.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le rapport Sophos Active Adversary 2026 offre un aperçu concret de la manière avec laquelle les attaquants actuellement opèrent dans de vrais environnements, en s'appuyant sur les enseignements tirés des incidents résolus par les équipes Sophos Emergency Incident Response et Sophos Managed Detection and Response (MDR).
Ces informations permettent aux organisations d'avoir une vision pratique des techniques d'attaque les plus susceptibles de provoquer des incidents à fort impact. En apprenant ce que font réellement les adversaires lors d'attaques réelles, les entreprises peuvent renforcer leurs défenses et réduire sensiblement leurs cyber-risques.
Les principales conclusions
- L'identité est désormais le principal vecteur d'attaque, 67% des intrusions commençant par des identifiants compromis ou d'autres tactiques liées à l'identité.
- ACTION : Réduisez les risques de compromission d'identifiants et mettez en place des défenses pour détecter et contrer les attaques basées sur l'identité.
- Les auteurs de ransomware agissent plus rapidement et frappent lorsque les défenseurs ne sont pas vigilants, déployant massivement des ransomwares et exfiltrant des données pendant la nuit et le week-end.
- ACTION : Assurer une couverture opérationnelle de sécurité 24h/24 et 7j/7 pour détecter et neutraliser les attaques dès leur apparition, en collaborant avec des spécialistes externes si nécessaire.
- Les vulnérabilités des pare-feu restent un point d'entrée à fort impact, les attaquants exploitant fréquemment des failles telles que la vulnérabilité critique de contrôle d'accès incorrect dans SonicWall SonicOS et ciblant les appareils mal configurés ou non corrigés.
- ACTION : Priorisez la réduction de l'exposition des périphériques, notamment par l'installation rapide de correctifs et le renforcement des contrôles.
- Active Directory (AD) reste une cible prioritaire, les attaquants atteignant désormais AD en seulement trois heures et 24 minutes en moyenne.
ACTION : Assurez-vous de pouvoir détecter et contrer les tentatives d'attaques AD avant qu'elles ne soient exploitées.
- Le manque de données télémétriques fiables est apparu comme l'un des plus grands défis pour les défenseurs, créant des angles morts qui ont rendu plus difficile le traçage des attaques ou l'identification des premiers signes de compromission.
ACTION : Exploitez les données de télémétrie de sécurité provenant de diverses sources et conservez les logs suffisamment longtemps pour améliorer la détection, les investigations et les résultats des actions de réponse aux incidents.
Lisez la suite pour en savoir plus et découvrir des mesures pratiques pour réduire l'exposition aux menaces réelles les plus courantes.
L'identité est désormais un enjeu majeur en matière de cybersécurité
Les attaques basées sur l'identité continuent de dominer le paysage des menaces : 67% des incidents étudiés ont commencé par des attaques par force brute, du phishing, du vol de jetons d'authentification, des abus de relations de confiance ou d'autres attaques par compromission d'identifiants.
Bien que les identifiants utilisés dans ces attaques soient souvent obtenus par le biais de fuites sur le dark web suite à une violation antérieure, d’emails de phishing et par des acteurs malveillants capturant les frappes au clavier d'utilisateurs légitimes, dans de nombreux cas, les victimes ne découvrent jamais comment leurs identifiants ont été obtenus à l'origine.
Une fois que les attaquants parviennent à se faire passer pour un utilisateur légitime, ils peuvent se déplacer discrètement dans l'environnement, permettant le déploiement de ransomwares, le vol de données et même des attaques BEC (Business Email Compromise).
Mesures pratiques pour stopper les attaques basées sur l'identité
Pour réduire les attaques basées sur l'identité, les organisations devraient commencer par imposer l'authentification multifacteur (MFA) partout, en particulier sur les comptes disposant de privilèges administratifs ou d'accès à distance.
À partir de là, les entreprises devraient se concentrer sur une bonne hygiène en matière d'identité et une visibilité continue sur la manière avec laquelle leurs identifiants sont utilisés dans l'environnement. Cela inclut de comprendre l'origine des connexions, si les niveaux de privilège changent de manière inattendue et si l'activité correspond aux schémas normaux de l'utilisateur ou du système concerné.
Les systèmes de défense peuvent se protéger contre les attaques par force brute en définissant un seuil de tentatives de connexion infructueuses avant de bloquer un utilisateur ou en exigeant une authentification multifacteur.
De plus, les entreprises doivent effectuer des examens réguliers des accès afin de révoquer les privilèges inutiles ou excessifs, rechercher les identités dormantes et revoir régulièrement leurs processus de gestion du cycle de vie des identités (provisionnement, mises à jour et déprovisionnement).
Il est crucial de détecter les cas d'utilisation abusive des identifiants, et non leur simple utilisation, afin que les organisations puissent contenir les comportements malveillants dès leur apparition. Ensemble, des contrôles d'authentification robustes, une surveillance continue et une détection rapide des utilisations abusives d'identifiants constituent les fondements d'une sécurité efficace en matière d’identité.
Prévenir les attaques basées sur l'identité : comment Sophos peut vous aider ?
Sophos MDR (Managed Detection and Response) utilise une télémétrie d'identité riche pour détecter rapidement l'abus d'identifiants et intervenir 24h/24 et 7j/7, souvent en quelques minutes seulement, avant que les attaquants ne transforment l'accès en impact réel.
Sophos ITDR (Identity Threat Detection and Response) renforce et étend encore la protection de l'identité de Sophos MDR en effectuant plus de 80 contrôles continus de la posture d'identité, en détectant les configurations faibles et en signalant rapidement les expositions à haut risque en matière d’identité. Associé à Microsoft Entra ID, les organismes bénéficient d'une gestion centralisée des identités et d'une télémétrie plus poussée qui alimente directement une télémétrie plus détaillée permettant aux analystes de sécurité d'être mieux outillés.
Les auteurs de ransomware travaillent pendant votre sommeil (littéralement)
Les auteurs de ransomware ciblent délibérément leurs victimes aux moments précis (jours/heures) où les équipes IT/Cybersécurité sont les plus susceptibles de fonctionner à capacité réduite afin d'éviter d'être détectés, exfiltrant souvent des données et chiffrant des fichiers pendant les jours fériés, durant les nuits et les week-ends.
Preuve de cette approche : 88% des charges virales des ransomwares (c’est-à-dire lorsqu’elles tentent de chiffrer des fichiers) sont déployées en dehors des heures de bureau. Ces attaques en dehors des heures de travail sont réparties sur tous les jours de la semaine, avec une légère augmentation les jeudis et vendredis, jours où les employés sont plus susceptibles d'être en vacances ou de se déconnecter plus tôt. De même, 78,85% des opérations d'exfiltration de données ont lieu en dehors des heures de travail.
Mesures pratiques pour stopper les ransomwares
La rapidité est essentielle pour détecter et contrer les attaques de ransomware avant que des dommages importants ne soient causés, ce qui fait de la surveillance 24h/24 et 7j/7 un impératif pour les organisations de toutes tailles.
Les entreprises doivent renforcer leur résilience face aux ransomwares en veillant à ce que des spécialistes en opérations de sécurité, personnel interne, prestataire externe spécialisé ou une combinaison des deux, surveillent leur environnement 24h/24 et 7j/7 et soient capables de neutraliser rapidement les actions des adversaires.
Au-delà d'une visibilité constante, les organisations devraient s'attacher à garantir des défenses robustes contre les ransomwares au sein de leur protection endpoint et de leurs contrôles de sécurité plus larges. Cela inclut le déploiement de technologies capables de reconnaître les comportements suspects bien avant le début du chiffrement, de stopper les tentatives de chiffrement de fichiers localement et à distance, et de bloquer et d’effectuer un roll-back automatique des activités malveillantes.
Ensemble, la surveillance et la réponse 24h/24 et 7j/7 et des contrôles robustes contre les ransomwares réduisent considérablement les chances de succès des auteurs de ces attaques, faisant pencher la balance en faveur des défenseurs.
Défense contre les ransomwares : comment Sophos peut vous aider ?
Sophos MDR est le service MDR le plus fiable au monde, offrant une détection et une réponse 24h/24 et 7j/7 qui ont fait leurs preuves pour neutraliser même les attaques de ransomware les plus sophistiquées.
S'appuyant sur l'IA, l'automatisation et une équipe inégalée d'experts mondiaux en cybersécurité, Sophos MDR surveille votre environnement 24h/24 et 7j/7, détectant et stoppant les attaques avant qu'elles n'aient un impact sur votre activité.
Sophos Endpoint utilise l'analyse comportementale et la technologie propriétaire CryptoGuard pour automatiquement bloquer et effectuer un roll-back au niveau du chiffrement non autorisé, notamment les ransomwares à distance (la technique utilisée dans 70% des attaques de ransomware réussies menées par des humains, selon le rapport Microsoft Digital Defense).
Les vulnérabilités des pare-feu sont une source inépuisable de problèmes
La montée en puissance des attaques basées sur l'usurpation d'identité ne signifie pas que les vulnérabilités non corrigées ont cessé d'avoir de l'importance. En réalité, lorsque les attaquants exploitent des failles de sécurité, ils tirent le meilleur parti de chaque opportunité.
Dans l’ensemble de données (dataset) Active Adversary de 2026, plus des deux tiers (67%) des incidents qui ont commencé avec une CVE impliquaient le CVE-2024-40766, une vulnérabilité du pare-feu SonicWall SonicOS qui a dû être corrigée à plusieurs reprises au cours de l’année. Ce schéma met en évidence une faiblesse critique pour de nombreuses organisations : une fois qu'un dispositif périmétrique est exposé, les attaquants y reviendront sans cesse jusqu'à ce qu'il soit entièrement sécurisé.
Ce qui est tout aussi préoccupant, c'est la durée pendant laquelle de nombreux pare-feu et autres systèmes edge restent vulnérables après la mise à disposition d'un correctif. Pour l'ensemble des vulnérabilités exploitées confirmées dans l'ensemble de données, le délai médian entre la publication d'un avis/correctif par un éditeur et l'exploitation de cette faille par un attaquant était de 322 jours, soit près d'une année complète d'opportunités pour les adversaires.
L’écart médian entre la publication d’une preuve de concept (PoC : proof‑of‑concept) publique et l’exploitation sur le terrain était également long, avec près de 297 jours. En fait, certaines des vulnérabilités CVE utilisées lors des attaques remontaient à 2008, soulignant ainsi combien de temps les failles non corrigées peuvent persister dans les environnements de production.
Mesures pratiques pour réduire les risques liés aux vulnérabilités des pare-feu
Pour réduire le risque d'exploitation des pare-feu, les organisations doivent privilégier la mise à jour rapide des systèmes périmétriques et maintenir un processus rigoureux pour le déploiement rapide des mises à jour de sécurité après leur publication.
Les pare-feu et les dispositifs edge restent des cibles de grande valeur car ils se situent à la frontière du réseau, et tout retard dans l'installation des correctifs donne aux attaquants l'occasion de frapper. Les entreprises devraient également rechercher des solutions conçues pour minimiser cette période d'exposition en intégrant des pratiques de développement sécurisées, en proposant des correctifs rapides pour les vulnérabilités critiques et en surveillant en permanence l'état des appareils.
Choisir une technologie qui réduit la probabilité d'une mauvaise configuration et améliore la rapidité de la remédiation peut limiter considérablement les chances qu'un attaquant pénètre dans le périmètre.
Réduire l'exposition via des pare-feu non sécurisés : comment Sophos peut vous aider ?
Sophos aide les organisations à réduire les risques d'exploitation des pare-feu en combinant des pratiques d'ingénierie sécurisées avec des mécanismes de protection rapides et automatisés qui limitent les possibilités d’être ciblé par des attaquants.
Sophos Firewall est conçu selon les principes de la « sécurité dès la conception » (Secure by Design), notamment un système d'exploitation renforcé, des hotfixes en temps réel pour les vulnérabilités critiques et des contrôles d'intégrité continus qui garantissent que les appareils restent sains et non compromis. Ces correctifs ne nécessitent aucune interruption de service, ce qui évite aux administrateurs de sécurité d'avoir à planifier une fenêtre de mise à jour spécifique.
Toutes ces fonctionnalités raccourcissent le délai entre la divulgation de la vulnérabilité et sa protection, un intervalle que les attaquants ciblent constamment dans l'ensemble du secteur.
Sophos assure également une surveillance proactive des appareils déployés afin de détecter rapidement les problèmes émergents et de maintenir un niveau de sécurité élevé dans le temps. Avec Sophos Managed Risk (disponible en option pour Sophos MDR), les organisations bénéficient d'informations et de conseils d'experts sur les vulnérabilités à prioriser, leur permettant ainsi de garder une longueur d'avance sur les menaces en constante évolution qui ciblent régulièrement les systèmes périmétriques.
Active Directory reste une cible privilégiée pour les attaquants
L’appétit des attaquants pour compromettre Active Directory (AD) s’est intensifié, affichant un « time‑to‑target » qui s’accélère avec une médiane de 3 heures et 24 minutes une fois à l’intérieur d’une organisation. C’est nettement plus rapide que la moyenne de l’année dernière, qui était d’une demi-journée (environ 12 heures).
La sécurité d'Active Directory est cruciale car, une fois l'accès obtenu, les attaquants peuvent élever leurs privilèges, se déplacer latéralement et, finalement, prendre le contrôle total des identités, des systèmes et des données d'une organisation, permettant souvent le déploiement de ransomwares, le vol de données et une persistance à long terme.
Renforcement de l'environnement Active Directory : que devraient faire les organisations en premier ?
Pour réduire le risque de compromission d'Active Directory, il est nécessaire d'adopter une approche de défense en profondeur qui combine le principe de confiance zéro (Zero-Trust) avec des contrôles supplémentaires concernant l'accès à AD, une protection renforcée de l'identité et une surveillance continue.
Les organisations doivent associer des contrôles de compte stricts à un renforcement continu de leur environnement Active Directory, notamment en appliquant les mesures suivantes :
- Accès en mode moindre privilège.
- Vérification continue.
- Utilisation d'une authentification robuste avec MFA.
Ensemble, ces capacités contribuent à limiter les dommages que les attaquants peuvent causer s'ils obtiennent un accès initial à l'organisation.
En parallèle, les entreprises doivent veiller à ce que les contrôleurs de domaine, l'infrastructure support et les comptes privilégiés soient constamment mis à jour et maintenus dans une configuration sécurisée.
Il est tout aussi important que les organisations disposent d'outils permettant de détecter les premiers signes d'activité ciblant Active Directory, tels qu'une élévation de privilèges inhabituelle ou un déplacement latéral, afin de pouvoir intervenir avant que les attaquants n’en prennent totalement le contrôle. Le renforcement de ces domaines fondamentaux permet aux organisations de réduire la probabilité et l'impact d'une violation d’Active Directory.
Prévention des compromissions d'Active Directory : comment Sophos peut vous aider ?
Sophos renforce la protection d'Active Directory en offrant aux organisations une visibilité approfondie sur l'activité en matière d'identité et la possibilité de stopper les attaques ciblant AD avant qu'elles ne s'aggravent.
Sophos MDR et Sophos XDR, associés à Sophos ITDR, protègent contre les principales techniques de type "Credential Access » de MITRE ATT&CK, notamment les menaces à fort impact comme les attaques Golden Ticket, qui exploitent les comptes AD compromis pour accorder aux adversaires un accès étendu et à long terme.
En corrélant les données de télémétrie des systèmes endpoint, des identités et du réseau, Sophos identifie rapidement les élévations de privilèges suspectes, les déplacements latéraux et les utilisations abusives d'identifiants, permettant ainsi aux analystes d'intervenir avant que les attaquants n'obtiennent le contrôle au niveau du domaine.
Sophos Firewall s'intègre également directement à Active Directory pour appliquer des politiques basées sur les utilisateurs et renforcer les contrôles d'authentification au niveau du réseau, aidant ainsi les organisations à garantir que seuls les utilisateurs et les appareils autorisés puissent accéder aux ressources critiques.
Sophos Workspace Protection inclut la technologie ZTNA (Zero Trust Network Access) qui s'intègre à Active Directory pour appliquer l'authentification multifacteur et la vérification continue afin d'empêcher l'accès à Active Directory, aux applications et aux systèmes, avec des identifiants compromis. Ensemble, ces fonctionnalités offrent une défense multicouche et permanente qui aide les organisations à détecter rapidement les menaces ciblant Active Directory et à les neutraliser avant qu'elles ne deviennent des incidents ayant un impact sur l'activité.
L'absence de données télémétriques empêche les organisations de déceler les premiers signaux d'alerte
Des données télémétriques absentes ou incomplètes constituent un obstacle de plus en plus difficile à surmonter pour les défenseurs, rendant plus compliqué la compréhension du déroulement des attaques et la détection des premiers signaux de compromission.
Les incidents liés à des logs manquants dus à une courte durée de conservation des données ont doublé par rapport à l'année dernière, le problème étant particulièrement marqué sur les pare-feu qui ne conservaient les logs que pendant sept jours, voire, dans certains cas, seulement 24h.
Lorsque les données télémétriques critiques disparaissent rapidement, les experts en réponse aux incidents perdent le contexte historique nécessaire pour distinguer un comportement suspect d'une activité de routine. Ces angles morts sont devenus encore plus dangereux compte tenu de la rapidité avec laquelle les agresseurs se déplacent désormais.
Les infrastructures obsolètes aggravent le problème : 13% des systèmes Windows Server identifiés dans l’ensemble de données étaient déjà en fin de vie, et 27% supplémentaires le seraient bientôt, ce qui réduit la visibilité et augmente les risques.
Éliminer les angles morts de la télémétrie : que devraient faire les organisations ?
Pour réduire ces angles morts, les organisations doivent s'assurer de conserver les logs et les données de télémétrie de sécurité suffisamment longtemps pour permettre à la fois la détection en temps réel et l'investigation rétrospective.
Cela inclut l'extension de la durée de conservation des logs de pare-feu, des données endpoint, de l'activité en matière d'identité et des événements liés à Active Directory, afin que les analystes disposent de suffisamment de preuves historiques pour identifier les anomalies et retracer avec précision les actions des attaquants.
Les entreprises devraient également revoir les paramètres par défaut de conservation des données sur les systèmes critiques, dont beaucoup ne conservent les logs que pendant une durée bien trop courte pour être utiles en cas d'incident. Il est essentiel de renforcer la visibilité sur l'ensemble de l'environnement, notamment en ce qui concerne les activités rapides au niveau de l'identité et d’AD, afin de repérer les signes avant-coureurs subtils avant qu'ils ne dégénèrent en compromissions à grande échelle.
De plus, les organisations doivent identifier et supprimer de leur environnement les systèmes non pris en charge ou en fin de vie (EOL). Les appareils en fin de vie ne bénéficient pas des mises à jour de sécurité ni des améliorations de journalisation/logging, ce qui crée des angles morts que les attaquants peuvent exploiter, et leur maintien en production peut compromettre la capacité d'une entreprise à faire une demande d’indemnisation auprès d’une compagnie de cyberassurance après une violation de données.
Combler les lacunes en matière de télémétrie : comment Sophos peut vous aider ?
Sophos offre aux organisations la visibilité avancée et la télémétrie à long terme nécessaires pour détecter rapidement le comportement des attaquants et reconstituer les incidents avec confiance.
Sophos Firewall prend en charge jusqu'à 30 jours de conservation de logs, avec des options pour étendre le stockage pour les environnements nécessitant un historique plus approfondi. Les services Sophos MDR incluent une période de conservation des données de télémétrie par défaut de 90 jours, qui peut être étendue à un an.
Sophos MDR s'intègre également de manière transparente avec des centaines d'outils de sécurité/IT existants sans frais supplémentaires, permettant aux organisations de centraliser la télémétrie au niveau de leurs investissements actuels et de combler les lacunes en matière de visibilité sans remplacer les solutions. Ensemble, ces fonctionnalités aident les organisations à conserver les données nécessaires pour identifier les premiers signaux de compromission, suivre les mouvements des attaquants et répondre rapidement avant que les problèmes ne s'aggravent.
Plus en savoir plus
Pour en savoir plus sur le paysage actuel des menaces, consultez le rapport complet Sophos Active Adversary 2026.
Vous souhaitez un accompagnement personnalisé pour votre organisation ? Discutez avec un expert Sophos ou votre partenaire Sophos pour comprendre comment les solutions MDR, Pare-feu, Endpoint et Identité peuvent fonctionner ensemble pour réduire les risques.
Billet inspiré de Stopping real-world attacks: Lessons for business leaders from the 2026 cyber frontline, sur le Blog Sophos.