Le DBIR 2026 prouve que les correctifs ne peuvent pas empêcher toutes les violations. La véritable résilience nécessite des tests proactifs de réponse aux incidents et des risques de tiers simulés.
Le rapport Verizon Data Breach Investigations Report 2026 a analysé plus de 22 000 violations de données confirmées dans 145 pays. Ses conclusions mettent en évidence une vérité inconfortable : les organisations ne peuvent pas appliquer les correctifs assez rapidement pour éviter chaque incident. L’exploitation des vulnérabilités est devenue le principal vecteur d’accès initial, le délai médian pour corriger une faille critique est passé à 43 jours et le volume de vulnérabilités critiques a augmenté de 50 % d’une année sur l’autre. Même les organisations les plus performantes n’ont réussi à corriger que 30 à 40 % des vulnérabilités exploitées connues répertoriées dans le catalogue CISA Known Exploited Vulnerabilities au cours de la première semaine suivant leur détection. Ce taux a à peine bougé malgré des années d’investissement dans l’outillage, la maturité des processus et la pression réglementaire.
La plupart des organisations finiront par être confrontées à un incident grave. La qualité de votre réponse détermine le résultat.
Les ransomwares sont détectés dans 48 % des violations. La décision de paiement n’est que le début
Les ransomwares sont apparus dans 48 % de toutes les violations confirmées, contre 44 % l’année précédente. Parmi les cas où la taille de l’organisation était connue, 96 % des victimes étaient des petites et moyennes entreprises.
Le « point culminant » de chaque simulation de ransomware dont je suis témoin a toujours été la question : payer ou refuser ? Le DBIR révèle que 69 % des victimes ont choisi de ne pas payer, contre 65 % l’année précédente. Ce nombre était conservé même lorsque les attaquants chiffraient les systèmes. Refuser devient une pratique courante. Le paiement médian est tombé à 139 875 $.
Confrontés à une baisse de leurs revenus, les opérateurs de ransomwares maximisent désormais délibérément les perturbations opérationnelles pour forcer des décisions plus rapides. L’attaque de 2025 contre Marks & Spencer a interrompu les ventes en ligne, le suivi des stocks et la surveillance de la réfrigération pendant des semaines, pour un coût estimé à 300 millions de livres sterling. La violation de Jaguar Land Rover a interrompu la fabrication pendant cinq semaines, infligé 1,9 milliard de livres sterling de dommages et entraîné le PIB britannique en dessous de ses prévisions trimestrielles.
Pensez à utiliser ces cas pour inspirer votre prochain exercice de ransomware. La question de la rançon est un point à l’ordre du jour. Maintenir les opérations sans systèmes principaux, se coordonner avec les conseillers juridiques et les forces de l’ordre, gérer les communications avec les clients et les investisseurs dans les délais réglementaires, décider quoi divulguer et quand : telles sont les décisions qui déterminent si une entreprise survit à un événement de ransomware ou devient un titre d’avertissement. Les organisations qui répètent uniquement la question du paiement répètent la scène d’ouverture et sautent le reste de la pièce.
Les violations par des tiers ont bondi de 60 %. Vos exercices devraient refléter cela
Les violations impliquant un vendeur, un fournisseur ou un prestataire de services ont atteint 48 % de tous les incidents confirmés, soit une augmentation de 60 % par rapport à l’année précédente. Cette mesure a doublé l’année précédente. La trajectoire est indubitable.
Le DBIR identifie trois archétypes : une vulnérabilité dans le produit d’un fournisseur ouvre la porte à votre environnement ; un fournisseur détenant vos données est directement compromis ; ou un attaquant viole le fournisseur et pivote latéralement dans votre réseau. Plusieurs des campagnes les plus marquantes de l’année ont déclenché simultanément deux ou trois archétypes.
La plupart des programmes de table ignorent complètement ce scénario. J’ai vu des organisations répéter leurs stratégies internes des dizaines de fois sans simuler une seule fois un appel à un fournisseur compromis. Quand le véritable appel arrive, ils se figent. Une violation par un tiers met à l’épreuve un ensemble de compétences fondamentalement différent d’un compromis interne.
Lorsqu’un fournisseur est victime d’une violation, les informations dont votre équipe a le plus besoin sont celles que le fournisseur est le moins disposé à partager rapidement. Les exercices sur table devraient simuler cette friction. Les participants doivent s’entraîner à poser des questions précises : quelles données déteniez-vous ? Quelle est la portée confirmée ? Quels journaux existent ? Comment informez-vous les autres clients concernés ?
L’autre moitié de l’exercice est tout aussi cruciale. Vos clients exigeront des réponses pendant que l’enquête est encore en cours. La transparence renforce la confiance. Une attribution prématurée détruit les partenariats. La discipline consiste à communiquer ce que vous savez et ce que vous faites sans blâmer publiquement un fournisseur dont vous avez encore besoin de la coopération. Un communiqué de presse qui jette un tiers sous le bus peut générer un titre satisfaisant. Cela garantira également que l’équipe juridique du vendeur cessera de partager des informations avec la vôtre.
L’exploitation des vulnérabilités est le principal vecteur d’attaque. L’IA va l’accélérer
L’exploitation des vulnérabilités a atteint 31 % de toutes les violations confirmées, soit une augmentation de 55 % par rapport aux 20 % de l’année précédente. Il a remplacé l’abus de titres de compétences en tant que principale méthode d’accès initial pour la première fois dans l’histoire du DBIR.
Le problème structurel est simple. Les organisations ont été confrontées à une moyenne de 16 vulnérabilités exploitées connues par la CISA en 2025, contre 11 l’année précédente. Seulement 26 % ont été entièrement assainis, contre 38 % auparavant. Les défenseurs sont pris dans la course de la Reine Rouge d’Alice.
L’IA comprime encore davantage la chronologie. La collaboration du DBIR avec Anthropic a examiné 793 acteurs malveillants qui ont utilisé à mauvais escient des plateformes d’IA à des fins malveillantes entre mars 2025 et février 2026. L’acteur médian a demandé de l’aide pour 15 techniques ATT&CK distinctes. Trente-deux pour cent des activités d’accès initial assistées par l’IA ciblaient spécifiquement l’exploitation des vulnérabilités. Le rapport note que la création d’outils d’exploitation, leur adaptation dans toutes les langues et la découverte de nouvelles vulnérabilités « sont à la portée de l’aide actuelle au codage de l’IA ». Les propres recherches d’Anthropic sur les menaces ont documenté la première campagne de cyberespionnage orchestrée par l’IA, dans laquelle les attaquants ont utilisé l’IA agentique pour exécuter des intrusions de manière autonome. En décembre 2025, les chercheurs ont documenté VoidLink, un framework complet de malware construit par un agent IA en six jours. Vingt-neuf pour cent des vulnérabilités KEV ont été attaquées avant leur divulgation publique cette année-là.
Cette accélération nécessite un changement dans la manière dont les organisations exercent leurs capacités de réponse aux incidents. Le NIST SP 800-84 recommande depuis longtemps des programmes formels de tests, de formation et d’exercices pour évaluer la préparation à la réponse aux incidents. La vitesse et le volume croissants de l’exploitation rendent cette orientation urgente. Les exercices techniques sur table, dans lesquels les participants effectuent un triage réel plutôt que de discuter de réponses hypothétiques, devraient devenir une routine. Les équipes doivent s’entraîner à identifier les systèmes affectés, à déterminer le rayon d’explosion, à exécuter des playbooks de confinement et à coordonner les mesures correctives entre les départements dans des délais réalistes. L’intervalle entre une compromission initiale et une violation totale se réduit. La rapidité avec laquelle vos équipes techniques peuvent trier et contenir détermine directement la gravité du résultat. Les organisations qui sont confrontées à ces décisions pour la première fois lors d’un incident réel n’iront pas assez vite.
La brèche pour laquelle vous vous entraînez est celle à laquelle vous survivez
Le DBIR 2026 et le rapport M-Trends 2026 de Google dressent le même tableau sous des angles différents : la vitesse des attaques s’accélère, la surface s’étend grâce aux dépendances tierces et l’écart de sophistication entre les attaquants et les défenseurs se réduit grâce aux outils d’IA largement disponibles. Ce ne sont pas des projections. Ils décrivent le paysage des menaces tel qu’il existe aujourd’hui.
Les organisations qui attendent une faille pour tester leurs capacités de réponse découvriront leurs lacunes au pire moment possible. Les manuels de jeu qui n’ont jamais été mis sous pression ont tendance à s’effondrer au premier contact avec un incident réel. Les plans de communication qui semblent raisonnables sur le papier s’effondrent lorsque l’avocat général, le RSSI et le PDG se disputent dans la même pièce sur le calendrier de divulgation tandis que les clients inondent les lignes d’assistance.
Le remède est une pratique délibérée et répétée. Les exercices théoriques simulant des scénarios de ransomware devraient aller au-delà de la question du paiement et s’intéresser au chaos opérationnel qui s’ensuit. Les exercices impliquant des violations par des tiers devraient obliger les participants à gérer la tension entre transparence et préservation du partenariat. Les exercices techniques devraient réduire les délais et exiger la même rapidité de tri qu’exigerait une véritable campagne d’exploitation.
Rien de tout cela n’est un nouveau conseil. Mais les données de 2026 rendent les enjeux plus clairs que jamais. Les organisations qui font de la réponse aux crises une compétence pratique résisteront à ces incidents. Ceux qui traitent leur plan de réponse aux incidents comme un document statique découvriront à leurs dépens ses lacunes.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
