Ce que les Données Révèlent Vraiment sur le Paysage des Attaques de 2025
Chaque année, l’équipe X-Force d’IBM publie une rétrospective sur le paysage des menaces observées dans ses opérations mondiales de réponse aux incidents, de détection gérée et de renseignement sur les menaces au cours des 12 mois précédents. L’édition 2026 — couvrant l’année civile 2025 — est construite sur des données de plus de 150 pays, plus de 10 000 engagements clients et l’un des plus importants référentiels de télémétrie commerciale disponibles. Elle ne repose pas sur des enquêtes ou des auto-déclarations ; elle reflète ce qui s’est réellement produit sur les réseaux d’entreprise.
Le résumé : les attaquants se déplacent plus vite, opèrent à plus grande échelle et ciblent la chaîne d’approvisionnement avec une systématisation sans précédent. L’exploitation de vulnérabilités est devenue le premier point d’entrée d’attaque en 2025, responsable de 40 % des incidents — une augmentation significative alimentée par des outils de reconnaissance assistés par l’IA qui compriment le délai entre la divulgation d’une vulnérabilité et son exploitation active de semaines à heures. Le nombre de CVE suivis a atteint près de 40 000, avec une caractéristique particulièrement alarmante : 56 % des vulnérabilités divulguées ne nécessitaient aucune authentification pour être exploitées.
La Machine à Vol de Credentials
Même si l’exploitation de vulnérabilités est devenue le premier vecteur d’entrée, le vol de credentials a continué de générer d’énormes dommages en aval. La collecte de credentials représentait 26 % des impacts d’attaques observés. Les credentials volés ou mal utilisés étaient le mécanisme d’accès initial dans 32 % des incidents. Et l’ampleur de l’exposition des credentials sur les marchés criminels est saisissante : les logiciels malveillants de type infostealer ont conduit à l’exposition de plus de 300 000 credentials ChatGPT sur des marchés du dark web en 2025. Ces credentials incluent des clés API, des tokens de session et des credentials de comptes de service intégrés dans des environnements de développement — pas uniquement des mots de passe d’utilisateurs.
L’écosystème de vol de credentials s’est rapidement professionnalisé. Les souches de logiciels malveillants infostealer sont disponibles en tant que service sur des forums criminels pour aussi peu que 50 dollars par mois. Les credentials extraits sont vendus en vrac à des courtiers d’accès, qui vendent ensuite un « accès initial » à des affiliés de ransomware ou à des acteurs étatiques. Toute la chaîne, de l’infection initiale à la violation de l’entreprise, peut maintenant s’opérer en moins de 72 heures pour un attaquant bien organisé.
Les compromissions de la chaîne d’approvisionnement et de tiers ont suivi cette trajectoire ascendante. IBM X-Force a enregistré une augmentation de presque quatre fois des grands incidents de violation de chaîne d’approvisionnement ou de tiers depuis 2020 — une tendance cohérente avec ce que les équipes de sécurité observent lorsque les attaquants découvrent que compromettre un fournisseur de confiance accorde un accès à des dizaines ou des centaines de clients d’entreprise en aval.
Publicité
L’Expansion Structurelle du Ransomware
L’écosystème ransomware est entré en 2026 avec plus de groupes opérationnels qu’à tout moment précédent. IBM X-Force a recensé 109 groupes de ransomware et d’extorsion actifs en 2025, contre 73 en 2024 — soit une augmentation de 49 % en un an. Les victimes publiquement divulguées ont augmenté de 12 % sur la même période. L’explication structurelle est la maturation du modèle ransomware-as-a-service (RaaS), qui a abaissé les barrières à l’entrée au point que des acteurs peu sophistiqués techniquement peuvent mener des campagnes d’extorsion en louant l’infrastructure, les logiciels malveillants et même les services de négociation d’organisations criminelles établies.
Le secteur manufacturier est resté le secteur le plus attaqué pour la cinquième année consécutive, représentant 27,7 % des incidents. Les services financiers et l’assurance sont passés en deuxième position à 27 % des attaques, contre 23 % en 2024. Géographiquement, l’Amérique du Nord est devenue la région la plus attaquée pour la première fois en six ans, représentant 29 % des incidents — en hausse par rapport à 24 % au cours de la période précédente.
Ce que les Responsables de la Sécurité d’Entreprise Doivent Changer Maintenant
1. Faire de la Gestion des Vulnérabilités une Fonction Continue, Pas un Audit Trimestriel
La hausse de 44 % de l’exploitation des applications exposées reflète un changement structurel dans les opérations des attaquants : les outils de scanning assistés par l’IA peuvent maintenant trouver et identifier les endpoints vulnérables plus vite que les cycles de correctifs traditionnels peuvent répondre. Les équipes de sécurité doivent passer du scanning périodique de vulnérabilités à la gestion continue de l’exposition — visibilité en temps réel sur ce qui est exposé à Internet, cadre de priorisation qui élève l’exploitabilité authentifiée vs. non authentifiée, et SLA de correction pour les services exposés mesurés en jours (pas en semaines). Les 56 % des CVE 2025 exploitables sans authentification doivent être traités comme un niveau de priorité distinct nécessitant des délais de réponse d’urgence.
2. Traiter l’Hygiène des Credentials Comme une Discipline Opérationnelle, Pas une Politique de Mots de Passe
Les 300 000+ credentials exposés sur les marchés du dark web n’ont pas fuité parce que les utilisateurs avaient choisi des mots de passe faibles. Ils ont fuité via des logiciels malveillants infostealer installés sur des endpoints, via des outils de développement compromis et via le vol de tokens de session qui contourne les contrôles de mots de passe. La défense des credentials en 2026 nécessite une détection endpoint capable d’identifier les comportements infostealer, l’isolation du navigateur pour les environnements accédant à des services sensibles, et un flux de surveillance du dark web qui alerte lorsque les credentials organisationnels apparaissent sur les marchés criminels.
3. Cartographier et Auditer Immédiatement Votre Surface d’Accès Tiers
La multiplication par quatre des compromissions de la chaîne d’approvisionnement depuis 2020 reflète un changement de stratégie des attaquants. Chaque entreprise devrait maintenir un inventaire courant des connexions tiers — intégrations API, accès à distance des prestataires de services managés, canaux de mise à jour des éditeurs de logiciels — et soumettre chacune à une évaluation de sécurité par niveaux. Les connexions de fournisseurs ayant accès aux systèmes de production, aux données financières ou aux données personnelles clients devraient faire l’objet d’une surveillance dédiée et d’une segmentation réseau.
4. Modéliser les Scénarios Ransomware par Rapport aux Dépendances OT et à la Chaîne d’Approvisionnement
Avec 109 groupes de ransomware actifs et le secteur manufacturier en tête des cibles pour cinq années consécutives, les organisations avec des environnements OT ou des chaînes d’approvisionnement complexes doivent aller au-delà des exercices sur table qui supposent une perturbation uniquement IT. Les scénarios ransomware doivent modéliser explicitement le chiffrement des systèmes OT et la perturbation des plateformes ERP. La planification de la continuité d’activité doit inclure des objectifs de temps de récupération OT — validés par de vrais exercices de récupération, pas une revue de documentation.
La Leçon Structurelle de Cinq Ans de Données sur la Chaîne d’Approvisionnement
La conclusion la plus significative du rapport X-Force 2026 n’est pas une seule statistique — c’est la trajectoire. Les compromissions de la chaîne d’approvisionnement ont presque quadruplé en cinq ans. Les groupes de ransomware ont augmenté de 49 % en un an. Les credentials extraits par les infostealers alimentent une industrie de courtage d’accès professionnelle. Ces phénomènes ne sont pas indépendants — ils sont les composantes d’un écosystème criminel mature qui a industrialisé le processus de violation d’entreprise.
L’implication pour la stratégie de sécurité est architecturale : les organisations ne peuvent pas défendre efficacement leur périmètre si elles le définissent comme leur propre frontière réseau. La surface d’attaque réelle en 2026 inclut chaque fournisseur avec un accès API, chaque outil de développement avec des credentials cloud, chaque plateforme SaaS tierce avec une intégration privilégiée. Les programmes de sécurité qui n’ont pas cartographié et gouverné cette surface d’attaque étendue opèrent avec un angle mort structurel que les acteurs de la menace ont déjà identifié.
Questions Fréquemment Posées
Qu’est-ce que l’IBM X-Force Threat Intelligence Index et comment est-il compilé ?
L’IBM X-Force Threat Intelligence Index est un rapport annuel compilé à partir des opérations de sécurité mondiales d’IBM, incluant les engagements de réponse aux incidents, la télémétrie de détection et réponse gérées, le renseignement sur le dark web et la recherche sur les acteurs de la menace. L’édition 2026 couvre l’activité observée en 2025 dans plus de 150 pays et plus de 10 000 engagements clients. Contrairement aux rapports basés sur des enquêtes, les données X-Force reflètent les attaques réellement observées plutôt que les incidents de sécurité auto-déclarés.
Pourquoi l’exploitation de vulnérabilités a-t-elle dépassé le phishing comme premier vecteur d’attaque en 2025 ?
Les outils de scanning assistés par l’IA permettent aux attaquants d’identifier rapidement les applications exposées et de repérer les vulnérabilités exploitables peu après la divulgation des CVE. La hausse de 44 % de l’exploitation des applications exposées reflète cette accélération. De plus, 56 % des CVE 2025 ne nécessitaient aucune authentification pour être exploitées — ce qui signifie qu’une simple exposition à Internet était suffisante pour la compromission.
Comment les équipes de sécurité doivent-elles prioriser leur réponse face à 40 000 nouveaux CVE par an ?
Priorisez par exposition à la surface d’attaque et exigence d’authentification. Les vulnérabilités dans les applications exposées à Internet ne nécessitant aucune authentification pour être exploitées doivent être traitées comme des éléments d’urgence nécessitant des correctifs dans les 24 à 72 heures. Les vulnérabilités derrière le pare-feu avec des exigences d’authentification peuvent suivre les cycles de correctifs standard. Les plateformes de gestion continue de l’exposition peuvent automatiser cette priorisation.
—
Sources et lectures complémentaires
- IBM X-Force 2026 : Rapport Complet — IBM
- IBM X-Force : Hausse de 44 % de l’Exploitation des Applications — Industrial Cyber
- IBM X-Force 2026 : Les Attaques IA s’Intensifient — IBM Newsroom
- IBM X-Force 2026 : Sécuriser les Identités et la Détection IA — IBM Think
- IBM X-Force 2026 : Les Attaques IA s’Intensifient — Cybersecurity Asia
- Perspectives Mondiales sur la Cybersécurité 2026 — Forum Économique Mondial
