Montri - stock.adobe.com

Actualites

Selon Mandiant, les acteurs malveillants ont basculé dans la déni de résilience

Si l'accès initial ne mène plus systématiquement au chiffrement des données, les assaillants cherchent à toucher les infrastructures de reprise. Une stratégie de déni de résilience.

Valéry Rieß-Marchive
par
Publié le: 24 mars 2026

Le paysage des menaces de 2026 est dominé par une division du travail au sein de l'écosystème criminel. Des partenaires d'accès initial opèrent de manière opportuniste pour établir une présence, cédant ensuite le contrôle à des groupes spécialisés dans la production d'impacts élevés, tels que le déploiement de ransomware. Cette évolution redéfinit la dynamique temporelle de la défense. En 2025, le délai médian entre la compromission initiale et le transfert de contrôle a chuté de plus de 8 heures à environ 22 secondes.

Cette accélération s'explique par l'automatisation des transferts, où les partenaires d'accès installent directement le matériel malveillant au nom des groupes secondaires. Les techniques d'infection initiale ont évolué vers des méthodes à faible empreinte. ClickFix, par exemple, persuade l'utilisateur d'exécuter des commandes PowerShell via une interface trompeuse. Par ailleurs, l'hameçonnage vocal (vishing) a émergé comme le deuxième vecteur d'infection le plus observé, dépassant le phishing par e-mail : « la proportion d'incidents provenant d'ingénierie sociale par appel vocal et d'applications de messagerie a notablement augmenté en 2025, l'hameçonnage vocal devenant le deuxième vecteur d'infection initiale le plus souvent observé en 2025, à 11 % ».

La réduction drastique de la fenêtre entre compromission initiale et transfert de contrôle transforme les alertes de faible priorité en signaux critiques. Une compromission mineure devient potentiellement le point de bascule vers une crise majeure en quelques secondes. Les équipes de sécurité doivent traiter toute activité d'infection initiale, même via des vecteurs non ciblés, avec le niveau de criticité d'une intrusion à haute valeur ajoutée.

Le ransomware comme arme de déni de résilience

L'objectif stratégique du rançongiciel a muté au-delà du simple chiffrement des données pour une stratégie de déni délibéré de reprise. Les attaquants ciblent systématiquement les infrastructures de services de confiance, considérant ces plans de gestion comme les points de blocage essentiels : « les opérateurs de ransomware ont déplacé leur objectif principal du vol de données vers le déni délibéré de récupération, ciblant systématiquement les infrastructures de sauvegarde, les services d'identité et les plans de gestion de virtualisation ».

De quoi effectivement renforcer la menace d'importantes pertes d'exploitation, au-delà de l'éventuelle couverture assurantielle, afin d'inciter à un paiement rapide.

Les groupes de ransomware ciblent trois vecteurs critiques pour créer un « point mort de récupération » :

  • Les plans d'identité. L'exploitation d'Active Directory (AD), des services de certificats et des fournisseurs d'identité cloud (IdP) permet aux attaquants de compromettre les ancres de confiance. L'usurpation d'identités administratives, ou la modification des processus d'authentification rendent la réinitialisation des mots de passe inefficace.
  • La virtualisation et le management. Les hyperviseurs sont exploités pour accéder aux disques virtuels. Les attaquants utilisent des techniques de montage de captures d'image (snapshot mounting) pour extraire des fichiers critiques comme ntds.dit sans déclencher les alertes EDR.
  • Les infrastructures de sauvegarde : La destruction des catalogues de sauvegarde et le vol des clés visent à rendre toute restauration autonome impossible. Les attaquants compromettent les comptes de service reliant la virtualisation aux systèmes de sauvegarde pour supprimer les ressources de restauration à distance.

Cette approche rend les modèles de réponse aux incidents traditionnels obsolètes. La résilience dépend désormais de la capacité à isoler et sécuriser ces plans de gestion en dehors du périmètre de l'attaque.

La transformation du paysage des menaces exige un changement fondamental de posture : passer d'une stratégie de prévention statique à une « résilience active » : « pour passer de l'exposition existentielle à la résilience active, les organisations devraient viser à augmenter la friction défensive et à isoler le chemin de récupération ».

Et cela recouvre notamment :

  1. Durcissement des couches de gestion (Tier-0). Traiter les hyperviseurs, les serveurs de sauvegarde et les contrôleurs de domaine comme des actifs critiques avec une authentification résistante et une isolation stricte.
  2. Isolement des chemins de récupération. Créer des environnements de récupération déconnectés de la production, utilisant des sauvegardes immuables et des fournisseurs d'identité dédiés.
  3. Gestion des actifs et visibilité. Étendre la visibilité aux périphériques réseau et à la virtualisation, et réaliser des exercices de chasse aux menaces réguliers.
  4. Sécurité renforcée des identités à privilèges. Renforcer la gestion des identités à privilèges en rendant tout accès administratif temporaire, justifié et traçable, tout en durcissant les points d'accès critiques pour ralentir considérablement la progression des attaquants vers le contrôle total du système.

La résilience est désormais une exigence opérationnelle. Les organisations doivent intégrer la cybersécurité dès la conception et tester régulièrement leurs plans de continuité face à des adversaires capables de neutraliser les capacités de récupération en quelques minutes.

Pour approfondir sur Menaces, Ransomwares, DDoS