MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques, publie aujourd’hui son rapport Active Adversary 2026. D’après ce rapport, 67 % de tous les incidents analysés l’an dernier par les équipes IR (Incident Response) et MDR (Managed Detection and Response) de Sophos provenaient d’attaques basées sur l’identité.
Les résultats des analyses mettent en évidence la manière dont les attaquants continuent d’exploiter les identifiants compromis, les processus d’authentification multifacteur (MFA) faibles ou inexistants, et les systèmes de gestion des identités mal protégés – souvent sans même avoir à déployer de nouveaux outils ou techniques.
Les cyberattaquants passent de l’exploitation des vulnérabilités à celle des identifiants compromis, les attaques par force brute (15,6 %) rattrapant quasiment les exploits (16 %) en tant que méthode d’accès initiale.
Le temps médian d’exposition (median dwell time) n’est plus que de trois jours, une baisse qui s’explique par les mouvements des attaquants, mais également par la réactivité accrue des équipes de défense. Cette tendance a été particulièrement observée dans les environnements MDR.
Les attaquants parviennent à atteindre l’Active Directory (AD) plus rapidement. Dès que l’un d’entre eux s’infiltre dans une organisation, il ne lui faut que ¾ heures pour atteindre le serveur AD.
Les attaques par ransomware demeurent une activité résolument menée en dehors des heures de bureau : 88 % des déploiements de charges utiles (payloads) de ransomwares et 79 % des exfiltrations de données se produisent dans ces moments.
L’absence de télémétrie sape les efforts de défense. Les journaux manquants à cause de problèmes de conservation des données ont doublé par rapport à l’an dernier. Cette hausse est en grande partie due aux pares-feux dont la durée de conservation par défaut n’est que de sept jours, voire 24 heures dans certains cas.
Le rapport révèle une augmentation continue des attaques provenant d’une compromission d’identités : vol d’identifiants, attaque par force brute, phishing, etc. Bien que l’exploitation des vulnérabilités reste un facteur à considérer, les attaquants s’appuient de plus en plus sur des comptes valides pour obtenir un accès initial, ce qui leur permet de contourner les défenses périmétriques traditionnelles. Dans 59 % des cas, l’absence d’une authentification multifacteur (MFA) a également facilité l’utilisation abusive d’identifiants volés et compromis pour infiltrer une organisation.
« La conclusion la plus préoccupante du rapport, à savoir la prédominance des causes racines liées aux identités dans la réussite des accès initiaux, est en réalité le fruit de plusieurs années d’observation. Les identifiants compromis, les attaques par force brute, le phishing et d’autres tactiques exploitent des failles qui ne peuvent être palliées par la simple application de correctifs de sécurité. Les organisations doivent adopter une approche proactive en matière de sécurité des identités », conseille John Shier, Field CISO et principal rédacteur du rapport.
Les chercheurs Sophos ont observé le nombre le plus élevé de groupes de menaces actifs jamais enregistré dans l’histoire du rapport, ce qui élargit le paysage global des menaces et rend leur attribution plus difficile.
Akira (GOLD SAHARA) et Qilin (GOLD FEATHER) ont été les ransomwares les plus actifs, Akira totalisant 22 % des incidents.
51 ransomwares, dont 27 récurrents et 24 nouveaux, sont apparus dans les différents cas analysés.
Seuls les ransomwares LockBit, MedusaLocker et Phobos, ainsi que l’utilisation abusive de BitLocker, ont persisté sans interruption depuis 2020, première année du rapport Active Adversary.
« Les mesures répressives continuent de perturber l’écosystème des ransomwares. Bien que LockBit soit toujours actif, sa domination et sa réputation d’antan ont clairement été affectées. Mais le revers de la médaille, c’est qu’une multitude d’autres groupes se disputent la part du lion et un nombre grandissant de groupes émergent. Pour protéger au mieux leur organisation, il est important pour les équipes de sécurité de bien cerner ces groupes, et leurs tactiques, techniques et procédures », poursuit John Shier.
Malgré des prédictions largement répandues, Sophos n’a trouvé aucune preuve d’une transformation majeure du comportement des attaquants induite par l’IA. Si l’IA générative a permis d’accroître la rapidité et le niveau de sophistication du phishing et de l’ingénierie sociale, elle n’a pas encore donné naissance à des techniques d’attaque entièrement nouvelles.
« L’IA donne de l’ampleur et permet de faire plus de bruit, mais elle ne remplace pas encore les attaquants. S’il se peut qu’à l’avenir l’IA générative devienne le prochain accélérateur, à l’heure actuelle, les fondamentaux demeurent importants : une protection solide des identités, une télémétrie fiable et la capacité de réagir rapidement en cas de problème », précise John Shier.
Sur la base des conclusions du rapport Active Adversary 2026, Sophos recommande aux organisations de prendre les mesures de défense suivantes :
Déployer une authentification multifacteur (MFA) résistante au phishing et en valider la configuration
Réduire l’exposition de l’infrastructure de gestion des identités et des services connectés à Internet
Corriger rapidement les vulnérabilités connues, en particulier sur les périphériques
Assurer une surveillance 24h/7j par le biais de solutions MDR ou équivalentes
Conserver les journaux de sécurité pour favoriser une détection et une investigation rapides des incidents
