Celt Studio - stock.adobe.com

Étude : l'identité, vecteur dominant des cyberattaques

Selon l'édition 2026 de l'étude de Sophos sur l'état de la menace des rançongiciels, l'identité supplante les vulnérabilités. Les failles organisationnelles demeurent le point de bascule des attaques.

Sophos a interrogé 2 158 responsables informatique et cybersécurité dans 17 pays. Selon eux, l'exploitation des vulnérabilités, qui constituaient la cause principale des cyberattaques au cours des trois années précédentes, ont cédé la place aux vecteurs basés sur l'identité.

Les courriels malveillants (26 %) et le phishing (24 %) sont désormais les points de départ les plus fréquents, selon les sondés. Ce changement est significatif : les vulnérabilités exploitées sont tombées à 18 %, soit une baisse de 14 points de pourcentage par rapport à l'année précédente. En substance, 79 % des attaques ont débuté par une approche basée sur l'identité, soit par le vol d'identifiants, soit par l'exploitation d'identifiants déjà compromis.

Cette connexion est confirmée par deux tiers (67 %) des victimes de rançongiciel, qui ont déclaré que l'incident de rançongiciel était le même événement que leur attaque d'identité la plus importante. L'identité est ainsi établie comme vecteur initial dominant.

Le déplacement des menaces s'ancre dans des failles organisationnelles. L'enquête met ainsi le doigt sur un ensemble de défis opérationnels exposant les organisations. Les lacunes de sécurité (connues ou inconnues) sont citées comme l'origine opérationnelle la plus fréquente (62 %), suivies par le manque de personnel ou de compétences (58 %) et le manque de protection adéquate (57 %).

Le rôle de l'authentification multi-facteurs (MFA) est mis en perspective : dans 97 % des incidents où les identifiants ont été compromis, la MFA était déployée sous une forme ou une autre. Cette donnée rappelle que la MFA n'est pas une solution suffisante en soi, car les techniques de contournement des attaquants continuent d'évoluer.

L'analyse des lieux d'attaque montre que les applications et systèmes exposés représentent le point d'entrée le plus courant (38 %) pour les attaques basées sur des vulnérabilités exploitées. De plus, les identifiants compromis se concentrent fortement sur les applications et systèmes exposés (46 %).

Le coût de la disruption des activités demeure élevé. Le coût moyen de récupération d'une attaque par rançongiciel, hors rançon, s'élève à 1,7 million de dollars, soit une augmentation de 11 % par rapport à l'année précédente.

Néanmoins, l'étude suggère des signes de progrès dans la résilience des organisations. Le recours à la récupération basée sur des sauvegardes a bondi à 66 % des attaques où les données ont été chiffrées, contre 54 % l'année précédente. Parallèlement, le taux de paiement de rançon a chuté à 48 %, le niveau le plus bas en trois ans.

Sur le plan financier, la demande médiane de rançon a diminué de 65 % sur les deux dernières années, atteignant 698 000 dollars. Les organisations sont de plus en plus efficaces dans la négociation, près de la moitié (51 %) des paiements effectués étant inférieurs au montant initialement réclamé.

L'impact des attaques s'étend au-delà des bilans financiers. Presque toutes les organisations (99 %) dont les données ont été chiffrées ont signalé des répercussions sur leurs équipes informatiques et de cybersécurité. Les conséquences les plus citées sont l'augmentation de l'anxiété ou du stress face aux futures attaques (41 %) et la pression accrue de la part des dirigeants (40 %).

Selon l'étude, les entreprises les plus grandes (revenus supérieurs à 5 milliards de dollars) sont les plus efficaces pour négocier des réductions de rançon, avec 57 % des cas où elles ont payé moins que la demande initiale.

Pour approfondir sur Menaces, Ransomwares, DDoS