Le temps moyen d’évasion a considérablement diminué
À l’heure actuelle, il ne faut en moyenne que 18 minutes aux attaquants pour passer de l’accès initial au mouvement latéral à l’intérieur d’un réseau compromis. Il n’est pas nécessaire de faire preuve de beaucoup d’imagination pour comprendre le risque que cela représente. En 2024, le temps de pénétration le plus rapide enregistré était de 27 minutes. Aujourd’hui, nous disposons de preuves solides qu’il a chuté d’un tiers. Lors d’un incident impliquant le Ransomware Akira, les attaquants sont passés au mouvement latéral six minutes seulement après avoir découvert une vulnérabilité dans un VPN SonicWall. Il ne s’agit pas d’anomalies ponctuelles, elles deviennent normales.
Ce que cela signifie pour toute entreprise est très clair : vous n’avez pas le temps. Si une partie de votre chaîne de détection dépend d’une évaluation humaine, d’un triage manuel ou d’une alerte non adaptée, vous avez déjà perdu. Les systèmes de réponse doivent évoluer vers l’automatisation, la détection doit se faire en temps réel et l’escalade doit être automatique. Vous ne réagissez plus seulement aux logiciels malveillants, vous réagissez à leur vitesse.
Cette pression oblige vos opérations de sécurité à procéder à des changements inconfortables mais nécessaires. Raccourcissez la boucle de décision. Supprimez les étapes qui s’appuient sur les capacités du SOC. Faites davantage confiance à l’automatisation. Elle est déjà plus rapide que vos adversaires dans la plupart des cas. C’est dans cette direction que nous devons aller : moins de goulots d’étranglement humains, plus de réponses basées sur les données.
Le rapport Q3 de ReliaQuest confirme tout cela en termes clairs. Entre juin et août 2025, les temps d’évasion ont été en moyenne de 18 minutes. Le cas d’Akira, qui a duré six minutes, n’était pas une exception, c’était un avant-goût.
Les campagnes de logiciels malveillants évoluent rapidement vers des tactiques d’accès initial.
La plupart des violations commencent toujours par le début, l’accès initial. Mais ce que nous constatons aujourd’hui, c’est que la forme de cette étape est en train de changer, rapidement. Les campagnes de logiciels malveillants comme Oyster (également connu sous le nom de Broomstick) sont à l’origine de ce changement dans le comportement des attaquants. Les compromissions par drive-by liées à Oyster représentent désormais 34 % des incidents. Il ne s’agit pas d’un simple pic, mais d’une redéfinition complète de la stratégie d’accès initial. Au dernier trimestre, Oyster était responsable d’un peu plus de 2 % des incidents vérifiés chez les clients. Aujourd’hui, il en représente 45 %. Ce type de croissance indique clairement une chose : le système n’est pas préparé à la rapidité avec laquelle les attaquants s’adaptent et évoluent.
Oyster n’est pas le seul problème. Gamarue, une ancienne souche de logiciels malveillants toujours très fonctionnelle, fait son retour par le biais d’exploits USB. Il cache du code dans des DLL et s’appuie sur des systèmes où l’autorun USB n’a pas été désactivé. Aucune action de l’utilisateur n’est requise. Il s’exécute tout simplement. C’est un problème dans les environnements hautement sécurisés et protégés. Il s’agit d’endroits où les USB sont un mal nécessaire et où les politiques de sécurité sont appliquées de manière incohérente, en particulier dans les différents départements ou réseaux de partenaires.
Il y a deux choses à retenir de cette étude. Tout d’abord, les nouvelles familles de logiciels malveillants comme Oyster se développent fortement parce qu’elles automatisent la distribution et exploitent les faiblesses courantes du web et des points d’accès. Deuxièmement, les familles de logiciels malveillants plus anciennes comme Gamarue continuent de réussir parce que nous n’avons pas fermé les surfaces d’attaque obsolètes comme les supports amovibles. Les attaquants utilisent simultanément des outils modernes et anciens, et ils gagnent sur les deux fronts.
Les chefs d’entreprise doivent prendre au sérieux les contrôles de périphériques réorganisés et appliquer des politiques strictes sur l’accès USB dans l’ensemble de la chaîne d’approvisionnement. Vous ne pouvez pas vous permettre des différences entre les bureaux, les zones géographiques ou les partenaires externes. Une politique USB faible sur l’ordinateur portable d’un sous-traitant suffit à ouvrir la porte.
Les chiffres le confirment : Les incidents liés à Oyster sont passés de 2,17 % à 45 % en l’espace d’un seul trimestre, les compromissions par drive-by étant en tête des accès initiaux avec 34 %. Gamarue ne se mesure pas par son volume, mais par la furtivité dont il fait preuve en exploitant les failles que la plupart des entreprises ignorent encore. Les attaques évoluent. Vos politiques doivent l’être aussi.
Les tactiques d’évasion de la défense exploitent désormais des binaires de systèmes légitimes
Les attaquants s’appuient de plus en plus sur ce qui est déjà fiable dans votre système d’exploitation pour échapper à la détection. L’une des méthodes qui s’est rapidement développée est l’utilisation abusive de Rundll32, un binaire Windows légitime utilisé pour charger et exécuter des bibliothèques de liens dynamiques (DLL). Les familles de logiciels malveillants Gamarue et Oyster utilisent ce binaire pour persister sur les systèmes sans déclencher les alertes traditionnelles. Les opérations Rundll32 ne déclenchent pas de signaux d’alarme parce qu’elles ressemblent à un comportement normal du système. Un concept simple, mais très efficace.
Ce qui a changé au cours de ce trimestre, c’est l’ampleur qu’a prise cette tactique. Rundll32 représente désormais 11 % de toutes les techniques d’évasion observées. Ce n’est pas rien. Au trimestre dernier, il ne figurait même pas dans le top 15. Oyster est à nouveau le principal moteur de cette technique, exécutant des charges utiles via des tâches planifiées et utilisant des noms de fichiers ou des chemins d’accès à des répertoires qui semblent légitimes. Cela permet de contourner de nombreux outils de détection standard des points finaux, car le comportement n’est pas intrinsèquement malveillant, il se comporte simplement comme une tâche au niveau du système.
Pour les dirigeants qui évaluent les contrôles de sécurité, voici ce qui compte : vos outils ne peuvent plus se contenter de détecter les signatures de logiciels malveillants. Ils doivent détecter l’utilisation suspecte de binaires de confiance. Le comportement prime sur les indicateurs statiques. La plupart des solutions de sécurité n’ont pas été conçues avec ce niveau de nuance à l’esprit. Cela signifie que vous devrez investir dans des systèmes de détection et de réponse (EDR) actualisés qui analysent le contexte d’exécution, et pas seulement les noms de fichiers ou les valeurs de hachage.
Cette technique d’évasion n’est pas hypothétique. Oyster est responsable de 48 % des incidents impliquant l’utilisation de noms de fichiers ou d’emplacements de fichiers d’apparence légitime pour dissimuler des activités malveillantes. Il ne s’agit pas de tentatives aléatoires, mais d’arsenaux délibérés utilisés de manière répétée dans la nature. Les outils système sur lesquels votre entreprise s’appuie font désormais partie de la boîte à outils des attaquants. Il est temps de mettre à jour vos stratégies de détection en conséquence.
Les mouvements latéraux par le biais d’abus de PME augmentent
Une fois que les attaquants sont à l’intérieur du réseau, leur prochaine étape est le mouvement latéral. Le protocole de bureau à distance (RDP) reste la méthode la plus couramment utilisée. Mais l’utilisation abusive de Server Message Block (SMB) a fait un bond en avant au cours des derniers mois. Il figure désormais dans 29 % des incidents de déplacement latéral, contre 10 % au trimestre dernier. C’est presque un triplement. Là encore, Akira est l’exemple phare.
Des groupes de Ransomware utilisent SMB pour chiffrer à distance des fichiers sur des disques partagés. Ils le font à partir de comptes compromis, souvent via des VPN ou des appareils non gérés, ce qui leur permet de contourner la plupart des protections des points d’extrémité. Le protocole SMB étant un protocole de base pour le partage de fichiers, les activités anormales peuvent facilement se fondre dans le trafic réseau normal, jusqu’à ce qu’il soit trop tard. C’est en partie ce qui rend cette méthode si difficile à contenir sans une visibilité en temps réel sur les systèmes internes.
Les dirigeants doivent comprendre ce que ce changement signifie du point de vue de la gestion des risques. Les systèmes existants, comme le SMB, deviennent des vecteurs d’attaque privilégiés, non seulement en raison de défauts techniques, mais aussi parce que la visibilité est souvent insuffisante. Les appareils connectés via des VPN, ou laissés sans gestion par le service informatique, offrent aux opérateurs de Ransomware des angles morts à exploiter. Il ne s’agit pas de cas marginaux, mais de vos surfaces d’attaque les plus probables.
À l’heure actuelle, la segmentation et une surveillance plus active du trafic des PME sont essentielles. Vous avez également besoin de mesures comportementales de base concernant les mouvements de données internes. Si une identité copie ou crypte des quantités inattendues de données via le SMB, cela doit déclencher une réponse. Vous ne pouvez pas réparer ce que vous ne pouvez pas voir, et les attaquants comptent là-dessus.
Les données de ReliaQuest renforcent cette préoccupation. Les mouvements latéraux via les PME ont représenté 29 % des incidents au cours du dernier trimestre. La méthode n’était pas théorique, elle a été activement utilisée par les groupes de Ransomware pour verrouiller des fichiers sans toucher directement les terminaux. La capacité de déplacer et de chiffrer des données discrètement, en utilisant les services conventionnels du réseau d’entreprise, est une menace croissante, qui a fait ses preuves et s’est étendue. Assurez-vous de ne pas être l’une des entreprises qui fournissent cette voie d’accès.
Les dispositifs IP-KVM présentent des risques croissants pour la sécurité
Les menaces de sécurité ne se limitent pas aux logiciels ou aux réseaux. Le matériel est aujourd’hui un sujet de préoccupation croissant, en particulier les dispositifs clavier-vidéo-souris sur IP, communément appelés IP-KVM. Il s’agit d’outils d’accès à distance conçus pour la gestion légitime des systèmes, mais les pirates et même le personnel interne les introduisent de plus en plus dans les environnements d’entreprise, intentionnellement ou non. Leur présence n’est pas toujours enregistrée et ils échappent souvent aux outils de détection des points finaux.
Les données sont claires : il y a eu une augmentation de 328% des incidents liés à l’IP-KVM entre juin et août 2025. Il ne s’agit pas d’une tendance à ignorer. Ces dispositifs permettent d’accéder directement aux systèmes par l’entrée et l’écran, avec peu ou pas de visibilité pour les couches de sécurité traditionnelles du réseau. Des acteurs de la menace, y compris des groupes nord-coréens, ont été associés à des campagnes exploitant ces outils, les utilisant pour masquer leur activité en tant qu’interaction matérielle standard. Dans les environnements BYOD, ou dans les unités dont la gestion des actifs est faible, cela devient un point d’exposition à haut risque.
Pour les dirigeants, il s’agit là d’une vulnérabilité opérationnelle critique. La plupart des organisations disposent d’un protocole strict en matière de risques logiciels, mais elles sont moins nombreuses à disposer de politiques applicables au matériel non autorisé. Ces appareils contournent l’application des politiques, l’authentification des utilisateurs et la surveillance, créant ainsi une porte dérobée qui ressemble à un accès informatique légitime. Il ne s’agit pas seulement de savoir ce que font les attaquants, mais aussi ce que les employés et les fournisseurs branchent à leur insu sur votre infrastructure.
L’atténuation commence par une discipline d’inventaire. Vous devez avoir une connaissance en temps réel de chaque appareil à l’intérieur du périmètre de votre réseau, qu’il s’agisse de logiciels ou de matériel. La gestion des actifs doit évoluer au-delà des agents de points d’extrémité et de la conformité des logiciels. Elle doit s’étendre pour inclure l’analyse des appareils au niveau physique et du micrologiciel, en particulier pour les entrées non gérées ou atypiques. Si un JetKVM est branché sur un poste de travail de production et qu’aucun système ne le détecte, vous travaillez dans l’obscurité.
Le rapport d’août 2025 de ReliaQuest met en lumière un tel cas, où un dispositif JetKVM non autorisé a été installé en interne, augmentant silencieusement l’exposition de l’entreprise. Le contrôle n’a pas été repris par une escalade de sécurité conventionnelle, mais par une analyse post-incident, suivie de nouvelles restrictions pour éviter que l’incident ne se reproduise. C’est de la réaction. Vous voulez utiliser des systèmes proactifs qui détectent et alertent dès qu’un nouveau dispositif non approuvé est installé. C’est la maturité opérationnelle dans le paysage actuel des menaces matérielles.
L’utilisation d’Infostealer a baissé après la répression, mais des menaces importantes subsistent
Voici ce qui s’est passé avec les voleurs d’informations : les forces de l’ordre ont mis hors service l’infrastructure de Lumma en mai 2025. En conséquence, l’activité des voleurs d’informations a chuté de 67 % au cours de ce trimestre. Une telle baisse est significative et reflète une action délibérée et ciblée. Mais le soulagement est temporaire. Lumma n’a pas disparu, elle s’est adaptée. Il représente encore 54 % de tous les incidents liés aux voleurs d’informations. Cela représente plus de la moitié de l’empreinte globale, malgré le démantèlement.
Ce qui a changé, c’est la méthode de diffusion. Les opérateurs de Lumma sont passés à de faux cracks de logiciels, à de faux générateurs de clés et à des tactiques comme ClickFix, où de fausses pages CAPTCHA sont utilisées pour distribuer des charges utiles. Ces attaques ne nécessitent pas de sophistication technique pour réussir. Elles nécessitent des clics. Cela abaisse la barrière à l’entrée et augmente la portée, en particulier dans les environnements d’utilisateurs moins protégés et sur les appareils personnels.
D’autres voleurs d’informations, Acreed, Vidar, Stealc, occupent l’espace temporairement occupé par Lumma. Ils ciblent les identifiants SaaS et les plateformes peu surveillées, comme les comptes de productivité personnels et les actifs dans le cloud. Il s’agit de surfaces de grande valeur qui échappent aux modèles de détection traditionnels. Si votre architecture de sécurité ne protège que les actifs sur site ou les identifiants d’entreprise, vous avez des angles morts que les attaquants peuvent déjà voir.
Les dirigeants de la C-suite doivent aborder le vol d’infos avec le même sérieux que le Ransomware. L’accent doit être mis sur l’hygiène des informations d’identification, le renforcement des terminaux et les politiques de protection du cloud. Considérez chaque identifiant comme un vecteur potentiel d’intrusion. Si l’authentification multifactorielle n’est pas universellement appliquée, y compris dans les chaînes de sous-traitance et les plateformes tierces, vous ouvrez les vannes à ces outils.
Les chiffres le montrent clairement : Lumma a été impliqué dans 54 % des incidents de vol d’informations même après un démantèlement majeur, et l’activité globale de vol d’informations n’a diminué qu’après une perturbation externe par les forces de l’ordre, et non grâce à un renforcement direct de l’entreprise. Cela montre qu’il est nécessaire d’investir davantage dans la résilience interne, plutôt que d’espérer que la suppression de l’extérieur se poursuive au même rythme. Les acteurs malveillants ne ralentissent pas. Ils se reconstruisent et se réarment rapidement.
Le nombre de victimes de Ransomware a diminué, mais le ciblage et les tactiques sont devenus plus complexes
Les opérateurs de Ransomware passent d’attaques à grand volume à des campagnes plus calculées et à fort impact. Les listes publiques de victimes de Ransomware sur les sites de fuites ont chuté de 4,52 % au cours du dernier trimestre. À première vue, il s’agit d’une amélioration, mais l’orientation et la sophistication des campagnes actives révèlent une autre histoire. Des groupes comme Qilin ont maintenu des niveaux d’activité élevés en exploitant des vulnérabilités non corrigées dans les infrastructures vulnérables, en particulier les appliances FortiGate de Fortinet. La fiabilité de ces vecteurs d’exploitation permet aux attaquants d’éviter les infections massives.
Le ciblage des secteurs évolue. Le nombre de victimes a augmenté de 38 % dans le secteur des soins de santé et de 84 % dans celui des services publics. Ces secteurs sont particulièrement menacés en raison de leur dépendance opérationnelle. Les temps d’arrêt prolongés ont un impact réel. Les attaquants l’ont bien compris, et ils concentrent leurs efforts là où les perturbations permettent de négocier rapidement. D’autres groupes, Akira, SafePay et Play, ont enregistré des baisses d’activité notables, le nombre de victimes diminuant respectivement de 9,42 %, 23,14 % et 35,54 %. Cette tendance suggère un changement d’orientation, et non une réduction des capacités.
Pour les dirigeants, le message est clair. Les groupes de menace ne se contentent pas de réduire leur production, ils l’optimisent. Ils affinent leurs opérations, en se concentrant sur les secteurs ayant des exigences élevées en matière de temps de fonctionnement et des pratiques internes historiquement faibles en matière de correctifs. Les logiciels hérités, les actifs non gérés et les politiques de mise à jour incohérentes créent un point d’ancrage parfait pour les opérateurs de ransomware persistants.
Les investissements en matière de sécurité doivent s’adapter à ces stratégies d’attaque. Donnez la priorité à la gestion des correctifs dans l’infrastructure orientée vers l’extérieur. Créez des redondances pour les systèmes critiques dans les secteurs où les attentes en matière de niveau de service sont élevées. Si vous travaillez dans le secteur de la santé, de l’énergie ou des services publics, comprenez que l’intérêt des attaquants augmente en raison de votre profil de risque, et ne diminue pas en raison de la réduction générale du nombre de fuites.
Selon le rapport Q3 2025 de ReliaQuest, Qilin a conservé son avance en tant que groupe de ransomware le plus agressif. Le ciblage des secteurs de la santé et des services publics a augmenté de 38 % et 84 %, même si l’activité générale de publication de Ransomware a légèrement diminué. La baisse du volume ne signifie pas une diminution de la menace, mais indique que des campagnes plus intelligentes et plus ciblées sont désormais en jeu.
Les opérations de ransomware de plus petite envergure et l’automatisation redessinent le paysage des menaces.
Le Ransomware est en train de se réorganiser. Ce qui était autrefois dominé par quelques grands syndicats s’est maintenant divisé en opérations plus petites et plus agiles. Ces groupes ne sont pas seulement plus légers, ils sont aussi plus rapides, plus adaptables et construits autour d’une automatisation évolutive. Le Ransomware de GLOBAL en est un excellent exemple. Il utilise un modèle basé sur l’affiliation et s’appuie sur des robots de négociation IA pour gérer les conversations relatives aux rançons. Cela supprime la nécessité d’un traitement manuel et introduit une grande cohérence dans les négociations, quel que soit le bagage technique de l’attaquant.
Nous assistons également à une flexibilité des plateformes. Des groupes comme Oyster utilisent l’IA pour manipuler les moteurs de recherche, ce que l’on appelle l’empoisonnement du référencement, afin d’inciter les utilisateurs à télécharger des logiciels malveillants à partir de sources apparemment légitimes. Ces tactiques ne reposent pas sur la créativité humaine. Elles s’appuient sur un ciblage appris par la machine. Elles s’adaptent rapidement et réagissent vite aux nouvelles opportunités.
Cette fragmentation et cette automatisation constituent un défi de taille. L’entreprise moyenne est encore en train de régler les règles de détection et de suivre les alertes SIEM, tandis que les attaquants déploient des boucles d’extorsion gérées par des robots et des réseaux de leurres à grande échelle avec un minimum d’intervention humaine. Ce décalage dans le rythme opérationnel crée un désavantage permanent si vous ne faites pas évoluer vos défenses.
Les dirigeants devraient cesser de mesurer le risque cybernétique uniquement en termes de retombées sur la réputation. La menace est désormais économique dans sa structure, pilotée par l’automatisation, distribuée par des services cloud et banalisée à travers des réseaux affiliés. Les opérations à faible frais généraux basées sur l’IA peuvent déjouer les systèmes de défense rigides. Cette réalité exige une approche agile du risque : réduisez la surface d’attaque, investissez dans la détection pilotée par l’IA et assurez-vous que votre réponse aux incidents ne repose pas sur des flux de travail obsolètes.
Le dernier rapport de ReliaQuest rend compte de cette évolution. GLOBAL est cité comme un exemple majeur d’opérations automatisées de Ransomware utilisant des chatbots d’IA. L’intégration de tactiques telles que l’empoisonnement du référencement par des groupes tels qu’Oyster montre que les adversaires les plus compétents ne sont plus les plus grands, mais les plus adaptables. Vous devez réagir avec des cadres qui correspondent à cette capacité d’adaptation.
Les failles de sécurité fondamentales restent les principaux facteurs de réussite des attaques.
La plupart des défaillances de sécurité commencent toujours au niveau le plus élémentaire, avec des systèmes non corrigés, une faible application des politiques et des appareils non surveillés. Malgré les progrès réalisés en matière de détection avancée des menaces et d’outils pilotés par l’IA, les attaquants continuent de réussir parce que des lacunes fondamentales restent ouvertes. L’analyse de ReliaQuest sur les incidents récents relie les violations réussies à des éléments que votre équipe devrait déjà contrôler : logiciels obsolètes, configurations oubliées et conformité négligée.
Ce qui change, c’est l’échelle à laquelle ces faiblesses sont exploitées. Les attaquants n’ont pas besoin de découvrir des « zero-days » pour obtenir un accès. Les vulnérabilités connues, souvent accompagnées de correctifs, sont toujours utilisées parce qu’elles ne sont pas résolues dans tous les environnements. Combinez cela avec des politiques permissives en matière de supports amovibles, des appareils BYOD non gérés et des intégrations tierces fragmentées, et vous obtiendrez un paysage rempli de points de friction que les attaquants savent comment naviguer.
Du point de vue des dirigeants, c’est là que les priorités devraient changer. La plupart des dirigeants veulent investir dans la cybersécurité « nouvelle génération » parce que cela leur semble progressiste, et dans certains cas, c’est nécessaire. Mais cela ne remplace pas le besoin d’une discipline structurée autour des principes de base. Les cadences des correctifs doivent être appliquées à tous les environnements d’exploitation. La gestion des actifs doit inclure les terminaux internes et les appareils des sous-traitants. Les politiques de sécurité doivent être uniformes, applicables et vérifiables.
Le paysage des menaces émergentes, ransomware, infostealers, infiltration au niveau du matériel, rend la sécurité fondamentale plus importante, pas moins. Vous ne pouvez pas vous attendre à ce que les outils d’automatisation ou de détection fonctionnent correctement lorsque des ports critiques sont laissés ouverts, que les contrôles des terminaux sont faibles ou que la visibilité est incohérente entre les infrastructures cloud et sur site.
Le rapport de ReliaQuest ne lie pas chaque incident à des tactiques avancées. Bon nombre des violations observées auraient échoué si des protections fondamentales avaient été mises en place. C’est là que réside l’opportunité d’amélioration. Avant de vous lancer dans des solutions basées sur l’IA ou l’automatisation, évaluez si votre organisation applique systématiquement les protections les plus élémentaires.
Éliminez les vulnérabilités connues. Fermez les accès inutiles. Examinez l’exposition de votre matériel. Ces actions ne requièrent pas de nouvelles innovations, mais plutôt de la concentration, de la routine et de la responsabilité. C’est là que commence une sécurité efficace.
En conclusion
Il ne s’agit pas seulement de logiciels malveillants, de temps de pause ou de nouveaux outils. C’est une question de rythme, de précision et de posture. Les acteurs de la menace se déplacent plus rapidement, automatisent plus intelligemment et frappent là où ça fait mal : les services critiques, les actifs obsolètes et les points d’accès non sécurisés. La plupart des défenses n’échouent pas parce qu’elles sont faibles. Elles échouent parce qu’elles sont lentes, fragmentées ou trop dépendantes d’un mode de pensée traditionnel.
Pour les dirigeants, la conclusion est claire. La sécurité fondamentale n’est pas optionnelle. L’automatisation non plus. Si votre plan de réponse repose encore sur un triage manuel ou des cycles de correctifs réactifs, vous êtes déjà en retard. La vitesse fait désormais partie du modèle de menace. Votre feuille de route en matière de sécurité doit en tenir compte : boucles de décision plus rapides, exécution plus rigoureuse et meilleur alignement entre la cyberhygiène et les opérations de base.
Donnez la priorité à la visibilité. Investissez dans la détection qui comprend le comportement, et pas seulement les signatures. Développez une mémoire musculaire pour une réponse rapide. Appliquez des contrôles sur les terminaux, le matériel, le cloud et les sous-traitants avec la même discipline que celle que vous appliquez aux systèmes financiers.
Les attaquants optimisent. Vous devriez en faire autant.
