Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le rapport Dataminr 2026 sur le paysage des cybermenaces alerte sur l’avènement de l’ère des « mégas pertes » en cybersécurité

Le rapport Dataminr 2026 sur le paysage des cybermenaces alerte sur l’avènement de l’ère des « mégas pertes » en cybersécurité

par Patrick Spencer updated février 26, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Les chiffres sont tombés, et ils sont sans appel.

Le rapport 2026 sur le paysage des cybermenaces de Dataminr est paru cette semaine, avec des conclusions qui devraient faire réagir tous les RSSI, responsables conformité et membres de conseil d’administration. Il ne s’agit pas d’une simple hausse des cybermenaces. On parle d’une augmentation de 225 % du nombre moyen d’alertes mensuelles sur les acteurs malveillants par rapport à 2024. Ce n’est pas une évolution, c’est une véritable explosion.

Mais ce qui compte vraiment, c’est que la nature de ces attaques a radicalement changé. Les attaquants ne forcent plus l’entrée. Ils se connectent. Et cette distinction change tout dans la façon dont les organisations doivent aborder la sécurité, la conformité et la confidentialité des données.

5 enseignements clés

  1. L’activité des acteurs malveillants explose : +225 % d’alertes mensuelles. Dataminr a suivi plus de 5 000 acteurs malveillants en 2025, enregistré plus de 18 000 alertes ransomware et détecté plus de 2 millions d’incidents d’usurpation de domaine. Le nombre moyen d’alertes mensuelles a bondi de 225 % par rapport à 2024. Ce n’est pas une simple progression, mais un changement structurel dans le volume et la vitesse des cybermenaces qui visent toute organisation manipulant des données sensibles.
  2. L’identité est devenue la principale surface d’attaque. Près de 30 % des intrusions impliquent désormais des identifiants valides. Les attaquants ne forcent plus l’entrée : ils se connectent. Une hausse de 84 % des malwares infostealer diffusés par phishing alimente cette tendance, avec des identifiants volés, des jetons de session et des données de navigateur mis en vente sur des places de marché criminelles. La plupart des activités d’ingénierie sociale sont désormais dopées à l’IA, rendant les campagnes de phishing plus crédibles et difficiles à détecter.
  3. Les pertes liées à un seul incident atteignent des sommets catastrophiques. Si le volume des ransomwares s’est stabilisé en 2025, l’impact financier de chaque incident a fortement augmenté. L’analyse des pertes normalisées de Dataminr montre des regroupements autour de 100 millions de dollars — certains incidents dépassant même le milliard. Les organisations sont désormais confrontées à moins d’attaques, mais à des attaques plus systémiques et multi-vecteurs, combinant vol d’identifiants, exfiltration de données, perturbation opérationnelle et exposition réglementaire.
  4. Les scores de vulnérabilité traditionnels ne reflètent plus le risque réel pour l’entreprise. Une violation sur quatre implique l’exploitation d’une vulnérabilité tierce, souvent utilisée dans l’année même de sa divulgation. Les scores CVSS passent fréquemment à côté du contexte critique : ciblage sectoriel, probabilité d’exploitation, impact financier potentiel. Les organisations qui priorisent la remédiation uniquement selon la gravité technique optimisent les mauvais indicateurs.
  5. Les équipes de sécurité humaines seules ne peuvent plus suivre le rythme. Avec plus de 43 To de signaux collectés chaque jour et des millions d’alertes générées chaque année, le rythme et l’ampleur des menaces dépassent ce que des opérations de sécurité purement humaines peuvent gérer. Il faut désormais des plateformes de détection dédiées pour corréler les signaux suffisamment tôt, réduire le temps de présence des attaquants et éviter des pertes catastrophiques.

Le problème de l’identité dont personne ne veut parler

Près de 30 % des intrusions impliquent aujourd’hui des identifiants valides. Relisez bien : près d’une violation sur trois survient parce que quelqu’un est entré par la porte d’entrée avec une clé volée.

Cela marque un bouleversement majeur dans les méthodes d’attaque. Pendant des années, les équipes de sécurité se sont concentrées sur la défense du périmètre. Pare-feu. Systèmes de détection d’intrusion. Segmentation réseau. Tous utiles, tous nécessaires — mais de moins en moins pertinents quand les attaquants s’authentifient comme des utilisateurs légitimes.

Le moteur de ce changement ? Les malwares infostealer diffusés par phishing, en hausse de 84 % sur l’année écoulée. Il ne s’agit pas d’outils sophistiqués d’États-nations, mais de malwares de commodité qui récoltent identifiants, jetons de session et données de navigateur, puis emballent le tout pour la revente sur des places de marché criminelles.

Le problème s’aggrave à grande échelle. Dataminr a suivi plus de 5 000 acteurs malveillants sur l’année, enregistré plus de 18 000 alertes ransomware et détecté plus de 2 millions d’incidents d’usurpation de domaine. Ce n’est plus un paysage de menaces, mais un écosystème de menaces à l’échelle industrielle.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Pourquoi les indicateurs de sécurité traditionnels ne suffisent plus

Voici une vérité dérangeante mise en lumière par le rapport Dataminr : les systèmes de notation des vulnérabilités traditionnels ne reflètent pas le risque réel pour l’entreprise.

Les organisations ont passé des années à prioriser la remédiation selon les scores du Common Vulnerability Scoring System. Une faille critique ? Correction immédiate. Une faille moyenne ? Programmée lors de la prochaine maintenance. Cette logique avait du sens quand la gravité technique correspondait à l’exploitation réelle.

Ce lien n’existe plus.

Les attaquants exploitent les vulnérabilités quelques mois seulement après leur divulgation. Une violation sur quatre implique une faille tierce, souvent avant que les évaluations de risque traditionnelles ne soient à jour. Parallèlement, les scores CVSS omettent souvent le contexte : ciblage sectoriel, probabilité d’exploitation, et surtout, impact financier potentiel.

Résultat ? Les organisations corrigent consciencieusement, cochent les cases de conformité, et se font tout de même pirater parce qu’elles optimisent les mauvais indicateurs.

La réalité des « méga-pertes »

L’un des constats les plus marquants du rapport Dataminr concerne la gravité des pertes. Le volume des ransomwares s’est stabilisé en 2025, ce qui pourrait sembler positif, mais la répartition des impacts raconte une autre histoire.

Les pertes liées à un seul incident ont nettement augmenté. L’analyse des pertes normalisées du rapport révèle des regroupements autour de 100 millions de dollars — certains incidents dépassant le milliard.

Cela traduit un changement structurel du risque cyber. Les organisations font face à moins d’attaques, mais à des attaques plus systémiques, qui combinent vol d’identifiants, exfiltration de données, perturbation opérationnelle et exposition réglementaire en un seul incident. Le modèle ancien, fait de violations fréquentes mais limitées, laisse place à des événements rares mais catastrophiques.

Pour les responsables conformité et gestionnaires de risques, ce changement impose de repenser en profondeur la modélisation, la déclaration et l’assurance du risque cyber.

Le fossé de la sécurité des données dans les environnements opérationnels

Les conclusions de Dataminr rejoignent les grandes tendances documentées dans le rapport Dragos 2026 sur la cybersécurité OT, qui analyse les menaces pesant sur les technologies opérationnelles et les systèmes de contrôle industriel. Ensemble, ces rapports dressent le tableau de risques IT et OT convergents, générant de nouveaux défis en matière de sécurité des données.

Les groupes malveillants ne se contentent plus d’accéder aux systèmes. Ils cartographient méthodiquement les boucles de contrôle, exfiltrent des fichiers de projets d’ingénierie, des données d’alarmes, des bases HMI/SCADA et des sauvegardes de configuration. Ces données opérationnelles deviennent de l’intelligence pour de futures attaques — permettant de perturber précisément les processus physiques.

Les enjeux de sécurité des données dépassent donc les frontières traditionnelles de l’IT. Fichiers de conception échangés entre ateliers et fournisseurs, procédures de contrôle qualité partagées entre sites mondiaux, plannings de production, historiques de maintenance, spécifications techniques de fournisseurs… Toutes ces données opérationnelles sensibles circulent entre systèmes, souvent via des serveurs SFTP obsolètes, des pièces jointes d’e-mails et des partages de fichiers non sécurisés.

Ce sont précisément ces canaux que les acteurs malveillants exploitent. Quand moins de 10 % des réseaux OT disposent d’une visibilité et d’une surveillance adaptées, les organisations ne voient même pas ce qui est exfiltré avant qu’il ne soit trop tard.

Les implications en matière de confidentialité des données souvent ignorées

Les rapports Dataminr et Dragos se concentrent principalement sur la sécurité et le risque opérationnel. Mais les types de données concernés soulèvent d’importantes questions de confidentialité au regard des réglementations actuelles.

Voyez ce qui est volé lors de ces attaques : informations sur les opérateurs (comportements individuels, horaires, historiques d’erreurs, incidents de sécurité), identifiants et journaux d’activité relevant de données personnelles sensibles, fichiers de configuration et comptes rendus d’intrusion publiés par des hacktivistes sur Telegram et X, exposant des identifiants personnels à l’échelle mondiale.

Les organisations ne classent généralement pas ces données opérationnelles comme des informations personnelles identifiables. Pourtant, selon le RGPD, le CCPA et les nouvelles lois sur la confidentialité, une grande partie y correspond. La combinaison de données d’identité, de comportements et d’informations de localisation crée une exposition réglementaire que la plupart des industriels n’ont pas anticipée.

Quand les obligations de notification de violation s’appliquent, les organisations découvrent qu’elles détenaient des données personnelles sensibles qu’elles n’avaient ni recensées ni protégées.

Le choc de la conformité

Les constats des deux rapports recoupent directement les obligations réglementaires que les organisations ne respectent pas systématiquement.

L’abus d’identité via des logs infostealer, la réutilisation de mots de passe et une authentification multifactorielle faible sapent les exigences de contrôle d’accès de quasiment tous les référentiels de conformité. Les attaquants s’authentifient légitimement sur des VPN, sessions RDP et plateformes cloud, contournant totalement les détections périmétriques.

Les programmes de gestion des vulnérabilités ne suivent pas le rythme de l’armement des failles. Quand les exploits apparaissent quelques semaines après leur divulgation, des cycles de correctifs mensuels créent des fenêtres d’exposition persistantes.

Plus préoccupant encore : 30 % des cas de réponse à incident commencent par « quelque chose semble anormal », et dans beaucoup de ces cas, aucune télémétrie opérationnelle n’a été collectée. Les organisations affirment publiquement « aucune implication cyber » dans des incidents alors qu’elles n’ont pas la visibilité nécessaire pour l’affirmer. Selon les exigences de diligence et d’évaluation des violations de la plupart des référentiels, c’est injustifiable.

L’écart de temps de détection est révélateur. Les organisations disposant d’une visibilité totale détectent les incidents en cinq jours en moyenne. La moyenne du secteur ? Quarante-deux jours. Cette différence de six semaines signifie une exposition prolongée des données, une portée de violation élargie et une responsabilité réglementaire et juridique nettement accrue — y compris le non-respect du délai de notification de 72 heures du RGPD et des exigences équivalentes dans HIPAA et d’autres référentiels sectoriels.

La vulnérabilité du transfert de fichiers

Les groupes affiliés au ransomware ciblent désormais les plateformes de transfert de fichiers. Le rapport Dragos signale spécifiquement l’exploitation de systèmes MFT et FTP, dont Cleo MFT, CrushFTP et Wing FTP. Ces plateformes deviennent des points de pivot pour le vol de fichiers sensibles, la pose de portes dérobées et la perturbation des opérations sur plusieurs sites simultanément.

Ce ciblage est logique du point de vue des attaquants. Les systèmes de transfert de fichiers manipulent par définition des données sensibles. Ils relient souvent des segments réseau normalement séparés. Et ils fonctionnent fréquemment avec des privilèges élevés et une surveillance minimale.

Pour les organisations qui utilisent encore des infrastructures de transfert de fichiers obsolètes, il s’agit d’une exposition critique. Documents d’ingénierie, dossiers de conformité, spécifications fournisseurs, données réglementées… tout transite par ces canaux. Quand ils sont compromis, le rayon d’impact s’étend à tout l’écosystème de données. Une plateforme de transfert sécurisé de fichiers conçue pour cela, avec des journaux d’audit immuables, des contrôles DLP et une détection d’anomalies, remplace l’exposition SFTP par un canal gouverné et auditable.

Ce qui fonctionne vraiment

Le rapport Dataminr conclut que le rythme et l’ampleur des menaces actuelles dépassent les capacités des équipes de sécurité humaines seules. Avec des alertes sur les acteurs malveillants en hausse de 225 % et des millions d’incidents à corréler, l’argument en faveur de la détection et de la réponse automatisées n’a jamais été aussi fort.

Mais la technologie seule ne suffit pas. La nature identitaire des attaques actuelles impose des changements fondamentaux d’architecture de sécurité.

L’authentification multifactorielle partout — pas comme une simple case à cocher, mais comme une véritable défense en profondeur. Des méthodes résistantes au phishing qui ne reposent pas sur des codes que les utilisateurs pourraient révéler sous la pression. Une surveillance continue de l’exposition aux infostealers, car le compromis d’identifiants est un état permanent, non un événement ponctuel.

Dans les environnements opérationnels, la priorité est la visibilité. Impossible de protéger ce qu’on ne voit pas. Les organisations ont besoin de capacités d’audit sur tous les canaux d’échange de données — e-mail, SFTP, partage de fichiers, API. Les quarante-deux jours de détection qui font la moyenne du secteur découlent directement des angles morts sur la circulation des données entre systèmes. Les plateformes SIEM qui collectent les signaux de tous ces canaux — transfert de fichiers, e-mail, formulaires web, API — comblent les failles qui permettent aux attaquants de rester indétectés.

L’architecture Zero Trust n’est plus un idéal, c’est un impératif. Considérer tous les échanges de données comme non fiables — y compris les transferts internes entre zones IT et OT — ferme les voies de déplacement latéral exploitées par les attaquants. C’est particulièrement crucial aux frontières IT/OT, où des données opérationnelles sensibles doivent circuler pour des besoins métiers légitimes.

La gestion des risques supply chain et tiers exige la même rigueur. Quand une violation sur quatre implique une faille tierce, la gouvernance des accès fournisseurs devient un contrôle de sécurité prioritaire. Autorisations limitées dans le temps, traçabilité complète et révocation immédiate des comptes compromis ou des tiers suspects sont des exigences minimales.

Et maintenant ?

Le rapport 2026 sur le paysage des cybermenaces de Dataminr confirme ce que les professionnels de la sécurité pressentaient : nous sommes entrés dans une nouvelle ère du risque cyber, marquée par des attaques centrées sur l’identité, des délais d’armement raccourcis et des pertes catastrophiques sur incident unique.

Pour la sécurité des données, cela signifie repenser les défenses périmétriques au profit de la protection de l’identité et de la surveillance continue. Pour la confidentialité, il s’agit de reconnaître que les données opérationnelles contiennent souvent des informations personnelles soumises à la réglementation. Pour la conformité, il faut combler l’écart entre la simple conformité de façade et de véritables contrôles de sécurité adaptés aux modes d’attaque actuels.

L’augmentation de 225 % des alertes sur les acteurs malveillants n’est pas une tendance à surveiller, c’est un signal d’alarme. Les organisations qui renforcent leurs contrôles d’identité, obtiennent une visibilité totale et gouvernent les échanges de données sur tous les canaux traverseront cette période. Les autres se retrouveront du mauvais côté de la courbe des méga-pertes.

Le choix, comme toujours, appartient aux organisations.

Pour découvrir comment Kiteworks peut vous accompagner, réservez votre démo personnalisée dès maintenant.

Foire aux questions

Un malware infostealer — généralement diffusé par phishing — collecte les identifiants, jetons de session et mots de passe enregistrés sur les navigateurs des terminaux infectés, puis les revend sur des places de marché criminelles. Les acheteurs utilisent ces identifiants pour s’authentifier comme des utilisateurs légitimes sur des VPN, plateformes cloud et systèmes d’entreprise, contournant ainsi totalement les défenses périmétriques. Près de 30 % des intrusions suivent ce schéma. Pour l’arrêter, il faut une authentification multifactorielle qui ne repose pas sur des codes SMS ou des mots de passe à usage unique que l’on peut extorquer par ingénierie sociale — des méthodes résistantes au phishing comme les clés physiques ou passkeys sont bien plus efficaces. Ajouter des journaux d’audit et une détection d’anomalies basée sur SIEM à l’authentification multifactorielle permet de détecter l’utilisation frauduleuse d’identifiants que l’authentification seule ne bloque pas.

Les scores CVSS mesurent la gravité technique — complexité d’exploitation et impact potentiel — mais ne tiennent pas compte du comportement réel des attaquants. Une violation sur quatre implique une faille tierce, souvent exploitée dans les mois qui suivent sa divulgation. Les scores CVSS ignorent des éléments essentiels pour l’entreprise : la cible sectorielle de la faille, la rapidité d’apparition d’un code d’exploitation public et l’impact financier potentiel si elle est exploitée dans votre environnement. Les organisations qui corrigent uniquement selon le score CVSS ferment des failles que les attaquants ne priorisent pas, tout en laissant ouvertes celles qu’ils exploitent. Une priorisation efficace combine scores techniques, renseignements sur les exploitations actives et exposition de votre supply chain.

Les plateformes de transfert sécurisé de fichiers et SFTP figurent parmi les cibles les plus attractives pour trois raisons principales. D’abord, elles agrègent des données sensibles issues de multiples sources — fichiers d’ingénierie, dossiers de conformité, spécifications fournisseurs, données personnelles réglementées — en un seul endroit. Ensuite, elles relient souvent des segments réseau normalement séparés, ce qui en fait des points de pivot naturels pour les déplacements latéraux. Enfin, les déploiements anciens fonctionnent souvent avec des privilèges élevés et une surveillance minimale, ce qui retarde la détection des compromissions. Les attaques documentées par Dragos sur Cleo MFT, CrushFTP et Wing FTP illustrent cette tendance. Remplacer le SFTP obsolète par une plateforme MFT gouvernée, offrant des journaux d’audit immuables, des contrôles DLP et une détection d’anomalies, supprime les angles morts qui rendent ces systèmes si vulnérables.

Oui — et c’est l’un des risques de conformité les plus sous-estimés dans l’industrie et les infrastructures critiques. Les informations sur les opérateurs collectées en environnement OT — horaires, historiques d’accès, erreurs, logs comportementaux — constituent des données personnelles au sens du RGPD et du CCPA. La plupart des organisations ne les classent pas comme des informations personnelles identifiables et ne les ont donc ni recensées ni protégées. L’exposition devient critique quand des groupes hacktivistes publient des dumps d’identifiants et des journaux d’activité en accès public — déclenchant des obligations de notification de violation que les organisations n’anticipaient pas, pensant que ces référentiels ne concernaient que leur IT. Les analyses d’impact sur la confidentialité doivent explicitement couvrir les environnements OT pour cartographier ce risque avant qu’un régulateur ne le fasse à leur place.

Les 42 jours de délai moyen pour détecter une violation OT ou entreprise multiplient les risques de non-conformité sur plusieurs plans. Le RGPD impose la notification aux autorités dans les 72 heures après prise de connaissance — un délai systématiquement dépassé quand on ne voit pas ce qui se passe sur ses canaux d’échange de données. HIPAA impose un délai de 60 jours pour les entités concernées, et les exigences d’évaluation de violation demandent des preuves documentées sur les données consultées. Les référentiels sectoriels comme NERC CIP ou les régulateurs financiers imposent leurs propres délais. Au-delà de la notification, ce temps de latence empêche de fournir les chronologies forensiques exigées : qui a accédé à quelles données, via quels systèmes, et quand. Des journaux d’audit couvrant transfert de fichiers, e-mail, API et MFT sont indispensables — sans eux, il n’existe aucune preuve de conformité.

Ressources complémentaires

  • Article de blog Architecture Zero Trust : ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées une fois signalées par le DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à l’approche Zero Trust
  • Vidéo Guide de référence pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks