Aller au contenu
Démarrer
Open search

Sophos Press

Rapport Sophos Active Adversary 2026 : les attaques basées sur l’identité prédominent tandis que les groupes de menaces se multiplient

Deux tiers des incidents de sécurité proviennent de failles liées aux identités, face à des attaquants qui gagnent en rapidité et choisissent de frapper en dehors des heures de bureau.

Paris, France

Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques, publie aujourd’hui son rapport Active Adversary 2026. D’après ce rapport, 67 % de tous les incidents analysés l’an dernier par les équipes IR (Incident Response) et MDR (Managed Detection and Response) de Sophos provenaient d’attaques basées sur l’identité. Les résultats des analyses mettent en évidence la manière dont les attaquants continuent d’exploiter les identifiants compromis, les processus d’authentification multifacteur (MFA) faibles ou inexistants, et les systèmes de gestion des identités mal protégés – souvent sans même avoir à déployer de nouveaux outils ou techniques.

Principales conclusions du rapport :

  • Les cyberattaquants passent de l’exploitation des vulnérabilités à celle des identifiants compromis, les attaques par force brute (15,6 %) rattrapant quasiment les exploits (16 %) en tant que méthode d’accès initiale.
  • Le temps médian d’exposition (median dwell time) n’est plus que de trois jours, une baisse qui s’explique par les mouvements des attaquants, mais également par la réactivité accrue des équipes de défense. Cette tendance a été particulièrement observée dans les environnements MDR.
  • Les attaquants parviennent à atteindre l’Active Directory (AD) plus rapidement. Dès que l’un d’entre eux s’infiltre dans une organisation, il ne lui faut que ¾ heures pour atteindre le serveur AD.
  • Les attaques par ransomware demeurent une activité résolument menée en dehors des heures de bureau : 88 % des déploiements de charges utiles (payloads) de ransomwares et 79 % des exfiltrations de données se produisent dans ces moments.
  • L’absence de télémétrie sape les efforts de défense. Les journaux manquants à cause de problèmes de conservation des données ont doublé par rapport à l’an dernier. Cette hausse est en grande partie due aux pare-feu dont la durée de conservation par défaut n’est que de sept jours, voire 24 heures dans certains cas.

Les attaques basées sur l’identité montent en puissance tandis que les lacunes en matière d’authentification multifacteur persistent

Le rapport révèle une augmentation continue des attaques provenant d’une compromission d’identités : vol d’identifiants, attaque par force brute, phishing, etc. Bien que l’exploitation des vulnérabilités reste un facteur à considérer, les attaquants s’appuient de plus en plus sur des comptes valides pour obtenir un accès initial, ce qui leur permet de contourner les défenses périmétriques traditionnelles. Dans 59 % des cas, l’absence d’une authentification multifacteur (MFA) a également facilité l’utilisation abusive d’identifiants volés et compromis pour infiltrer une organisation.

« La conclusion la plus préoccupante du rapport, à savoir la prédominance des causes racines liées aux identités dans la réussite des accès initiaux, est en réalité le fruit de plusieurs années d’observation. Les identifiants compromis, les attaques par force brute, le phishing et d’autres tactiques exploitent des failles qui ne peuvent être palliées par la simple application de correctifs de sécurité. Les organisations doivent adopter une approche proactive en matière de sécurité des identités », conseille John Shier, Field CISO et principal rédacteur du rapport.

Les groupes se multiplient, le risque s’élargit

Les chercheurs Sophos ont observé le nombre le plus élevé de groupes de menaces actifs jamais enregistré dans l’histoire du rapport, ce qui élargit le paysage global des menaces et rend leur attribution plus difficile.

  • Akira (GOLD SAHARA) et Qilin (GOLD FEATHER) ont été les ransomwares les plus actifs, Akira totalisant 22 % des incidents.
  • 51 ransomwares, dont 27 récurrents et 24 nouveaux, sont apparus dans les différents cas analysés.
  • Seuls les ransomwares LockBit, MedusaLocker et Phobos, ainsi que l’utilisation abusive de BitLocker, ont persisté sans interruption depuis 2020, première année du rapport Active Adversary.

« Les mesures répressives continuent de perturber l’écosystème des ransomwares. Bien que LockBit soit toujours actif, sa domination et sa réputation d’antan ont clairement été affectées. Mais le revers de la médaille, c’est qu’une multitude d’autres groupes se disputent la part du lion et un nombre grandissant de groupes émergent. Pour protéger au mieux leur organisation, il est important pour les équipes de sécurité de bien cerner ces groupes, et leurs tactiques, techniques et procédures », poursuit John Shier.

Quand l’engouement pour l’IA fait face à la réalité

Malgré des prédictions largement répandues, Sophos n’a trouvé aucune preuve d’une transformation majeure du comportement des attaquants induite par l’IA. Si l’IA générative a permis d’accroître la rapidité et le niveau de sophistication du phishing et de l’ingénierie sociale, elle n’a pas encore donné naissance à des techniques d’attaque entièrement nouvelles.

« L’IA donne de l’ampleur et permet de faire plus de bruit, mais elle ne remplace pas encore les attaquants. S’il se peut qu’à l’avenir l’IA générative devienne le prochain accélérateur, à l’heure actuelle, les fondamentaux demeurent importants : une protection solide des identités, une télémétrie fiable et la capacité de réagir rapidement en cas de problème », précise John Shier.

Points à retenir

Sur la base des conclusions du rapport Active Adversary 2026, Sophos recommande aux organisations de prendre les mesures de défense suivantes :

  • Déployer une authentification multifacteur (MFA) résistante au phishing et en valider la configuration
  • Réduire l’exposition de l’infrastructure de gestion des identités et des services connectés à Internet
  • Corriger rapidement les vulnérabilités connues, en particulier sur les périphériques
  • Assurer une surveillance 24h/7j par le biais de solutions MDR ou équivalentes
  • Conserver les journaux de sécurité pour favoriser une détection et une investigation rapides des incidents

Le rapport Sophos Active Adversary 2026 est le résultat de 661 cas de réponse à incident (Incident Response, IR) et de détection et réponse managées (Managed Detection and Response, MDR), analysés entre le 1er novembre 2024 et le 31 octobre 2025. L’étude a été menée sur des organisations de 70 pays et 34 secteurs d’activité.

Le rapport complet est disponible ici.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7."

Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.

Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations. Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.