Panorama cybersécurité & forensique · T2 2026

Le premier semestre 2026 a moins porté sur des exploits inédits que sur la discipline — des deux côtés. Les attaquants industrialisent ce qui fonctionne déjà ; les défenseurs qui ont investi dans les fondamentaux en récoltent les fruits. Voici ce que nous avons observé au fil de nos missions de réponse aux incidents et de supervision ce trimestre.

Qui est resté actif

Les affiliés du rançongiciel-as-a-service (ransomware-as-a-service) demeurent la menace commerciale dominante, mais le modèle s'est fragmenté. De plus petites équipes louent désormais des outils, partagent les gains et font tourner leur infrastructure plus vite que les autorités ne parviennent à les cartographier. Les courtiers en accès initial continuent d'alimenter la filière, et le prix d'un couple d'identifiants d'entreprise valides a baissé — conséquence directe de l'industrialisation de l'hameçonnage (phishing) d'identifiants par l'automatisation.

L'activité affiliée à des États a penché vers une persistance discrète plutôt que vers la perturbation : techniques de vie sur le terrain (« living-off-the-land »), points d'ancrage dormants dans les équipements de bordure et déplacements latéraux patients. L'objectif était l'accès et la latitude d'action, non le bruit.

Tendances par secteur

• L'industrie et la logistique ont encaissé la plus forte pression des rançongiciels — les réseaux à plat et la fragilité des technologies opérationnelles rendent l'interruption coûteuse et la reprise lente.
• La santé et les organismes publics sont restés fortement ciblés ; les systèmes hérités et les budgets serrés constituent un décalage persistant face à un adversaire professionnalisé.
• Les services aux professionnels (juridique, comptabilité, conseil) ont vu progresser la compromission de messagerie d'entreprise liée à la fraude aux factures et aux mandats.

Ce qui a tenu

Les mesures défensives qui ont systématiquement émoussé les intrusions n'avaient rien d'exotique. L'authentification multifacteur résistante à l'hameçonnage a stoppé la majorité des tentatives de rejeu d'identifiants. Des sauvegardes testées, segmentées et hors ligne ont transformé plusieurs catastrophes potentielles en exercices de reprise circonscrits. Et les organisations dotées de plans de réponse aux incidents répétés ont contenu plus vite — en heures, non en jours.

L'écart entre les organisations qui avaient répété leur réponse et celles qui l'ont improvisée a été, une fois encore, le prédicteur le plus net de la gravité réelle d'un incident.

La latence des correctifs sur les systèmes exposés à Internet demeure le point faible récurrent. La plupart des intrusions que nous avons investiguées ce trimestre exploitaient une vulnérabilité pour laquelle un correctif était disponible — souvent depuis des semaines. La leçon est inchangée mais mérite d'être répétée : la gestion de l'exposition et le correctif rapide des actifs périmétriques l'emportent sur presque tout contrôle situé en aval.

Notre recommandation pour le T3 est de résister à l'envie d'acquérir davantage d'outils et de mettre plutôt à l'épreuve ce que vous possédez déjà. Menez un exercice sur table. Confirmez que vos sauvegardes se restaurent. Vérifiez que la couverture de l'authentification multifacteur ne comporte aucune exception silencieuse. Les menaces qui évoluent le plus vite sont encore mises en échec par des fondamentaux appliqués avec constance.