L’identité, talon d’Achille de la cybersécurité

Les identités, porte d’entrée privilégiée des attaquants

L’an passé, 67 % des incidents analysés par les équipes de réponse à incident (IR) et de détection et réponse managée (MDR) avaient pour origine une compromission d’identifiants. On assiste à un basculement : les assaillants se détournent des vulnérabilités logicielles pour se concentrer sur l’exploitation de comptes valides, souvent dépourvus d’authentification multifacteur (MFA) ou protégés par des politiques de gestion des accès insuffisantes.

« Les identifiants compromis, les attaques par force brute, le phishing et d’autres tactiques exploitent des failles qui ne peuvent être palliées par la simple application de correctifs de sécurité » alerte John Shier, Field CISO chez Sophos. Il appelle les organisations à une sécurité proactive des identités, pour freiner les adversaires bien organisés.

Un rythme d’attaques plus rapide, souvent nocturne

Le rapport met aussi en évidence une accélération des opérations malveillantes. Le « temps médian d’exposition » (durée moyenne entre l’intrusion et sa détection) n’est plus que de trois jours.
Une fois entré dans le réseau, un attaquant met en moyenne 45 minutes pour atteindre l’Active Directory, cœur névralgique de toute infrastructure Microsoft. Les pirates privilégient les heures creuses pour frapper : 88 % des déploiements de charges utiles et 79 % des exfiltrations de données ont lieu en dehors du temps de travail. Cette tactique maximise l’effet de surprise et complique la réaction des équipes de sécurité.

Télémétrie insuffisante, défense fragilisée

Autre constat inquiétant : le manque de visibilité des environnements IT. Sophos note un doublement des cas de journaux manquants. Certains pare-feux ne conservent les logs que 24 heures, privant ainsi les analystes de traces essentielles en cas d’enquête post-incident.
Pour les DSI, renforcer la collecte et la conservation de la télémétrie devient une priorité stratégique afin de disposer d’une image exhaustive du réseau.

La multiplicité des groupes

L’écosystème des menaces s’est considérablement fragmenté. Jamais autant de groupes actifs n’ont été recensés. Les ransomwares Akira (GOLD SAHARA) et Qilin (GOLD FEATHER) se distinguent comme les plus agressifs, Akira étant impliqué dans 22 % des incidents étudiés.
Au total, 51 ransomwares ont été identifiés (dont 24 nouveaux), illustrant la vitalité d’un marché criminel.

Bien que LockBit demeure actif, les opérations policières ont fragilisé son hégémonie. Résultat : une multiplicité de groupes cherche à prendre sa place.

IA : qu’en est-il ?

Enfin, malgré les prédictions alarmistes, Sophos n’observe aucune révolution liée à l’IA du côté des cybercriminels. L’intelligence artificielle générative améliore la qualité du phishing ou la persuasion des campagnes d’ingénierie sociale, mais elle n’a pas encore transformé la nature des attaques.
«  L’IA donne de l’ampleur et permet de faire plus de bruit, mais elle ne remplace pas encore les attaquants », résume Shier. Pour les organisations, la leçon est claire : les fondamentaux restent la meilleure défense « une protection solide des identités, une télémétrie fiable et la capacité de réagir rapidement en cas de problème ».

Source : Rapport Sophos Active Adversary 2026 – 661 cas de réponse à incident (Incident Response, IR) et de détection et réponse managées (Managed Detection and Response, MDR), analysés – Entre le 1^er novembre 2024 et le 31 octobre 2025. Organisations de 70 pays et 34 secteurs d’activité.