Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
En bref
- Le rapport M-Trends 2026 de Mandiant/Google Cloud révèle que le temps de cession d'accès initial entre acteurs malveillants est passé de plus de 8 heures en 2022 à 22 secondes en 2025.
- Les exploits restent le premier vecteur d'infection pour la sixième année consécutive, tandis que le vishing (voice phishing) devient le deuxième vecteur le plus utilisé avec 11 % des cas.
- Les ransomwares évoluent vers le recovery denial : détruire la capacité de récupération des victimes plutôt que de simplement chiffrer leurs données.
22 secondes pour céder un accès : l'industrialisation totale des cyberattaques
Publié le 24 mars 2026 et fondé sur plus de 500 000 heures d'investigations forensiques menées par les équipes de Mandiant — désormais division Google Cloud — dans le monde entier en 2025, le rapport M-Trends 2026 dresse un tableau alarmant de l'accélération et de la professionnalisation des cyberattaques. La donnée la plus frappante concerne la vitesse de transfert d'accès entre acteurs malveillants : en 2022, il fallait en moyenne plus de 8 heures pour qu'un initial access broker (IAB) transmette le contrôle d'un système compromis à un second opérateur. En 2025, cette fenêtre s'est effondrée à 22 secondes, selon Help Net Security et SecurityWeek. Cette réduction spectaculaire témoigne d'une industrialisation poussée de la chaîne de valeur cybercriminelle : les IAB, les opérateurs de malware, les affiliés ransomware et les équipes d'exfiltration opèrent désormais en pipelines quasi-automatisés, avec des outils d'orchestration dédiés, des API de revente d'accès en temps réel et des SLA internes stricts. Le temps de présence médian (dwell time) des attaquants dans les systèmes avant détection a quant à lui augmenté pour atteindre 14 jours en 2025, contre 11 jours l'année précédente — une dégradation notable qui suggère que les défenseurs peinent à suivre l'accélération des tactiques offensives. Les exploits de vulnérabilités logicielles restent le premier vecteur d'entrée pour la sixième année consécutive (32 % des cas), ce qui souligne l'importance d'un patch management rigoureux face aux vulnérabilités activement exploitées ajoutées au catalogue KEV de la CISA.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
Le vishing alimenté par l'IA détrône le spear-phishing classique
Le vishing (phishing vocal) est devenu le deuxième vecteur d'infection le plus courant, représentant 11 % des investigations Mandiant en 2025. Cette montée en puissance s'explique par l'usage généralisé des LLM par les attaquants pour générer des scripts de conversation convaincants et cloner des voix en temps réel. Les campagnes de vishing utilisent désormais des deepfakes audio pour usurper l'identité de managers, de membres du service IT ou de partenaires commerciaux. Cette tendance illustre l'évolution documentée dans notre article sur Slopoly, le malware entièrement généré par IA du groupe Hive0163 : l'IA générative est passée du statut d'outil de productivité à celui de multiplicateur de force offensive. Les attaquants utilisent les LLM pour construire un profil détaillé de chaque cible à partir de sources OSINT et mener des campagnes d'ingénierie sociale ultra-personnalisées. Le rapport souligne également la permanence des campagnes de phishing via OAuth et des techniques de contournement MFA, phénomène documenté dans l'analyse d'EvilTokens, la plateforme PhaaS qui a compromis 340 organisations Microsoft 365.
Le recovery denial : la nouvelle frontière du ransomware
M-Trends 2026 identifie une évolution tactique majeure dans les opérations ransomware : le recovery denial. Les groupes les plus sophistiqués ne se contentent plus du schéma classique chiffrement et extorsion de données. Ils s'attachent désormais à détruire méthodiquement la capacité de récupération des victimes avant de déclencher le chiffrement final. Concrètement, cela signifie cibler en priorité les systèmes d'identité (Active Directory, Entra ID), les hyperviseurs et plans de gestion de la virtualisation, et les infrastructures de sauvegarde. L'objectif est de rendre toute restauration autonome impossible, forçant la victime à reconstruire from scratch — une opération qui peut prendre des semaines pour les grandes organisations. Cette stratégie a été observée dans des attaques menées par des groupes tels que BlackSuit, démantelé par le DOJ dans l'opération Checkmate. Les supply chain attacks contribuent également à cet écosystème de menaces, comme en témoigne la campagne TeamPCP ciblant Checkmarx KICS pour compromettre les pipelines CI/CD.
Ce qu'il faut retenir
- Le délai de 22 secondes entre accès initial et cession à un second acteur rend la détection préventive quasi impossible : l'accent doit se porter sur la détection comportementale post-intrusion et l'architecture Zero Trust.
- Le vishing alimenté par l'IA oblige à repenser les procédures de vérification d'identité pour les demandes sensibles : un appel téléphonique convaincant n'est plus une preuve suffisante d'identité.
- La protection des systèmes de sauvegarde et des plans de gestion de la virtualisation doit être traitée avec le même niveau de priorité que la protection des systèmes de production.
Qu'est-ce que le rapport M-Trends de Mandiant et pourquoi est-il une référence en cybersécurité ?
Publié annuellement par Mandiant (division Google Cloud), M-Trends est l'un des rapports de threat intelligence les plus reconnus du secteur. Il compile les données réelles issues des interventions forensiques et de réponse à incident menées dans le monde entier — plus de 500 000 heures d'investigations en 2025. Contrairement aux rapports basés sur des capteurs ou des honeypots, M-Trends reflète des incidents réels chez des organisations réelles, ce qui lui confère une crédibilité élevée pour anticiper les tendances offensives à venir et calibrer les investissements défensifs.
Article suivant recommandé
CanisterWorm : TeamPCP infecte Trivy et 66 packages npm →Le groupe TeamPCP a compromis l'outil de sécurité Trivy pour déployer CanisterWorm, un ver npm auto-propagatif utilisant
Points clés à retenir
- Contexte : Mandiant M-Trends 2026 : accès initial cédé en 22 secondes — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Comment renforcer la cybersécurité de votre organisation ?
Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.
Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?
Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.
Quels sont les premiers pas pour sécuriser une infrastructure ?
Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
Termes clés
- cyberattaque
- ransomware
- phishing
- vulnérabilité
- patch
- zero-day
- CERT
- ANSSI
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires (1)
Laisser un commentaire