Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > CrowdStrike publie son rapport mondial sur les menaces 2026 — un signal d’alerte pour toutes les équipes de sécurité

CrowdStrike publie son rapport mondial sur les menaces 2026 — un signal d’alerte pour toutes les équipes de sécurité

par Patrick Spencer updated février 26, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

Il existe une phrase tellement répétée lors des réunions de sécurité qu’elle a perdu tout son sens : « les attaquants sont de plus en plus rapides ». On acquiesce lors d’une keynote, puis on l’oublie dès qu’on arrive sur le salon.

Le rapport mondial sur les menaces 2026 de CrowdStrike vient de rendre cette réalité inoubliable.

Le chiffre à retenir : le temps moyen de breakout eCrime — l’intervalle entre la compromission initiale et le premier mouvement latéral de l’attaquant — est tombé à 29 minutes en 2025. Contre 48 minutes en 2024. Contre 98 minutes en 2021. Le breakout le plus rapide observé a été de 27 secondes. Dans un cas, l’exfiltration de données a commencé quatre minutes après l’accès initial.

Laissez cela vous interpeller. Quatre minutes entre la compromission et le vol de données. La plupart des organisations n’ont même pas le temps de lancer une discussion sur Slack en quatre minutes, alors contenir une intrusion active…

Ce rapport présente 2025 comme « l’année de l’adversaire insaisissable ». Les caractéristiques principales : rapidité, abus d’identités et attaques directes contre les systèmes d’IA eux-mêmes. Et les données à l’appui ne sont pas théoriques. Elles proviennent d’intrusions réelles, d’interventions en réponse à des incidents et de renseignements sur les menaces collectés auprès de milliers d’organisations à travers le monde.

5 points clés à retenir

  1. Le temps de breakout est tombé à 29 minutes — et c’est la moyenne. En 2025, le temps moyen de breakout eCrime est passé à 29 minutes, contre 48 en 2024, avec un record à 27 secondes. Si votre processus de réponse aux incidents se compte en heures, il est déjà trop tard.
  2. 82 % des intrusions ne comportent plus de malware. Les attaquants se connectent avec des identifiants volés et des outils d’administration natifs, sans code malveillant. Les défenses basées sur les signatures ne sont plus en première ligne — la surveillance des identités et la corrélation inter-domaines prennent le relais.
  3. L’IA est à la fois une arme et une cible. Les attaques dopées à l’IA ont bondi de 89 % en un an. Des acteurs étatiques ont déployé des malwares pilotés par LLM ; des groupes eCrime ont automatisé le vol d’identifiants. CrowdStrike est également intervenu auprès de plus de 90 organisations où les adversaires ont directement attaqué des outils de développement IA et des plateformes de données.
  4. Les acteurs liés à la Chine exploitent les appareils en périphérie à l’échelle industrielle. L’activité liée à la Chine a augmenté de 38 %, dont 40 % ciblant les appareils en périphérie — VPN, firewalls, routeurs — hors du périmètre couvert par la plupart des EDR. Les exploits ont été militarisés en deux jours après divulgation. L’exploitation de failles zero-day a progressé de 42 %.
  5. Le ransomware ne se limite plus aux endpoints — et un vol crypto de 1,46 milliard de dollars prouve l’ampleur du phénomène. Les groupes de ransomware agissent désormais sur le cloud, l’identité et les couches de virtualisation. Les intrusions ciblant le cloud ont augmenté de 37 %, et de 266 % pour les acteurs étatiques. Une attaque supply chain menée par la Corée du Nord a permis le plus grand vol financier jamais enregistré.

La rapidité de l’attaque devient un problème mathématique — et les défenseurs sont dépassés

L’effondrement du temps de breakout n’est pas une tendance passagère. C’est un changement structurel dans la façon dont les intrusions se déroulent.

Lorsque le temps de breakout se comptait en heures, les défenseurs disposaient d’un délai réaliste pour détecter, enquêter et contenir. À 29 minutes — et parfois quelques secondes — le concept même de « détecter et réagir » change. Il ne s’agit plus de réagir à une intrusion en cours. Il s’agit de réagir à une attaque qui a déjà progressé latéralement, établi une persistance et peut-être commencé à exfiltrer des données avant même que l’analyste SOC ait fini de lire l’alerte.

CrowdStrike attribue cette accélération à plusieurs facteurs : les attaquants maîtrisent mieux l’utilisation d’identifiants légitimes et d’outils de confiance, automatisent les actions post-exploitation avec des scripts générés par IA, et ciblent systématiquement les failles entre les outils de sécurité. Le rapport note que 82 % des détections en 2025 étaient sans malware — la plupart des intrusions n’impliquaient donc aucun code malveillant classique. Les attaquants utilisaient des identifiants valides, des utilitaires administratifs natifs et des outils d’accès à distance commerciaux pour se fondre dans l’activité normale de l’entreprise.

Voilà la conséquence concrète de ce que décrit le WEF Global Cybersecurity Outlook 2026 : la complexité organisationnelle croissante, où interdépendances, technologies obsolètes et visibilité fragmentée créent des risques systémiques qui s’aggravent avec le temps. Si votre pile de sécurité est optimisée pour détecter les malwares, alors que 82 % des intrusions n’en utilisent pas, vous faites face à un problème d’architecture, pas de réglage.

La course à l’IA n’est plus théorique — elle est opérationnelle

Les opérations adverses dopées à l’IA ont bondi de 89 % en 2025. Mais le rapport CrowdStrike fait une distinction importante : l’IA accélère des tactiques déjà existantes, sans en créer de nouvelles. Les acteurs malveillants intègrent l’IA générative tout au long de la kill chain — ingénierie sociale, développement de malware, contournement des défenses — et l’impact opérationnel est significatif, même si les techniques sous-jacentes sont connues.

Les exemples sont parlants. L’acteur russe FANCY BEAR a déployé un malware LLM baptisé LAMEHUG, intégrant une logique basée sur des prompts pour automatiser la reconnaissance et la collecte de documents sur les systèmes compromis. L’acteur eCrime PUNK SPIDER a utilisé des scripts générés par IA pour accélérer le dumping d’identifiants et effacer les traces forensiques. FAMOUS CHOLLIMA, lié à la Corée du Nord, a utilisé des outils IA pour industrialiser des campagnes d’embauche frauduleuse — en plaçant des agents dans des organisations cibles grâce à des CV, réponses d’entretien et documents d’identité générés par IA.

Mais la mise en garde la plus forte du rapport concerne l’IA comme cible, pas seulement comme outil. CrowdStrike est intervenu auprès de plus de 90 organisations où des adversaires ont injecté des prompts malveillants dans des outils de développement IA légitimes, détournant des interfaces locales pour générer des commandes de vol d’identifiants et de cryptomonnaies. Ailleurs, des attaquants ont exploité des vulnérabilités de plateformes IA comme Langflow pour établir une persistance et déployer des ransomwares. Des clones malveillants de serveurs MCP légitimes ont intercepté des données sensibles transitant dans les workflows IA.

La conclusion est inconfortable mais inévitable : les outils IA que votre organisation déploie pour gagner en productivité et sécurité élargissent en même temps votre surface d’attaque. Sans gouvernance sur l’accès aux modèles, les prompts, les flux de données et les points d’intégration, adopter l’IA revient à adopter de nouveaux risques.

Les acteurs liés à la Chine mènent une campagne massive sur les appareils en périphérie

Au-delà de l’IA, le rapport documente une forte hausse de l’activité liée à la Chine, en progression de 38 % en 2025. Les attaques sur la logistique ont augmenté de 85 %, avec également un fort impact sur les télécoms et les services financiers. Mais le schéma tactique le plus marquant reste l’exploitation systématique des appareils en périphérie exposés à Internet.

Appliances VPN. Firewalls. Routeurs. Serveurs de messagerie. Toute l’infrastructure en bordure du réseau, souvent hors de portée des outils de détection des endpoints. Dans 40 % des cas où des acteurs liés à la Chine ont exploité une faille, la cible était un appareil en périphérie. Et la rapidité est inquiétante : de nombreux exploits ont été militarisés en quelques jours après divulgation publique, certains en seulement deux à six jours. L’exploitation de failles zero-day a bondi de 42 % sur un an.

Il ne s’agit pas de scans opportunistes. C’est une exploitation industrielle des vulnérabilités. Le rapport Dragos 2026 OT/ICS Cybersecurity décrit un schéma quasi identique dans les environnements industriels, où des groupes ciblent systématiquement des équipements Ivanti, Fortinet, Cisco et F5 exposés sur Internet pour pénétrer les réseaux OT. Le délai médian entre la divulgation d’une vulnérabilité et la publication d’un exploit est tombé à 24 jours — et parfois, les attaquants disposaient d’exploits fonctionnels avant même la publication des correctifs par les éditeurs.

Pour les responsables sécurité et protection des données, cela pose un problème structurel. Les appareils en périphérie offrent un accès immédiat au système, sont souvent peu surveillés, et des cycles de correctifs de plusieurs semaines ou mois ne sont pas adaptés à des timelines de militarisation de quelques jours. Si vos données sensibles transitent par ces appareils — et c’est le cas pour la plupart des organisations — vous avez une faille de visibilité activement exploitée par les adversaires.

Le ransomware ne se limite plus aux endpoints — l’identité est la nouvelle porte d’entrée

Le rapport CrowdStrike détaille une évolution majeure des opérations ransomware en 2025. Les groupes les plus sophistiqués vont au-delà du déploiement classique sur les endpoints pour mener des campagnes inter-domaines couvrant cloud, identité et environnements virtualisés.

SCATTERED SPIDER et BLOCKADE SPIDER se déplacent latéralement entre infrastructures cloud et identité, déployant souvent les ransomwares uniquement sur les systèmes VMware ESXi — la couche de virtualisation qui supporte la plupart des serveurs d’entreprise, mais souvent moins surveillée que les endpoints utilisateurs. PUNK SPIDER a mené 198 intrusions observées (+134 %), utilisant le chiffrement à distance de fichiers sur des partages SMB, permettant de chiffrer les données sans exécuter de ransomware directement sur les hôtes gérés.

La dimension supply chain est tout aussi préoccupante. PRESSURE CHOLLIMA, lié à la Corée du Nord, a orchestré un vol de cryptomonnaie de 1,46 milliard de dollars — le plus important jamais signalé — en compromettant SafeWallet et Bybit via une attaque supply chain. Ils ont inséré du JavaScript malveillant et des smart contracts dans des logiciels financiers de confiance, exécuté le vol, puis rétabli les codes initiaux pour effacer leurs traces.

Les intrusions cloud ont augmenté de 37 % en 2025, et de 266 % pour les acteurs étatiques. L’abus de comptes valides représente 35 % des incidents cloud. Il ne s’agit pas d’attaques par force brute. Ces adversaires se procurent des identifiants légitimes — via phishing, infostealers ou achats sur le dark web — et s’introduisent dans les environnements cloud et SaaS comme s’ils étaient des utilisateurs autorisés.

Le rapport Dragos confirme ce modèle d’attaque centré sur l’identité dans l’industrie, montrant que les affiliés ransomware s’appuient de plus en plus sur des logs d’identifiants volés, la réutilisation de mots de passe entre systèmes OT et IT, et des comptes fournisseurs compromis pour contourner totalement les défenses périmétriques. Le schéma est clair : dans tous les secteurs, la compromission d’identité est le principal vecteur d’accès, et les plateformes cloud et SaaS sont la cible privilégiée.

Ce que cela implique pour les responsables sécurité et données

Le rapport mondial sur les menaces 2026 de CrowdStrike, croisé avec le WEF Global Cybersecurity Outlook 2026 et le rapport Dragos OT/ICS, dresse un paysage de menaces qui a largement dépassé les modèles de sécurité encore en place dans la plupart des organisations. La convergence est évidente : les attaquants enchaînent compromission d’identité, abus du SaaS, exploitation des périphéries et manipulation de l’IA dans des campagnes qui franchissent les frontières des domaines plus vite que les outils de sécurité fragmentés ne peuvent corréler.

Le rapport WEF indique que 61 % des organisations considèrent l’évolution rapide des menaces comme leur principal défi de résilience, et 46 % pointent les vulnérabilités supply chain. Ce ne sont pas des problèmes distincts. Ce sont différentes facettes d’un même défi structurel : impossible de protéger des données invisibles, de contrôler des accès non surveillés ou de répondre à des menaces plus rapides que les processus internes.

Ce que chaque RSSI doit faire dès maintenant

Considérez 29 minutes comme la référence, pas l’exception. Chaque plan de réponse aux incidents, exercice de simulation et workflow de détection doit être testé pour un scénario de breakout en moins de 30 minutes. Si votre délai moyen de détection et de confinement se compte en heures, vous préparez une menace qui n’existe plus. L’application automatisée des règles et la surveillance en temps réel de Kiteworks fonctionnent à la vitesse exigée par la menace, garantissant que les contrôles d’accès aux données sont actifs et effectifs avant toute intervention manuelle.

Passez de la détection de malware à une défense centrée sur l’identité. Avec 82 % des intrusions sans malware, la détection doit se concentrer sur les comportements d’identité, les schémas d’accès et la corrélation inter-domaines. Cela implique une surveillance continue des événements d’authentification, des élévations de privilèges et des mouvements latéraux sur endpoint, cloud, SaaS et infrastructures d’identité. Kiteworks applique cela au niveau des données : des contrôles d’accès basés sur les attributs évaluent l’identité de l’utilisateur, la sensibilité des données et l’usage prévu avant d’accorder l’accès, et chaque interaction est enregistrée dans un journal d’audit consolidé.

Gouvernez vos outils IA avant que les adversaires ne le fassent. Le fait que des attaquants aient ciblé des systèmes IA dans plus de 90 organisations doit déclencher un inventaire immédiat de chaque outil, modèle et intégration IA de votre environnement. Mettez en place des contrôles d’accès, surveillez les entrées et sorties de prompts, et appliquez la prévention des pertes de données adaptée à l’exfiltration assistée par IA. Le serveur MCP sécurisé de Kiteworks applique des contrôles basés sur les rôles et les attributs à chaque interaction avec des agents externes, offrant l’infrastructure de gouvernance requise pour le déploiement de l’IA.

Comblez le manque de visibilité sur les appareils en périphérie. Les appareils en périphérie sont le talon d’Achille de la sécurité d’entreprise. Corrigez les appliances exposées à Internet en quelques jours — pas en semaines. Segmentez le réseau pour limiter les mouvements latéraux depuis les appareils compromis. Déployez une surveillance couvrant les équipements hors de portée de votre EDR. L’architecture d’appliance virtuelle durcie de Kiteworks, avec firewalls intégrés, détection d’intrusion et double chiffrement au repos, garantit que la plateforme traitant vos données les plus sensibles n’est pas exposée à la périphérie non surveillée.

Exigez une visibilité inter-domaines, pas des tableaux de bord cloisonnés. Quand les acteurs ransomware ciblent uniquement ESXi, que les intrusions cloud reposent sur des tokens d’identité volés, et que les outils IA deviennent des vecteurs de mouvement latéral, une visibilité limitée aux endpoints n’est plus suffisante. Une défense efficace exige une corrélation entre endpoints, identité, cloud, SaaS et infrastructures IA dans une vue opérationnelle unique. Kiteworks offre cela pour les données sensibles : une gouvernance unifiée sur chaque canal de communication avec un journal d’audit consolidé qui élimine les failles créées par des outils fragmentés.

La réalité des 29 minutes impose une nouvelle architecture

Le message central du rapport CrowdStrike 2026 est clair : l’adversaire s’adapte plus vite que le défenseur. Les temps de breakout s’effondrent. Le malware devient optionnel. L’IA est à la fois arme et cible. L’identité fait office de périmètre. Les appareils en périphérie sont la porte d’entrée. Et les campagnes inter-domaines deviennent la norme.

Pour les organisations qui doivent protéger des données sensibles — dossiers clients, informations financières, propriété intellectuelle, contenus réglementés — la question n’est plus de savoir si les attaquants atteindront vos données. La vraie question : votre infrastructure de gouvernance saura-t-elle détecter, contenir et prouver la conformité lorsqu’ils y parviendront ?

Kiteworks est la plateforme conçue pour cette réalité : gouvernance unifiée des données sur la messagerie électronique, le partage et le transfert de fichiers, SFTP, formulaires web et API. Architecture Zero trust où toutes les adresses IP sont bloquées par défaut. Contrôles d’accès basés sur les attributs appliquant la politique au niveau des données. Journal d’audit consolidé retraçant chaque interaction sur chaque canal. Chiffrement validé FIPS 140-3 avec clés détenues par le client. Et reporting conformité prêt pour la direction sur plus de 50 cadres réglementaires.

La fenêtre de breakout de 29 minutes n’est pas une anomalie temporaire. C’est la nouvelle réalité opérationnelle. Les organisations qui protégeront leurs données sont celles dont l’infrastructure de gouvernance a été pensée pour des adversaires à la vitesse machine, pas pour des processus manuels.

La fenêtre se referme. La question est de savoir si vos défenses sont déjà à l’intérieur.

Pour découvrir comment Kiteworks peut vous aider, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Les outils basés sur les signatures ne détectent que ce qu’ils connaissent. Quand les attaquants utilisent des identifiants valides, des utilitaires d’administration natifs et des outils d’accès à distance commerciaux, il n’y a rien à faire correspondre à une signature. Il faut donc passer à une détection comportementale : surveiller les activités d’identité anormales, les élévations de privilèges inhabituelles et les schémas de mouvement latéral, plutôt que le code malveillant. Les journaux d’audit retraçant chaque accès aux données deviennent la preuve forensique que les outils à base de signatures ne peuvent plus fournir.

Les agents FAMOUS CHOLLIMA soumettent des CV générés par IA, se font coacher pendant les entretiens via des dispositifs cachés et utilisent des identités empruntées ou des deepfakes pour passer les vérifications vidéo. Pour détecter ces fraudes, il faut vérifier les documents d’identité officiels via des services de validation tiers, exiger des interactions vidéo non scriptées en direct et croiser les informations des candidatures avec les schémas connus des sociétés-écrans nord-coréennes. Après l’embauche, des contrôles d’accès basés sur les attributs limitant la portée des données aux fonctions du poste et l’audit de chaque interaction avec les données permettent de limiter l’impact si un agent passe entre les mailles du filet.

La plupart des outils EDR fonctionnent sur les systèmes d’exploitation invités, pas sur la couche hyperviseur ESXi elle-même. Un ransomware déployé directement sur ESXi chiffre toutes les machines virtuelles hébergées sans déclencher les agents sur les invités. Les contrôles compensatoires incluent la surveillance au niveau de l’hyperviseur, la segmentation réseau isolant les interfaces de gestion ESXi des réseaux accessibles aux utilisateurs, des restrictions d’accès privilégié pour les identifiants administrateurs ESXi, et des journaux d’audit couvrant les données stockées sur les systèmes hébergés ESXi — afin de déterminer immédiatement l’étendue en cas de chiffrement.

Des clones malveillants de serveurs MCP interceptent les données sensibles transitant entre les applications LLM et les outils d’entreprise, capturant identifiants, données personnelles et propriété intellectuelle sans déclencher d’alerte classique. La gouvernance impose de vérifier la provenance du serveur MCP avant déploiement, d’appliquer des contrôles d’accès basés sur les rôles et les attributs à chaque interaction avec un agent, de déployer des politiques DLP sur les entrées et sorties de prompts IA, et d’enregistrer chaque interaction avec un outil LLM dans un journal d’audit immuable.

En vertu du RGPD, la notification de violation à l’autorité de contrôle doit intervenir dans les 72 heures après la prise de connaissance de l’incident. Si le breakout se produit en 29 minutes et que la détection prend des heures ou des jours, le compte à rebours peut commencer bien avant que l’étendue forensique ne soit établie. Les organisations sans journaux d’audit en temps réel retraçant chaque accès aux données auront du mal à déterminer quelles données personnelles ont été consultées — les obligeant à déclarer le pire des scénarios et les exposant à des sanctions pour notifications incomplètes ou inexactes.

Ressources complémentaires

  • Article de blog Zero Trust Architecture : Ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les prestataires de défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées une fois signalées par la DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Guide ultime pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks