Rapport Active Adversary 2026

Dans un monde où tout change rapidement, il peut être intéressant et instructif d'identifier les moments où les choses restent stables. Tout au long de l'année 2025, nombreuses sont les personnes qui ont affirmé, comme elles le font depuis quelques années déjà, que cette année serait celle où l'IA allait faire une réelle différence dans le paysage des menaces.

Hormis quelques utilisations avérées de l'IA pour amplifier le phishing et d’autres arnaques en ligne, ainsi que quelques gros titres dans la presse amplifiant nettement le phénomène, cela ne s'est tout simplement pas produit. Le rapport Active Adversary de cette année détaille ce qui s'est passé à la place, notamment un changement qui mérite toute votre attention.

Les attaquants, cette année, ont utilisé les mêmes outils, techniques et procédures (TTP : Tools, Techniques, and Procedures) qu’ils utilisent depuis des années. L’utilisation abusive d’outils légitimes est restée stable, tout comme l’absence de blocage des catégories d’outil connus pour être régulièrement utilisés à mauvais escient. L'absence de données télémétriques a continué à rendre difficile pour les équipes « bleues » de repérer le signal dans le bruit, et l'absence persistante d'authentification multifacteur (MFA) résistante au phishing a donné aux cybercriminels un moyen simple de s'introduire dans les systèmes.

Le changement le plus préoccupant, quant à lui, se préparait depuis des années : la prédominance des causes premières liées à l'identité, des attaques par force brute, du phishing et d’autres tactiques de compromission d’identifiants, pour un obtenir avec succès un accès initial. Cet ensemble de tactiques exploite des faiblesses qui ne peuvent pas être corrigées par une simple bonne hygiène en matière de mise à jour des correctifs et agit parfois comme un amplificateur de réussite pour les attaques en cours, comme le démontre l'étude de cas de cette année.

Bien que la détection et la réponse aient prouvé leur fiabilité dans la lutte contre les attaquants, nous ne devons pas oublier le rôle que peut jouer la prévention. Le rapport de cette année récapitule ce que nous avons constaté lors de l’investigation des incidents et peut servir de guide pour prévenir certaines des tactiques, techniques et procédures (TTP) les plus couramment utilisées par les attaquants (bloquez Python aujourd'hui et vous nous remercierez plus tard). Lisez la suite pour découvrir pourquoi.

Principaux points à retenir

• GenAI ajoute de la vitesse, du volume et du bruit au paysage des menaces… mais pour l’instant, c’est à peu près tout.
• Les tactiques basées sur l'identité, telles que les identifiants compromis, les attaques par force brute et le phishing, sont de loin la raison la plus courante qui permet aux attaquants d’obtenir un accès initial.
• Les attaquants ont apporté peu de modifications à leurs outils, tactiques ou procédures spécifiques, même si une technique de blocage inhabituelle peut faire une énorme différence pour de nombreuses entreprises.
• Économiser de l'argent en minimisant la collecte de données télémétriques peut sembler une économie de quelques centimes seulement, mais c'est assurément une folie à long terme.
• La prévention reste préférable à la détection, tant en termes de résultats que de temps et d'efforts consacrés à la défense.

D’où proviennent les données ?

Les données de cette édition proviennent de cas sélectionnés traités entre le 1er novembre 2024 et le 31 octobre 2025 par les équipes Incident Response (IR) de Sophos, notamment celles opérant au sein de notre groupe Secureworks, et par l'équipe de réponse qui traite les cas critiques survenant parmi nos clients MDR (Managed Detection and Response). Notons que par commodité, nous désignerons les deux catégories dans ce rapport par les abréviations IR et MDR. Le cas échéant, nous comparons les résultats des 661 cas sélectionnés pour ce rapport avec les données des précédents cas traités par Sophos X-Ops, remontant jusqu'au lancement de notre service IR en 2020.

Pour ce rapport, 84% de l'ensemble de données (dataset) provient d'entreprises de moins de 1 000 employés. Un peu plus de la moitié (56%) des entreprises ayant fait appel à Sophos comptent 250 employés ou moins.

Quels sont les secteurs concernés exactement ? Comme cela a été le cas dans nos rapports Active Adversary depuis nos débuts, le secteur manufacturier (19,82%) était le plus susceptible de faire appel aux services de réponse aux incidents de Sophos X-Ops. Les secteurs financier (8,93%), de la construction (8,62%), des technologies de l'information (6,96%) et de la santé (6,35%) complètent le top 5. Au total, 34 secteurs d’activité sont représentés dans cet ensemble de données (dataset).

De plus amples informations sur les données et la méthodologie utilisées pour sélectionner les cas présentés dans ce rapport sont disponibles en annexe.

Statistiques : quelques chiffres

Les types d'attaque que nos services de réponse aux incidents ont investigués, ainsi que leurs proportions, sont restés stables dans le rapport de cette année. Globalement, nous avons continué à constater que les violations de réseau surpassaient les ransomwares, principalement en raison de la proportion de cas MDR (69%) par rapport aux cas IR (31%) dans nos données. Au sein de chaque service, nous avons constaté une fois de plus que la surveillance proactive de l'environnement donnait de meilleurs résultats que les investigations réactives. Dans ce bilan annuel, nous aborderons quelques statistiques clés et apporterons un éclairage supplémentaire sur certaines observations intéressantes. Pour plus d'informations, veuillez consulter les données brutes que nous mettons à nouveau à disposition sur GitHub.

Nos données ont montré une multiplication par quatre des attaques BEC (Business Email Compromise) cette année. Nous pensons que cette évolution est sans doute due à une nouvelle offre proposée par l'équipe Sophos IR : les clients peuvent solliciter l'équipe IR sur une base horaire, permettant ainsi aux entreprises de lancer des investigations de plus petite envergure basées sur des signaux de télémétrie. Cela signifie que les organisations peuvent avoir l'esprit tranquille (ou au moins obtenir des éclaircissements) lorsqu'un événement suspect se produit, sans avoir à supporter les coûts d'une investigation IR complète.

D’après nos données, la plupart des interventions ont montré qu’il s’agissait d’identités M365 compromises, conduisant à des tentatives (et, plus rarement, à des attaques réussies) de vol financier ou de détournement de ressources, les attaquants essayant d’utiliser les noms de confiance des organisations pour envoyer des emails de phishing.

Les attaques d’exfiltration de données ont atteint le pourcentage le plus élevé (12,71%) enregistré depuis le lancement de nos rapports Active Adversary en 2021. Certaines de ces attaques ont été lancées par des groupes de ransomware qui avaient réussi à exfiltrer des données avant que leurs tentatives de chiffrement ne soient déjouées. D'autres ont également volé des données sans s'identifier, et nous n'avons pas pu attribuer avec certitude cette activité à un groupe connu. Ce qui semble clair, c'est que de nombreux attaquants ne voudront pas repartir les mains vides. S’ils ne peuvent pas monétiser l’attaque directement par le biais d’un ransomware, ils voleront au moins des données dans l’espoir de les monétiser ultérieurement via l’extorsion ou d’autres activités cybercriminelles, notamment la vente de ces informations à d’autres attaquants potentiels.

Cause première et identité

Comme mentionné ci-dessus, des changements importants ont été observés au niveau des causes premières. La proportion d’attaques reposant sur la compromission d’identité est en hausse depuis plusieurs années, nous l’avions mentionné dans le rapport AAR de l’année dernière, même si nous pensions alors que la tendance pourrait s’inverser, et domine désormais largement la catégorie des causes premières.

En 2025, nous avons constaté que 67,32% des causes premières étaient liées à une identité compromise, dans notre ensemble de données : les attaques par force brute, le phishing d'identifiant, le vol de jetons d'authentification, les relations de confiance et la catégorie ‘fourre-tout’ des « identifiants compromis » (voir l'encadré ci-dessous pour plus d'informations sur l'utilisation de la catégorie ‘fourre-tout’). Cela confirme ce que nous et beaucoup d'autres disons depuis quelques années : les attaquants ne s'introduisent pas par effraction, ils se connectent. Cela correspond également au mode opératoire du groupe Scattered LAPSUS$ Hunters en 2025, probablement le groupe cybercriminel le plus efficace à ce jour pour exploiter les attaques d'identité.

Qui êtes-vous ? Augmentation sur plusieurs années des compromissions d'identité

Même si nous continuons à nous en tenir à notre discours habituel sur les principes fondamentaux de la cybersécurité, fermer les ports RDP exposés, utiliser l'authentification multifacteur et corriger les serveurs vulnérables, nous cherchons constamment à prioriser ces tâches. Comme indiqué ci-dessus, une tendance sur plusieurs années se dessine concernant l’évolution des causes premières des incidents : aujourd’hui le fait de remplacer dans nos statistiques d’accès initial la question suivante « comment sont-ils entrés ? » par la question plus profonde « pourquoi cette tentative d’accès initial a-t-elle fonctionné ? », indique clairement que les attaquants s’appuient actuellement beaucoup moins sur les vulnérabilités non corrigées qu'auparavant.

Malheureusement, les attaquants s'appuient beaucoup plus ces derniers temps sur ce que nous appelons collectivement les facteurs « liés à l'identité ». Ces méthodes incluent les identifiants compromis, les attaques par force brute et le phishing, ainsi que des approches moins courantes telles que celles basées sur les relations de confiance au niveau desquelles des identifiants privilégiés étaient surprivilégiés, ou bien où l'accès a été obtenu par le vol d'un jeton d'authentification. Nos données de 2025 indiquent que les cas impliquant des identifiants compromis, sans autre information sur les moyens utilisés lors de cette compromission, représentaient 42,06% des causes premières. Les attaques par force brute (15,58% des cas), le type de compromission lié à l'identité le plus facile à identifier de manière concluante dans nos investigations, sont presque à égalité avec l'exploitation des vulnérabilités (16,04%) comme deuxième cause première la plus courante.

Le phishing, la troisième cause première la plus susceptible d’être liée à l’identité, ne représente que 6,35% des cas identifiables, mais même ce chiffre a considérablement augmenté en 2025, plus que doublant par rapport à 2024. Et le phishing peut provoquer un chaos considérable lorsqu'il est utilisé conjointement avec d'autres failles de sécurité, comme le démontre l'étude de cas présentée plus loin dans le rapport.

Encore quelques chiffres

La prédominance des identifiants compromis et autres causes premières liées à l'identité ne signifie pas que les vulnérabilités non corrigées n'ont pas d'importance. Même si les chiffres concernant cette cause première étaient au plus bas depuis 2021, les attaquants ont saisi l'opportunité lorsqu'elle s'est présentée, trouvant l'erreur fatale dans ce qui était à priori une défense correcte. Sur la base des preuves disponibles, nous avons pu confirmer quelles CVE avaient été utilisées dans 52 cas (voici un autre effet intéressant de la prédominance des causes premières liées à l'identité : pourquoi utiliser des CVE et des exploits pour s'introduire dans un système quand on a des mots de passe ?). Parmi les cas de vulnérabilités exploitées, plus des deux tiers (67,31%) ont montré une utilisation de CVE-2024-40766, le bug de SonicOS corrigé à plusieurs reprises par SonicWall au cours de l'année.

Les CVE exploitées dans l'ensemble de données (dataset) de 2025 incluaient également d'autres failles zero-day, mais aussi certaines vulnérabilités remontant jusqu'à 2008. Le délai médian entre la publication d'un avis/correctif par un éditeur et son exploitation par l'attaquant au niveau de toutes les vulnérabilités exploitées et confirmées était de 322 jours. De même, le délai médian entre la publication d'une preuve de concept (PoC : Proof-of-Concept) publique concernant une vulnérabilité et son exploitation par un attaquant était de 296,50 jours.

En matière de ransomware, l'attribution reste cohérente, et les « marques » de ransomware les plus fréquemment déployées que nous avons observées sont similaires à celles le plus souvent constatées par d'autres sources de renseignements sur les menaces (Threat-Intelligence). Akira (dans le jargon de Secureworks, Gold Sahara) et Qilin (Gold Feather) ont ouvert la voie, suivis par SafePay (Gold Leapfrog), Inc (Gold Ionic) et Play (Gold Encore). Ces cinq « marques » ont représenté 51% de tous les incidents de ransomware. Ce sont toutes des marques de Ransomware-as-a-Service (RaaS), servant de façade aux véritables acteurs malveillants, qui s'associeront à la marque qui leur convient le mieux à un moment donné et pour une victime donnée.

Pour ceux qui suivent l'évolution de la prévalence des ransomwares, alternant entre les années « peuplier » où aucune marque ne prédomine et les années « banian » où une marque de ransomware éclipse toutes les autres, 2025 fut effectivement une année « banian ». Le nom de ce « banian » était Akira, avec plus de deux fois plus de cas [22,58%] que le second Qilin [11,06%].

Dans l'ensemble de données (dataset) de 2025, nous avons constaté le déploiement de 51 marques de ransomware uniques, dont 27 marques continuaient d'être utilisées par rapport à l'année précédente et 24 nouvelles faisaient leur apparition. En examinant les marques de ransomware dans notre ensemble de données (dataset) de 2020 à 2025, trois marques (LockBit, Medusa, Phobos) et une technique (l'abus du chiffrement natif BitLocker) ont persisté pendant toute cette période.

La situation en matière d'attribution des données exfiltrées est beaucoup moins claire, 84,47% de ces cas ne présentant aucune attribution clairement définie. Les enquêteurs observent souvent des acteurs malveillants pénétrer discrètement dans un réseau, exfiltrer des données et en sortir sans s'identifier ni tenter d'établir un contact ; ils prennent tout simplement ce qu'ils veulent et s'en vont. Certains de ces cas auraient pu être classés comme extorsion de données, mais nos enquêteurs n'ont jamais été informés si une demande de rançon avait été formulée (un droit du client, bien sûr, ce souhait relève de sa seule responsabilité).

Le temps de séjour s'est également stabilisé à une médiane de trois jours. Curieusement, cette baisse est due à la fois aux attaquants et aux défenseurs. Malgré l'accélération des activités des attaquants, nous savons également que de nombreux défenseurs ont fait de grands progrès en matière d'accélération de leurs capacités de détection au cours des deux dernières années, et cela se voit (continuez comme ça!).

Comme l'an dernier, on a constaté certaines différences en matière de durée de séjour liées à l'origine des cas. Les cas IR toutes causes confondues (5,00 jours) ont observé des temps de séjour médians légèrement plus longs, malgré une baisse de 29% d'une année sur l'autre, que les cas MDR toutes causes confondues (2,00 jours). Les cas IR non liés aux ransomwares continuent de générer les temps de séjour les plus longs (6,00 jours).

En résumé, à ce stade, les attaquants agissent probablement aussi vite que possible une fois qu'ils ont pénétré dans le système. De nos jours, il est beaucoup moins fréquent de les voir se contenter de fouiller, tout simplement. Seuls les défenseurs peuvent faire en sorte que ce temps de séjour tende vers zéro, et la pression constante pour tenter de nous distancer pourrait inciter les attaquants à faire plus de bruit qu'ils ne le souhaitent ou ne l'ont prévu. Pour l'instant. L'automatisation et l'orchestration seraient des tâches évidentes pour lesquelles les attaquants pourraient utiliser l'IA afin d'améliorer leurs performances. À suivre de près donc l'année prochaine.

Une année difficile pour AD

Malheureusement, l'appétit des attaquants pour l'accès aux serveurs Active Directory (AD) n'est pas assouvi. La vitesse à laquelle les attaquants tentent de s'en prendre à Active Directory après avoir accédé au système a augmenté de 70% par rapport à l'année dernière, pour atteindre une médiane de seulement 3,40 heures. À l'inverse, le délai entre la tentative d'accès à Active Directory et la détection de l'attaque a augmenté de 16%. Parmi les versions de Windows Server que nous avons pu identifier, 13% utilisaient des versions en fin de vie, et 27% supplémentaires le seront bientôt.

Pour poursuivre nos observations liées au moment où les attaques avaient lieu, et en examinant l'ensemble des données, les attaquants persistent à déployer des ransomwares lorsque les organisations (en théorie) ne les surveillaient pas. Traduit en heure locale, 88,10% des ransomwares ont été déployés en dehors des heures de bureau, répartis de manière quasi uniforme sur tous les jours de la semaine, avec toutefois une légère augmentation les jeudis et vendredis. L'exfiltration de données a suivi une tendance similaire, 78,85% des personnes choisissant d'exfiltrer les données en dehors des heures de travail. Ces cas ont légèrement augmenté les mercredis et jeudis. Peut-être que le département des ransomwares attendait simplement que les responsables de l'exfiltration fassent leur travail !

Figure 2: Mapping all data exfiltration, data extortion, network breach, and ransomware attacks for which definitive start-of-attack times can be ascertained, we see that attackers still prefer to stay out of sight during what enterprises generally call “normal” working hours (8am-6pm Monday through Friday). The hours between 11pm and 3am are busiest, with 37.1 percent of attacks occurring in that four-hour span. Meanwhile, the four quietest hours all happen between 6am and noon. (The data in this chart comes from 321 cases logged by IR and MDR from January 1, 2023 to October 31, 2025, and reflects local time at each target’s location.)

L'exfiltration pour tous les types d'attaque s'est produite un peu plus de trois jours (78,83 heures) après le début de l'attaque, mais seulement 1,87 heure avant que l'attaque ne soit détectée. Nous avons observé que 49,77% des cas de ransomware incluaient une exfiltration de données confirmée, plus de la moitié (53,92%) lorsque nous avons inclus l’exfiltration potentielle. Dans la plupart des cas, l'absence de logs de pare-feu a contribué à cette incertitude. Près de la moitié (49,07%) des cas de ransomware dans lesquels l'exfiltration a été confirmée ont également vu les données divulguées publiquement dans les 19,5 jours suivant l'exfiltration.

En ce qui concerne les outils d'attaque, les LoLBins et les artefacts non catégorisables (« autres »), nous avons constaté une augmentation du volume, mais rien de comparable à l'augmentation de l'année dernière par rapport aux chiffres de 2023. Le nombre d'outils uniques a augmenté de 8%, les binaires Microsoft de 19% et tous les autres éléments de 23% sur un an.

Certains montent en puissance, d'autres s'effondrent : Python et Cobalt Strike

L’utilisation des outils d’une année sur l’autre est restée globalement stable, mais avec d’importants changements spécifiques. Cette année, Impacket continue de montrer la voie lorsque l'on combine tous les outils Impacket (par exemple atexec, secretsdump, wmiexec, etc.), suivi de près par Python, dont Impacket a besoin pour s'exécuter. Impacket représentait 36,01% de tous les outils et a connu une augmentation de son utilisation de 83,08% par rapport à 2024.

La montée en puissance de l'utilisation d'Impacket par les cybercriminels, et sa dépendance à Python, offrent une opportunité aux défenseurs. Contrairement à PowerShell, à moins que Python ne soit requis par l'organisation, il devrait être bloqué sans autre forme de procès, au moins sur les postes de travail non dédiés au développement, afin d'empêcher l'utilisation d'Impacket. Une attention particulière et des contrôles supplémentaires, notamment une journalisation/logging appropriée et même la création de tickets pour vérifier les utilisations suspectes de Python, devraient être appliqués aux cas d'utilisation où Python pourrait être nécessaire.

Contrairement à la croissance d'Impacket, Cobalt Strike poursuit sa descente aux enfers, peinant à se hisser parmi les 35 meilleurs outils en 2025. En comparant l'utilisation des outils d'une année sur l'autre, les 30 outils les plus utilisés n'ont connu que cinq différences. Parmi les outils commerciaux légitimes faisant l'objet d'abus, AnyDesk reste l'outil d'accès à distance le plus détourné ; Network Scanner de SoftPerfect est l'outil d'énumération réseau le plus détourné, et WinRAR est l'outil d'archivage le plus détourné.

L'utilisation abusive des fichiers binaires Microsoft a connu la plus faible variation d'une année sur l'autre. Parmi les 30 binaires les plus performants observés, seuls deux différaient de l'année dernière, les 15 premiers binaires apparaissant quasiment dans le même ordre. Comme l’an dernier, nous constatons qu’une majorité des 30 outils les plus utilisés (40%) sont utilisés pour de la reconnaissance. Le leader incontesté, RDP, reste en tête, mais nous sommes heureux d'annoncer que son utilisation globale a diminué. Bien que toujours élevé, ce pourcentage ne représente que 66% des cas d'utilisation interne du protocole RDP lors des attaques, et seulement 10% une utilisation externe. Nous avons également constaté une réduction de moitié du nombre de systèmes RDP exposés. 

Logs « manquants », qui sème le vent récolte la tempête

Dans la catégorie « tout le reste » (c’est-à-dire toutes les autres découvertes), peu de changements aussi. L'absence de MFA reste le principal problème cette année, avec 59%, mais il a diminué par rapport aux 64% de l'année dernière. Étant donné la fréquence des attaques par usurpation d'identité, nous devons continuer de faire baisser ce nombre. Toutes ces complications ne semblent laisser aucun autre choix.

Tout aussi préoccupants sont les cas où des logs étaient manquants, ce qui constituait la deuxième constatation dans la catégorie « autres » la plus fréquente. La principale cause des « logs manquants » reste leur indisponibilité générale, mais les problèmes de conservation ont doublé l'année dernière. Cette hausse a été largement due aux appliances de pare-feu dont la durée de conservation par défaut n'était que de sept jours, et dans certains cas, de 24h. Bien que cela puisse parfois être dû à des limitations matérielles, il convient de prévoir un stockage alternatif afin que les données soient disponibles pour analyse en cas de besoin. Rappelons que l'analyse est indispensable, en effet vous ne pourrez jamais comprendre ce que vous ne connaissez pas.

Les systèmes non protégés arrivent en troisième position avec 29,35% des cas. Nous reconnaissons certes que tous les systèmes ne peuvent pas être protégés, mais la plupart le peuvent. Pour ceux qui ne le peuvent pas, des mesures de mitigation et des contrôles supplémentaires doivent être mis en œuvre.

Cette année a également vu tripler le nombre de systèmes en fin de vie impliqués dans des attaques. Voici un autre bon exemple de problème d'hygiène IT élémentaire qui persiste dans de nombreuses organisations. À moins que les appareils en fin de vie ne soient absolument nécessaires à l'entreprise, la priorité devrait être accordée à la réduction de ce type de dette technique.

Comme le dit le proverbe : « il n'est pas nécessaire de se brosser toutes les dents, seulement celles que l'on veut garder ». Prises ensemble, il s'agit d'erreurs indirectes qui doivent être corrigées. Nous reconnaissons que la résolution de certains de ces problèmes peut s'avérer difficile, mais elle est nécessaire si nous voulons accroître notre résilience face aux attaques ; gagner coûte cher, mais perdre coûte encore plus cher.

Intelligence artificielle ou folie virtuelle ?

On a beaucoup écrit sur le rôle que l'intelligence artificielle générative (GenAI) basée sur un grand modèle de langage (LLM : Large Language Model) pourrait jouer ou non dans les attaques en 2025. Il y a certainement eu des articles de recherche très médiatisés soutenant l'utilisation de GenAI par des adversaires. Certains se sont révélés profondément erronés, tandis que d'autres ont déformé son importance dans les attaques, et certains ont montré un développement itératif, mais pas de changement révolutionnaire, une situation ni rare ni différente. Bien que l'année 2025 ait vu une utilisation accrue de GenAI par les attaquants dans le cadre d'arnaques et d'attaques s’appuyant sur l’ingénierie sociale, elle n'a pas constitué le tournant décisif marquant l'avènement de l'attaquant doté d'une IA autonome. Pour l'instant, l'enthousiasme dépasse largement les preuves concrètes d'utilisation massive.

De manière anecdotique, les leurres de phishing ont été considérablement améliorés par GenAI. Malheureusement, nous ne pouvons plus nous fier aux fautes de grammaire et d'orthographe pour détecter un email de phishing. Pour aggraver le problème, la combinaison de la génération de texte et d'images a rendu l'usurpation de marque triviale. Ajoutez-y du contenu hautement personnalisé, glané lors de fuites de données ou provenant d'informations publiques, et la supercherie devient indétectable. Les utilisateurs doivent désormais se fier principalement à l'intention et à la logique pour repérer une tentative de phishing. L'IA Générative permet également à ces attaques d'atteindre des niveaux de déploiement à grande échelle sans précédent. Les deepfakes vont encore plus loin ; leur qualité est telle que de nombreuses victimes auraient du mal à les repérer.

Prouver son utilisation réelle est une autre affaire. Hormis quelques cas de deepfakes, il est quasiment impossible de prouver que GenAI a été utilisée pour créer un email de phishing. Même s'il paraît logique que des attaquants tentent d'utiliser GenAI, il n'existe aucun moyen infaillible de faire la différence entre un email rédigé manuellement avec soin et un email généré par GenAI. Ce que GenAI apporte, c'est la rapidité, le volume et la démocratisation.

L'utilisation de GenAI permet aux attaquants peu qualifiés de lancer des campagnes de phishing à grande échelle et plus rapidement que jamais auparavant. Cela semble également être le cas pour d'autres aspects de l'attaque. Des agents comme HexStrike-AI et Villager de Cyberspike utilisent GenAI comme orchestrateur pour lancer des attaques à l'aide d'outils existants. Comme indiqué plus haut, l'orchestration représente une piste potentiellement riche pour les attaquants dans leur utilisation de GenAI ; quant à savoir si c'est ce qui nous attend en 2026… eh bien, nous le saurons dans un an.

Selon les équipes de réponse aux incidents de Sophos, nous avons constaté un seul cas vérifié et incontestable d'utilisation de GenAI par un attaquant, une vidéo deepfake reçue via les réseaux sociaux, dans le volume de cas traités cette année. Cependant, cette affaire n'a pas donné lieu à une investigation en matière de réponse aux incidents, car la victime a immédiatement signalé l'incident au SOC. Un point pour les humains.

Bien qu'il semble inévitable que GenAI franchisse un jour le seuil des attaques totalement autonomes, et génère éventuellement de nouveaux vecteurs d'attaque et malwares en cours de route, nous n'en sommes pas encore là. À court terme, les avantages pour l'attaquant seront, encore une fois, la vitesse, le volume et la démocratisation. Il y aura davantage de malwares, pas nécessairement des malwares meilleurs ou plus avancés, mais probablement une quantité considérablement plus importante. Cependant, une vitesse et un volume accrus, surtout entre les mains d'attaquants inexpérimentés, peuvent créer du bruit, comme nous l'avons noté dans la discussion sur le temps de séjour ci-dessus. Cela offre aux défenseurs l'opportunité d'affronter la tempête à venir.

Cela change-t-il vraiment la façon dont nous défendons nos réseaux aujourd'hui ? Nous ne le pensons pas. Les contrôles et mesures de mitigation fondamentaux en matière de cybersécurité doivent être mis en place, que vous vous défendiez contre un cybercriminel peu qualifié, un adversaire parrainé par un État ou un attaquant assisté par l'IA. La prévention par la technologie et les politiques joue un rôle primordial. Le système de télémétrie requis doit être en place pour repérer l'attaquant, qu'il utilise des moyens matériels ou logiciels. Il est crucial de comprendre ce que nous indiquent les données télémétriques. Et la capacité d'agir de manière décisive sur la base de ces données télémétriques est essentielle. Nous pouvons courir pour fuir, mais nous ne pourrons pas y échapper.

L’avertissement évident est que le rythme des changements dans ce domaine signifie que les choses peuvent changer, et changeront, sans préavis. Mais, sauf progrès dans le fonctionnement fondamental de GenAI, ces changements seront évolutifs et non révolutionnaires.

Étude de cas

L'identification des menaces de phishing est souvent un aspect fondamental de la formation interne à la sécurité, les utilisateurs étant soumis à des séries successives de « tests » conçus pour piéger les internautes imprudents. Il est toutefois difficile d’affirmer que cela fonctionne : nos statistiques montrent que, même si le phishing reste un vecteur d’accès initial relativement mineur comme indiqué ci-dessus, le pourcentage d’occurrences d’une année sur l’autre a doublé, passant de 2,13% en 2024 à 5,86% en 2025 (et cela sans compter tous les cas qui auraient pu commencer par du phishing mais qui n'ont pas pu être confirmés et qui se sont donc retrouvés dans notre catégorie ‘fourre-tout’ nommée « identifiants compromis »).

Un cas traité l'an dernier par notre équipe MDR a démontré à quel point le phishing pouvait semer le chaos dans une situation déjà critique. Dans ce cas, la faible configuration MFA de la victime, associée à un retard dans la réinitialisation des identifiants, a entraîné de multiples vagues d’attaque de phishing (et de vol d’identifiants subséquents) au cours du même incident.

Se faire avoir une première fois

La première vague d’emails de phishing de cette campagne a été envoyée à plusieurs employés depuis un compte Dropbox externe, se faisant passer pour un employé de confiance au sein de l'organisation. L'attaquant a exploité la fonctionnalité « Partager par email » de Dropbox pour diffuser un document PDF malveillant au sein de l'organisation. Le nom de l'employé de confiance figurant dans l'objet de l’email a servi d'appât, et plusieurs utilisateurs sont tombés dans le piège en cliquant sur une URL FlowerStorm malveillante contenue dans le document. Les victimes ont non seulement saisi leurs identifiants sur le portail Dropbox, mais ont également accepté une demande d'authentification multifacteur générée peu après par l'attaquant.

Cette tactique de replay est courante parmi les kits de phishing de type « adversary-in-the-middle » avec le replay synchrone, tels que FlowerStorm. La page de connexion contrefaite capture les identifiants et les jetons MFA des victimes, puis les « rejoue » (replay) rapidement depuis le serveur back-end des attaquants. La réponse rapide, qui se produit souvent quelques secondes après la requête légitime, trompe l'utilisateur et l'amène à accepter l'invite d'authentification multifacteur générée par l'attaquant.

Se cacher à la vue de tous

Suite à la première vague d'emails de phishing, l'attaquant a exploité l'un des comptes M365 fraîchement compromis, a créé le même document PDF malveillant dans le SharePoint interne de cet employé et a envoyé une deuxième vague d'emails de phishing depuis l'adresse email de l'utilisateur. Non seulement la source légitime servait désormais d'appât, mais l'attaquant avait intégré le nom d'utilisateur de l'employé compromis dans l'URL de phishing FlowerStorm, contribuant ainsi à renforcer l’aspect légitime et incitant d'autres utilisateurs à mordre à l'hameçon. Plusieurs utilisateurs ont de nouveau interagi avec l'URL de phishing FlowerStorm, permettant ainsi à l'attaquant de capturer davantage d'identifiants de victimes et de jetons MFA, d'initier plusieurs sessions M365 avec succès et de créer des règles de boîte de réception qui transféraient des emails spécifiques vers les dossiers RSS des victimes afin de dissimuler l'activité et de retarder la détection (ce dossier n'a rien de particulier, il est juste susceptible d'être vide, car relativement peu d'utilisateurs configurent des flux RSS de nos jours).

Je ne me ferai plus jamais avoir (?)

L'adversaire ne s'est pas arrêté là. Une session M365 persistante a été maintenue en raison des retards organisationnels dans la correction du problème, et près d'une semaine plus tard, une troisième vague d'emails de phishing a été envoyée à travers l'organisation depuis l'adresse email légitime d'un autre utilisateur compromis. L'URL de phishing intégrée au nouveau document malveillant contenait désormais le nom d'utilisateur du nouvel appât, trompant une fois de plus de nombreux nouveaux utilisateurs. Le schéma était presque identique, à un détail près : cette fois-ci, aucune invite d'authentification multifacteur n'a été présentée aux utilisateurs.

Où est-elle donc passée ? En raison des exigences peu fréquentes d'authentification multifacteur et de la longue durée de vie des jetons de session (la durée de vie par défaut du jeton Microsoft Entra ID est de 90 jours, ce qui, bien que moins déraisonnable que les dix ans de Slack, reste long), l'approbation MFA initiale, datant de près d'une semaine auparavant, était toujours valide. L'attaquant a réussi à réutiliser le jeton de session volé et non lié, permettant ainsi l'accès sans déclencher d'invite MFA supplémentaire. L'utilisation de jetons de session non liés constituait un autre point faible. En plus d'une application stricte de l'authentification multifacteur (MFA), les jetons de session liés devraient être appliqués dans M365 lorsque cela est possible, via la protection des jetons (Token Protection), afin d'empêcher la réutilisation des jetons de session volés à partir d'autres appareils ou emplacements.

Malgré la mise en place de l'authentification multifacteur (MFA), la combinaison d'une configuration MFA faible, d'une durée excessive du délai d'expiration de la politique de session et de priorités de l’entreprise mal évaluées concernant la réinitialisation des identifiants a fait le bonheur de l'attaquant, lui permettant ainsi de persister dans le réseau. Heureusement, la chaîne d'attaques a été stoppée rapidement grâce aux actions de réponse MDR, laissant l'organisation quasiment indemne, même si plus d'un cinquième des employés de l'entreprise ont été touchés d'une manière ou d'une autre par au moins une vague de l'attaque.

On ne peut pas toujours obtenir ce que l'on veut

Il y a des points importants à retenir ici. Il est non seulement crucial de s'assurer que l'authentification multifacteur (MFA) soit bien activée, mais il est tout aussi crucial de s'assurer qu'elle soit configurée de manière robuste et efficace, par exemple, une authentification basée sur FIDO ou une autre authentification sans mot de passe, ainsi que des choix judicieux tels qu'une réauthentification fréquente. Il suffit qu'un seul utilisateur soit absent de la configuration de l'authentification multifacteur (MFA) ou que la fréquence des invites MFA soit insuffisante pour rendre le MFA inoffensif aux yeux d'un adversaire.

Le fait que l'authentification multifacteur (MFA) soit inactive ou incomplètement configurée dans 59,46% des incidents en 2025 soulève la question suivante : la pédagogie en matière de MFA ne devrait-elle pas également faire partie intégrante de la formation en matière de sécurité interne ? Ce pourcentage élevé d'indisponibilité du MFA concernait généralement les organisations appartenant à l'une des trois catégories suivantes : (1) les organisations qui pensaient que l'authentification multifacteur était activée, mais ce n’était pas du tout le cas ; (2) les organisations qui avaient l'authentification multifacteur activée, mais elle était mal configurée ; et (3) les organisations qui savaient que l'authentification multifacteur n'était pas activée (la troisième catégorie a donné aux enquêteurs toute une série de raisons, notamment le fait que la direction était « mal à l'aise » avec ce concept). L’authentification multifacteur (MFA) constitue une barrière fondamentale contre l’accès initial des adversaires, avec un historique de plusieurs décennies et de multiples moyens de mise en œuvre. Éviter que votre organisation ne tombe dans l'une de ces trois catégories en raison d'une « indisponibilité » est une victoire cruciale.

Toutes les organisations n'ont pas la chance de sortir indemnes des conséquences de la compromission d’un MFA vulnérable ; alors, si vous devez retenir une leçon, prenez soin de votre MFA et utilisez-le de manière réfléchie.

Et pour finir

Au terme de ce nouveau rapport, il est clair que les défenseurs ont encore du travail à accomplir : même s'il y a eu quelques victoires pour les défenseurs en 2025, nous n’allons pas pour autant sortir les bouteilles de champagne. L’absence de changement significatif dans la plupart des données d’une année sur l’autre signifie que les attaquants n’ont pas été obligés de faire plus d’efforts ; ils ont continué à utiliser leurs vieilles méthodes avec peu ou pas de déclin en termes de succès. Pourquoi se donner la peine d'exploiter l'IA, en réalité, alors que tant de tactiques, techniques et procédures (TTP) d'attaque éprouvées fonctionnent encore parfaitement ?

Paradoxalement, l'usurpation d'identité augmente parce que les systèmes de défense sont devenus plus efficaces pour corriger certaines failles. Les attaquants exploiteront toujours nos plus grandes faiblesses, mais ils restent flexibles face à l'évolution de la situation. Nous, les défenseurs, devons leur rendre la tâche plus difficile, et indiquer où la prévention peut être raisonnablement appliquée pour éviter d'avoir quoi que ce soit à détecter (et pour éviter d'apparaître dans l'ensemble de données d'un futur rapport Active Adversary).

Nous sommes capables de faire des choses difficiles. L'exploitation des failles de Flash et de Java appartient au passé. Grâce à Edward Snowden, la majeure partie du web est désormais chiffrée. Ces victoires ne se sont pas faites du jour au lendemain, mais elles ont eu lieu. Nous pouvons compliquer la tâche des attaquants si nous priorisons systématiquement la correction des éléments qui sont sous notre contrôle. Et une fois que vous aurez fini, eh bien vous recommencerez !

Remerciements

Les auteurs souhaitent remercier leurs collègues Anthony Bradshaw, Ben Drysdale, Chester Wisniewski, Hamish Maguire, Jon Munshaw, Joshua Rawles, Karla Soler, ainsi que les analystes des équipes de réponse aux incidents IR et MDR.

Annexe : Démographie et méthodologie

Pour ce rapport, nous nous sommes concentrés sur 661 cas qui pouvaient être analysés de manière pertinente pour obtenir des informations sur l'état du paysage des adversaires entre le 1er novembre 2024 et le 31 octobre 2025. La protection de la relation confidentielle entre Sophos et ses clients est bien sûr une priorité absolue, et les données que vous voyez ici ont été vérifiées à plusieurs étapes au cours de ce processus pour s’assurer qu’aucun client n’était identifiable via ces données, et qu’aucune donnée client ne faussait la synthèse de manière inappropriée. En cas de doute sur un cas spécifique, nous avons exclu les données de ce client du dataset. Pour les données comparatives d'une année sur l'autre, nous nous basons sur les données historiques recueillies par l'AAR remontant aux cas de l'ère 2020 analysées dans notre rapport 2021 Active Adversary Playbook.

Méthodologie

Les données de ce rapport ont été recueillies au cours d’investigations individuelles menées par l’équipe X-Ops Incident Response et MDR de Sophos. Cela inclut les cas traités par l'équipe de réponse aux incidents de Secureworks, notamment les cas sur la période de 3,5 mois précédant l'acquisition de Secureworks par Sophos en février 2025 ; ceux-ci sont regroupés avec le reste des cas IR (plutôt qu'avec les cas MDR).

Pour ce premier rapport de 2026, nous avons recueilli des informations sur toutes les investigations entreprises par l’équipe en 2025 et les avons normalisées via 52 domaines, en examinant chaque cas pour nous assurer que les données disponibles étaient appropriées au niveau du détail et de la portée des éléments regroupés tels que définis par l’objectif principal du rapport proposé. Nous avons ensuite travaillé à normaliser les données entre nos processus de reporting MDR et IR.

Lorsque les données n’étaient pas claires ou n’étaient pas disponibles, l’auteur a travaillé avec des cas individuels pour éclaircir les questions ou dissiper la confusion. Les incidents qui n'ont pas pu être suffisamment clarifiés pour les besoins du rapport, ou à propos desquels nous avons conclu que l'intégration risquait d'exposer ou d'endommager la relation Sophos-client, ont été écartés. Nous avons ensuite examiné la chronologie de chaque cas restant pour obtenir plus de clarté sur des questions telles que l’entrée initiale, le temps de séjour, l’exfiltration, etc. Nous avons retenu 661 cas, qui ont servi de base pour ce rapport. Les données proposées dans l'ensemble de données téléchargeable ont été davantage expurgées afin de garantir la confidentialité des clients.

Les données représentent les 70 pays et autres lieux suivants :

Secteurs d’activité

Les 34 secteurs d'activité suivants sont représentés dans les données :