En 2025, le temps d’intervention des attaquants a augmenté, le phishing vocal a dépassé le phishing par courrier électronique et les acteurs malveillants ont de plus en plus ciblé les systèmes de sauvegarde et d’identité, selon les dernières données de réponse aux incidents de Mandiant.
Le rapport M-Trends 2026 de Mandiant, publié aujourd’hui lors de la conférence RSA, montre que les attaquants évoluent plus rapidement, opèrent de manière plus collaborative et se concentrent de plus en plus sur les systèmes sur lesquels les organisations s’appuient pour se remettre des violations.
Le rapport, basé sur plus de 500 000 heures d’engagements de réponse aux incidents en 2025, révèle que les attaquants compriment les phases clés du cycle de vie des attaques, même si le temps d’intervention médian est passé à 14 jours, contre 11 jours l’année précédente.
De plus, cela révèle un changement de tactique. Le phishing vocal représentait 11 % des vecteurs d’infection initiaux, ce qui en fait le deuxième point d’entrée le plus courant après les exploits, qui arrivaient en tête avec 32 %. Le phishing par courrier électronique est tombé à 6 %, contre 14 % l’année précédente, reflétant une évolution vers une ingénierie sociale plus interactive. Ensemble, ces tendances indiquent un changement à la fois dans la rapidité avec laquelle les attaques se déroulent et dans ce que les attaquants tentent d’accomplir une fois à l’intérieur.
Cela met également en évidence un déséquilibre croissant entre rapidité et persévérance. Si certaines phases d’attaque se déroulent désormais en quelques secondes, d’autres se prolongent davantage. Les incidents identifiés via une notification externe avaient un temps d’attente médian de 25 jours, contre neuf jours pour ceux détectés en interne, ce qui indique une détection interne améliorée mais des lacunes persistantes en matière de visibilité, en particulier dans les environnements complexes.
Dans le même temps, les attaquants affinent leurs objectifs. Les intrusions liées aux ransomwares représentaient 13 % des enquêtes, tandis que les activités d’extorsion sont apparues dans 23 % des cas. Le vol de données a été observé dans 40 % des incidents, soit une légère hausse par rapport aux 37 % de l’année précédente.
Comme l’écrit Jurgen Kutscher, vice-président de Mandiant Consulting chez Google Cloud, dans un article de blog accompagnant le rapport, les groupes à motivation financière sont « optimisés pour un impact immédiat et un refus délibéré de récupération », tandis que d’autres acteurs de la menace, tels que les États-nations, se concentrent sur la persistance à long terme.
Les délais d’attaque se raccourcissent à mesure que les acteurs de la menace se spécialisent
L’une des évolutions les plus importantes est la multiplication des opérations de transfert, dans lesquelles un acteur malveillant obtient un accès initial et le transfère rapidement à un autre, souvent un groupe de ransomwares. L’un des principaux moteurs de ce changement est ce que Mandiant décrit comme « une spécialisation et une collaboration accrues au sein de l’écosystème de la cybercriminalité ».
La vitesse de cette transition a radicalement changé. « En 2022, le délai médian entre un premier événement d’accès et le transfert vers un groupe de menace secondaire était supérieur à 8 heures. En 2025, cette fenêtre est tombée à seulement 22 secondes », écrit Kutscher.
Les compromissions antérieures, dans lesquelles l’accès est hérité d’un autre acteur malveillant, représentaient environ 10 à 13 % des vecteurs d’infection initiaux dans le monde et jusqu’à 30 % dans les opérations de ransomware. Pour les défenseurs, des alertes qui semblaient autrefois peu prioritaires peuvent désormais se transformer presque immédiatement en incidents à grande échelle.
L’ingénierie sociale devient plus interactive
Même si les exploits restent le principal vecteur d’infection initial avec 32 %, le rapport souligne une évolution vers une ingénierie sociale plus adaptative. Le phishing vocal a fortement augmenté, tandis que le phishing par courrier électronique continue de diminuer, signalant l’abandon des campagnes à volume élevé au profit d’interactions en temps réel.
Les données de Mandiant montrent que le phishing par courrier électronique est tombé à seulement 6 % des intrusions en 2025. À la place, les adversaires se sont tournés vers une ingénierie sociale hautement interactive et vocale.
Les attaquants utilisent également les plateformes de messagerie et les réseaux sociaux pour engager directement leurs cibles, contournant souvent les contrôles techniques en manipulant les processus du service d’assistance ou les flux de vérification d’identité. Le rapport met en évidence la manière dont les attaquants exploitent les environnements SaaS, récoltant des jetons et des informations d’identification pour se déplacer latéralement entre les organisations et leurs partenaires.
L’IA accélère les attaques précoces, pas leurs résultats
L’intelligence artificielle contribue à ces changements, mais ne constitue pas le principal moteur des violations réussies. Le rapport indique que les attaquants utilisent de grands modèles de langage pour améliorer le phishing, la reconnaissance et l’évasion, augmentant ainsi l’efficacité des opérations à un stade précoce.
Dans le même temps, les causes sous-jacentes des intrusions réussies restent inchangées. « La grande majorité des intrusions réussies proviennent toujours de défaillances humaines et systémiques fondamentales », écrit Kutscher.
L’IA accélère les méthodes d’attaque existantes plutôt que de les remplacer, ce qui renforce la nécessité pour les RSSI de combler les lacunes persistantes en matière de correctifs, de sécurité des identités et de visibilité.
Les ransomwares évoluent vers un refus de récupération
Les tactiques des ransomwares évoluent. Alors que le chiffrement et le vol de données restent essentiels, les attaquants cherchent de plus en plus à affaiblir la capacité de récupération d’une organisation. En 2025, Mandiant a observé un changement systémique dans lequel les opérateurs de ransomwares ciblaient activement l’infrastructure de sauvegarde, les services d’identité et les plans de gestion de la virtualisation.
Cette évolution vers le refus du recouvrement modifie la dynamique de l’extorsion. En compromettant ou en détruisant les capacités de restauration, les attaquants augmentent la probabilité que les victimes paient, même lorsque des sauvegardes existent. « Les ransomwares modernes posent désormais un problème fondamental de résilience, obligeant les organisations à choisir : payer ou reconstruire », écrit Kutscher.
Le temps de séjour augmente à mesure que la persistance s’améliore
L’augmentation du temps d’attente médian reflète une tendance plus large à la persistance, en particulier dans les opérations d’espionnage et les activités liées aux projets des informaticiens nord-coréens. Dans ces cas, le temps d’intervention médian a atteint 122 jours, illustrant la façon dont certains attaquants optimisent l’accès à long terme plutôt que l’impact immédiat.
Les attaquants exploitent également les lacunes de l’infrastructure de surveillance. Le rapport note que certaines menaces atteignent des temps d’intervention de près de 400 jours, mettant en évidence des problèmes de visibilité persistants liés à la conservation limitée des journaux et à la surveillance des appareils périphériques.
La détection s’améliore, mais des lacunes subsistent
Les recherches de Mandiant indiquent que 52 % des organisations ont détecté des intrusions en interne en 2025, contre 43 % l’année précédente. Les notifications externes représentaient 34 % des détections, tandis que l’attaquant a divulgué en premier 14 % des incidents.
Bien que la détection interne s’améliore, le recours à des parties externes et la divulgation des adversaires mettent en évidence des lacunes de visibilité persistantes, en particulier dans les environnements hybrides et cloud.
Ce que les RSSI devraient prioriser
Les recommandations de Mandiant reflètent l’abandon des défenses statiques au profit de modèles de réponse plus rapides et plus adaptatifs.
L’une des principales recommandations est que les équipes de sécurité doivent repenser le tri des alertes. Les temps de transfert étant désormais mesurés en secondes, les détections de faible niveau ne peuvent plus être traitées comme du bruit de routine. Ce qui semble être une alerte isolée peut signaler le début d’une intrusion secondaire, nécessitant une action immédiate avant que les attaquants ne passent à l’activité tactile.
Les organisations doivent également traiter les infrastructures de base (systèmes d’identité, environnements de sauvegarde et plates-formes de virtualisation) comme des plans de contrôle critiques. Ceux-ci constituent désormais des cibles principales pour les attaquants cherchant à compromettre la récupération et doivent être isolés, étroitement contrôlés et protégés en tant qu’actifs de niveau 0.
L’identité devient un champ de bataille central. Alors que l’ingénierie sociale interactive contourne l’AMF traditionnelle, les organisations ont besoin d’une vérification continue de l’identité, de contrôles de privilèges plus stricts et d’une gouvernance plus stricte sur les intégrations SaaS.
Les stratégies de détection doivent également évoluer à mesure que les attaquants s’appuient davantage sur des outils légitimes et des logiciels malveillants en mémoire. Les indicateurs statiques sont moins efficaces, nécessitant une transition vers une détection comportementale qui signale des anomalies telles que des modèles d’accès inhabituels, une activité API suspecte ou une utilisation abusive des jetons d’authentification.
Enfin, les lacunes de visibilité restent un problème persistant. L’extension de la conservation des journaux et la centralisation de la télémétrie dans les environnements réseau, cloud et de virtualisation sont essentielles pour détecter les intrusions de longue durée et comprendre leur portée complète.
