapport à 43% en 2024. Cette capacité accrue à identifier rapidement les intrusions permet de commencer le processus de récupération plus tôt.
Stratégies de défense renforcées
Face à des attaquants de plus en plus sophistiqués, les professionnels de l'informatique doivent élever leur niveau de compétence. Mandiant recommande une formation avancée pour les employés et le personnel d'assistance, afin de reconnaître les vecteurs d'attaque modernes, tels que les attaques d'ingénierie sociale utilisant des outils vocaux et des applications de messagerie, ainsi que les demandes de réinitialisation de MFA non autorisées.
D'autres stratégies de défense incluent des changements dans l'infrastructure réseau :
- Traiter les plateformes de virtualisation et de gestion comme des actifs de niveau 0 avec des contraintes d'accès strictes.
- Découpler les environnements de sauvegarde du domaine Active Directory de l'entreprise et utiliser un stockage immuable pour contrer la destruction des capacités de récupération.
- Déployer une détection avancée des menaces sur l'ensemble de l'écosystème et prolonger les politiques de conservation des journaux bien au-delà des fenêtres standard de 90 jours.
- Auditer régulièrement les intégrations SaaS et acheminer toutes les applications SaaS via un fournisseur d'identité central (IdP).
- Mettre en œuvre des modèles de détection basés sur le comportement qui signalent les activités anormales et les écarts par rapport aux normes établies.
En conclusion, les chercheurs de Mandiant soulignent que "l'identité est le nouveau périmètre." Il ne suffit plus de faire tourner les mots de passe et d'imposer la MFA. Renforcer les contrôles d'identité et passer à une vérification continue de l'identité, en particulier avec les fournisseurs tiers, est désormais essentiel.


