Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les prévisions de Google en matière de cybersécurité pour 2026 délivrent un message que personne ne veut entendre : vos plus grandes menaces concernent la circulation des données.

Les prévisions de Google en matière de cybersécurité pour 2026 délivrent un message que personne ne veut entendre : vos plus grandes menaces concernent la circulation des données.

par Patrick Spencer updated février 25, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

Google Cloud Security vient de publier ses prévisions cybersécurité 2026, et le message est sans détour. Les menaces qui vont marquer cette année — attaques dopées à l’IA, ransomware à grande échelle, espionnage étatique, ciblage des hyperviseurs, cybercriminalité sur la blockchain — ont toutes un point commun que la plupart des organisations négligent.

Il s’agit toutes de problèmes liés à la circulation des données.

Ce ne sont pas des problèmes de terminaux. Ce ne sont pas des problèmes de périmètre. Ce ne sont pas des problèmes de sensibilisation. Le rapport, fondé sur les renseignements de première ligne de Mandiant, Google Threat Intelligence et l’Office of the CISO de Google Cloud, martèle le même constat à chaque section : les menaces les plus dangereuses en 2026 exploitent la façon dont les organisations déplacent, partagent et échangent du contenu sensible. Et celles qui ne considèrent pas l’échange de contenu comme un domaine de sécurité à part entière seront les plus durement touchées.

Voici ce qui compte, ce que dit réellement le rapport, et ce que cela implique pour toute personne chargée de protéger les données réglementées.

5 points clés à retenir

1. Les agents IA sont le nouveau Shadow IT — et déplacent déjà vos données sensibles

Google prévoit que les agents IA deviendront des acteurs pleinement autonomes dans les workflows d’entreprise d’ici 2026. Cela signifie que chaque agent IA qui interagit avec votre environnement représente une voie potentielle d’exfiltration de données réglementées — ePHI, PCI, ITAR, CJIS. Le rapport alerte sur les « Shadow Agents » qui créent des canaux invisibles et incontrôlés pour les données sensibles. Les organisations incapables de tracer quel agent a accédé à quel fichier, selon quelle règle et avec quelle validation, avancent à l’aveugle sur la conformité.

2. Le transfert sécurisé de fichiers est devenu la cible privilégiée des ransomwares

Le rapport désigne explicitement les logiciels de transfert sécurisé de fichiers (MFT) comme vecteur principal d’exfiltration massive de données, touchant des centaines de cibles simultanément. Les plateformes MFT historiques sont devenues un maillon faible systémique. Avec 2 302 victimes recensées sur des sites de fuite de données au premier trimestre 2025 — un record sur un seul trimestre — l’écosystème de l’extorsion fonctionne désormais à l’échelle industrielle.

3. Les États-nations ciblent vos canaux de contenu, pas seulement vos terminaux

La Russie, la Chine, l’Iran et la Corée du Nord mènent des opérations cyber persistantes axées sur les équipements en périphérie, les prestataires tiers et les flux de données transfrontaliers. Moins il y a de canaux non maîtrisés pour les documents sensibles, plus la surface d’attaque est réduite. Les organisations qui échangent du contenu réglementé entre différentes juridictions — UE vers États-Unis, APAC, Moyen-Orient — font face à des obligations réglementaires qui se superposent et exigent une gouvernance, une traçabilité et des contrôles d’échange de contenu audités.

4. Les attaques sur hyperviseur peuvent anéantir tout votre patrimoine numérique en quelques heures

Les prévisions annoncent un virage marqué vers les attaques sur hyperviseur et la virtualisation d’entreprise. Contrairement aux ransomwares classiques qui se propagent sur plusieurs jours ou semaines, les attaques sur hyperviseur peuvent rendre des centaines de systèmes inopérants en quelques heures. Les sauvegardes de configuration, documents d’ingénierie, procédures opérationnelles et exports ERP situés hors des réseaux OT deviennent alors des actifs critiques pour la reprise — et des cibles de choix pour l’exfiltration.

5. La traçabilité pour la conformité est devenue une question de survie

En cas de violation, les régulateurs veulent savoir précisément ce qui a été volé, dans quelles juridictions et sous quelles catégories de données. Le rapport montre que les groupes d’extorsion exploitent les obligations de notification de violation en divulguant des données personnelles. Les organisations dépourvues de journaux de transactions détaillés, de contexte de règles et de documentation sur l’état du chiffrement se retrouvent dans une impasse réglementaire dont elles pourraient ne jamais se remettre.

Les agents IA s’attaquent à vos données réglementées

Les prévisions annoncent que l’utilisation de l’IA par les adversaires deviendra la norme en 2026. Cela inclut les attaques par injection de prompts pour contourner les protocoles de sécurité, l’ingénierie sociale dopée à l’IA avec clonage vocal pour des usurpations hyperréalistes, et des systèmes agentiques automatisant toutes les étapes du cycle d’attaque.

Mais il y a un point qui mérite autant d’attention que la menace externe : l’explosion des agents IA en entreprise génère autant de risques en interne.

Google décrit un « changement de paradigme des agents IA » où les organisations adoptent massivement ces agents pour exécuter des workflows et prendre des décisions. Ces agents auront besoin de leur propre identité gérée, de leurs propres contrôles d’accès et de leurs propres traces d’audit. Le rapport anticipe l’essor de la « gestion d’identité agentique » avec des accès à la demande et des autorisations spécifiques à chaque tâche.

Cela semble innovant jusqu’à la section suivante : « Risque des Shadow Agents ». D’ici 2026, Google prévoit que les employés déploieront de façon autonome des agents puissants pour leurs tâches, sans validation de l’entreprise. Ces agents se connectent à des plateformes SaaS, à la messagerie, au stockage et aux systèmes de transfert de fichiers, créant des canaux de données invisibles, hors de portée des équipes de sécurité.

Le rapport est explicite : ces shadow agents créent « des canaux invisibles et incontrôlés pour les données sensibles, pouvant entraîner des fuites, des violations de conformité et des vols de propriété intellectuelle ». Et interdire ces agents n’est pas une option, car cela ne fait que déplacer leur usage hors du réseau de l’entreprise, supprimant toute visibilité.

Pour toute organisation manipulant des données réglementées — santé, finance, secteur public, défense, juridique — le compte à rebours est lancé. Chaque agent IA qui accède à un fichier contenant de l’ePHI, des données PCI, des informations sous contrôle export ou des dossiers des forces de l’ordre ouvre une nouvelle voie d’exfiltration. Et si vous ne pouvez pas prouver quel agent a accédé à quel fichier, selon quelle règle et avec quelle autorisation, vous avez une faille de conformité qu’aucune sécurité des terminaux ne pourra combler.

La solution n’est pas de bloquer les agents IA. Il faut les faire passer par une couche d’échange de contenu gouvernée, qui considère chaque agent comme un participant à haut risque : accès restreint, inspection du contenu, workflows d’approbation et traces d’audit immuables pour chaque interaction. Les mêmes contrôles appliqués aux prestataires externes et aux tiers doivent s’étendre aux agents IA. Point final.

Le MFT, nouveau terrain de chasse des ransomwares

S’il y a une section de ces prévisions à afficher sur l’écran de chaque RSSI, c’est bien l’analyse sur les ransomwares.

Google qualifie la combinaison ransomware, vol de données et extorsion multifacette de « catégorie de cybercriminalité la plus déstabilisatrice financièrement au monde ». Sandra Joyce, VP de Google Threat Intelligence, l’affirme sans détour : « Ce problème va perdurer et s’aggraver en 2026. »

Les chiffres le prouvent. Au premier trimestre 2025, 2 302 victimes sont apparues sur des sites de fuite de données — un record depuis le début du suivi par Google en 2020. Les incidents de 2025 visant la distribution alimentaire et le retail ont généré des centaines de millions de dollars de pertes.

Et le rapport précise un point que toute personne utilisant une solution MFT historique doit lire deux fois : « Cibler les logiciels de transfert sécurisé de fichiers (MFT) permet aux cybercriminels d’exfiltrer massivement des données sur des centaines de cibles en même temps. »

Ce n’est pas un risque théorique. Nous l’avons vu à l’œuvre à de multiples reprises ces deux dernières années. Les plateformes MFT historiques se trouvent à la croisée des données sensibles et de la connectivité externe, en faisant la cible idéale pour des campagnes d’exfiltration de masse. Une seule faille zero-day dans un produit MFT peut compromettre des centaines d’organisations d’un coup.

Les conséquences réglementaires sont aussi lourdes que l’impact opérationnel. Quand une plateforme MFT historique est compromise, les organisations manquent souvent de traçabilité pour déterminer quels enregistrements, juridictions et catégories de données ont été touchés. Impossible alors de délimiter la violation pour les régulateurs, d’envoyer des notifications précises ou de se défendre lors d’actions collectives. Toutes les obligations en aval deviennent des suppositions.

L’alternative consiste à remplacer ces MFT fragiles par une plateforme d’échange de contenu durcie, pensée pour résister aux zero-days et à l’extorsion — qui impose le chiffrement en transit et au repos pour tous les échanges externes, applique des règles DLP pour empêcher la sortie de données protégées, et conserve des traces d’audit immuables, exploitables lors d’enquêtes réglementaires. Ce n’est pas un simple plus : c’est une réponse structurelle à une menace structurelle.

Les États-nations ciblent vos canaux de contenu

La section sur les États-nations détaille les menaces venant de Russie, Chine, Iran et Corée du Nord, et chaque profil renforce la même idée : ces adversaires ciblent la façon dont les organisations échangent du contenu, pas seulement leur stockage.

Les acteurs liés à la Chine continuent de cibler agressivement les équipements en périphérie dépourvus de détection des terminaux, exploitent les failles zero-day et compromettent les prestataires tiers pour accéder aux organisations en aval. La Russie développe des capacités avancées et prend pied dans les infrastructures critiques. L’Iran mène des campagnes intégrées mêlant espionnage, sabotage, hacktivisme et motivations financières. La Corée du Nord a réalisé le plus grand vol de cryptomonnaie jamais enregistré (environ 1,5 milliard de dollars) et étend l’infiltration de ses travailleurs IT à l’échelle mondiale.

Le dénominateur commun : l’exploitation des canaux d’échange de contenu — équipements en périphérie, connexions tierces, flux de données transfrontaliers, relations supply chain. Chaque document sensible échangé entre filiale étrangère, fournisseur, régulateur ou agence de sécurité devient une cible potentielle.

Pour les organisations opérant à l’international, la superposition réglementaire complexifie encore la donne. Les transferts de données à l’international impliquent le RGPD, le UK GDPR, la PDPA, la LGPD et un maillage croissant de lois sur la localisation des données. L’accent mis par le rapport sur la persistance des États-nations plaide pour la consolidation de tous les échanges de contenu réglementé traversant les frontières dans un canal sécurisé unique, avec routage géolocalisé, chiffrement obligatoire et contrôles audités, satisfaisant à la fois les équipes sécurité et les autorités de protection des données.

Attaques sur hyperviseur et course à la protection des données stratégiques

La partie du rapport consacrée à la virtualisation d’entreprise est particulièrement inquiétante pour une raison : la rapidité des attaques.

Les campagnes de ransomware classiques se propagent sur un réseau en plusieurs jours, voire semaines, laissant aux défenseurs le temps de réagir. Les attaques sur hyperviseur, elles, opèrent sur une toute autre temporalité. En contournant la détection sur les machines virtuelles, les attaquants peuvent chiffrer massivement les disques et paralyser les plans de contrôle, provoquant une paralysie opérationnelle totale en quelques heures.

La section ICS et OT aggrave encore ce constat. Google prévoit des opérations ransomware visant spécifiquement les logiciels critiques d’entreprise comme les ERP, coupant la chaîne d’approvisionnement en données dont dépendent les opérations OT. Parallèlement, le manque d’hygiène autour des accès distants continue de permettre à des malwares courants de pénétrer les réseaux OT.

Quand les systèmes de production sont attaqués, les données essentielles à la reprise — sauvegardes de configuration, documents d’ingénierie, firmwares, exports ERP, procédures opérationnelles — doivent rester accessibles, intactes et prouvées non compromises. Si ces artefacts résident dans l’environnement attaqué, ils sont perdus. S’ils ont été échangés avec des fournisseurs, intégrateurs ou partenaires d’incident via des canaux non gouvernés, il n’y a plus de chaîne de traçabilité.

C’est là qu’une couche d’échange de contenu sécurisé devient la colonne vertébrale de la résilience opérationnelle. Les artefacts stratégiques exigent un accès strictement contrôlé, une authentification forte et une inspection du contenu contre les malwares avant toute arrivée sur les réseaux OT ou cloud. En situation de crise, les preuves, journaux d’incident et artefacts partagés avec les partenaires IR et les forces de l’ordre doivent bénéficier de la même gouvernance pour garantir le respect des obligations de confidentialité.

La criminalité sur la blockchain rencontre la conformité hors chaîne

La partie du rapport consacrée à la cybercriminalité sur la blockchain se projette dans l’avenir, mais a des conséquences immédiates pour les institutions financières, les fintechs et tout acteur manipulant des données liées aux cryptomonnaies.

Google anticipe que des opérations malveillantes migreront des composants clés sur des blockchains publiques, exploitant tout l’écosystème Web3 pour le commandement, l’exfiltration décentralisée de données et la monétisation par tokens. L’immutabilité de la blockchain offre aux attaquants une résilience inédite face aux efforts de démantèlement classiques — mais laisse aussi une trace publique permanente, exploitable pour l’attribution.

La question de la conformité est claire : à mesure que crypto et actifs tokenisés se généralisent, les entités réglementées doivent prouver la gestion sécurisée des documents KYC et AML, des données de bénéficiaires effectifs, des dossiers SAR, des assignations et des soumissions réglementaires. Ces données hors chaîne sont précisément ce que recherchent les attaquants, et nécessitent la même gouvernance, chiffrement et traçabilité que toute autre catégorie de données réglementées. Une plateforme unifiée d’échange de contenu permet d’appliquer des règles cohérentes de conservation, de gel légal et de routage selon la juridiction, que les données arrivent via SFTP, portail web ou API.

Ce que cela signifie : la circulation des données est le champ de bataille

En lisant les prévisions cybersécurité 2026 de Google du début à la fin, un schéma se dégage, même si le rapport ne le formule pas explicitement.

Toutes les grandes catégories de menaces — agents IA, extorsion via MFT, criminalité sur la blockchain, attaques sur hyperviseur, espionnage étatique — relèvent d’abord d’un problème de circulation des données, avant d’être un problème de terminaux. Les adversaires ciblent la façon dont le contenu circule entre systèmes, organisations, juridictions et individus. Les cadres réglementaires se durcissent, se superposent et deviennent moins tolérants. Et les organisations qui manquent de visibilité sur leurs canaux d’échange de contenu ne pourront ni circonscrire les violations, ni satisfaire les régulateurs, ni relancer leurs opérations.

Ce n’est pas une théorie. C’est la réalité opérationnelle que constatent chaque jour les équipes de Google sur le terrain.

Pour les organisations qui veulent anticiper le paysage des menaces 2026 plutôt que de le subir, la voie est claire : considérer l’échange de contenu comme un domaine de sécurité à part entière. Centraliser les flux de fichiers sensibles dans une couche d’échange de contenu gouvernée et conforme. Appliquer les principes du zero trust à chaque participant — utilisateur humain, agent IA, prestataire externe, partenaire international. Imposer le chiffrement, la DLP, l’inspection du contenu et des contrôles d’accès basés sur des règles à chaque transfert. Et conserver des traces d’audit détaillées et immuables, capables de résister à une enquête réglementaire, à une obligation de notification de violation ou à une action collective.

Les menaces évoluent. La question est de savoir si votre approche de la protection des données en mouvement évolue aussi vite.

Pour découvrir comment Kiteworks peut vous accompagner, réservez une démo personnalisée dès aujourd’hui.

Foire Aux Questions

Le rapport identifie les logiciels MFT comme vecteur principal d’exfiltration massive de données, car une seule faille dans une plateforme MFT largement déployée peut compromettre des centaines d’organisations en même temps. Les plateformes MFT historiques se situent souvent à l’interface entre données sensibles et connectivité externe, avec une surveillance de sécurité limitée, ce qui en fait des cibles de choix pour les groupes d’extorsion. Le rapport note que 2 302 victimes ont été recensées sur des sites de fuite de données au premier trimestre 2025, un record depuis le début du suivi en 2020, confirmant l’ampleur industrielle de ces campagnes. Les organisations doivent évaluer si leur stratégie de résilience face aux ransomwares couvre bien la surface d’attaque MFT.

Les Shadow Agents sont des agents IA déployés par des employés sans validation de l’entreprise, qui se connectent à des plateformes SaaS, à la messagerie, au stockage et aux systèmes de transfert de fichiers. Selon les prévisions de Google, d’ici 2026, ces agents créeront des canaux invisibles et incontrôlés pour les données sensibles, impossibles à surveiller par les équipes sécurité. Contrairement au Shadow IT, qui concerne généralement des catégories logicielles connues, les shadow agents sont des systèmes autonomes capables d’accéder, de traiter et de transmettre des données sur plusieurs systèmes sans supervision humaine. Le risque va au-delà des fuites de données et inclut les violations de conformité et le vol de propriété intellectuelle. Les organisations doivent appliquer aux agents IA les mêmes contrôles d’accès et exigences d’audit qu’aux utilisateurs humains et aux prestataires externes.

Le paysage des menaces 2026 accentue la pression réglementaire sur plusieurs fronts. Les agents IA nécessitent de nouvelles approches de gestion des identités et des accès, avec des traces d’audit permettant de prouver quel agent a accédé à quelles données et selon quelle règle. Les groupes de ransomware et d’extorsion exploitent les obligations de notification de violation en divulguant des données personnelles, obligeant les organisations à disposer d’une traçabilité suffisante pour circonscrire précisément les violations. Les opérations étatiques ciblant les flux de données transfrontaliers impliquent des réglementations qui se superposent, dont le RGPD, le UK GDPR, la HIPAA, CJIS, ITAR/EAR, PDPA et LGPD. Les organisations dépourvues de journaux de transactions détaillés, de contexte de classification et de documentation sur l’état du chiffrement s’exposent à des risques réglementaires croissants.

Un périmètre d’échange de contenu est une couche gouvernée et sécurisée par laquelle transitent tous les flux de fichiers sensibles, quel que soit le canal (e-mail, MFT, SFTP, formulaires web, API). Il applique les principes du zero trust, l’inspection du contenu, les règles DLP, le chiffrement obligatoire et des contrôles d’accès basés sur des règles à chaque transfert. En centralisant les échanges de contenu sensible dans un périmètre unique et surveillé, les organisations réduisent la surface d’attaque exploitée par les adversaires, conservent une traçabilité pour circonscrire les violations et notifier les régulateurs, et imposent des contrôles de conformité cohérents, quel que soit le pays, la catégorie de données ou le type de participant (agent IA, prestataire externe, partenaire international).

Selon les conclusions du rapport, les organisations doivent prendre quatre mesures immédiates. Premièrement, auditer tous les canaux d’échange de contenu pour identifier les voies non maîtrisées de circulation des données sensibles, y compris les activités shadow AI et shadow agent. Deuxièmement, remplacer ou renforcer les plateformes MFT historiques qui présentent un risque systémique d’exfiltration. Troisièmement, instaurer une gouvernance des données IA qui considère les agents IA comme des participants à haut risque nécessitant un accès restreint, une inspection du contenu, des workflows d’approbation et des traces d’audit immuables. Quatrièmement, garantir la capacité de traçabilité pour la conformité en conservant des journaux de transactions détaillés, avec contexte de règles, classification et état du chiffrement, capables de résister à une enquête réglementaire et à une obligation de notification de violation.

Ressources complémentaires

  • Article de blog Zero Trust Architecture : Never Trust, Always Verify
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées une fois signalées par le DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Le guide ultime pour stocker en toute sécurité les données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks