Le temps d’exploitation tombe à 72 minutes à mesure que l’automatisation de l’IA accélère les cyberattaques.
Les cyberattaques évoluent plus rapidement, réduisant l’écart entre la compromission initiale et les conséquences néfastes, et l’avènement de l’IA accélère leur déroulement d’une manière que les défenseurs humains ne peuvent plus suivre.
C’est la conclusion générale et peut-être sans surprise du rapport mondial sur la réponse aux incidents 2026 de Palo Alto Networks, qui a analysé 750 incidents dans 50 pays qui ont fait l’objet d’une enquête par l’équipe mondiale de renseignement sur les menaces et de réponse aux incidents de l’unité 42 de l’entreprise.
Dans les attaques les plus rapides analysées, les acteurs malveillants sont passés de l’accès initial à l’exfiltration des données en 72 minutes, contre près de cinq heures en 2024. De plus en plus, cela s’explique par la capacité de l’IA à compresser les délais de reconnaissance, de phishing, de script et d’exécution opérationnelle, a déclaré la société.
Cependant, un examen plus approfondi offre aux RSSI un peu de réconfort : ce qui tue réellement les organisations, ce ne sont pas tant les attaquants rapides ou le loup de l’IA, mais des défaillances fondamentales telles qu’une authentification faible, un manque de visibilité en temps réel et des erreurs de configuration causées par une prolifération complexe de systèmes de sécurité.
En théorie, tout cela est réparable. Comme l’observent les auteurs : « Malgré la rapidité et l’automatisation auxquelles nous assistons, la plupart des incidents auxquels nous répondons ne commencent pas par quelque chose de radicalement nouveau. Ils commencent par des lacunes qui apparaissent encore et encore. Dans de nombreux cas, les attaquants ne se sont pas appuyés sur un exploit sophistiqué, mais sur une exposition négligée. »
Lutte identitaire
Un thème récurrent est la lutte que de nombreuses organisations ont avec l’identité et la confiance, qui, selon l’Unité 42, a joué un rôle dans 90 % des incidents sur lesquels elle a enquêté. Les tactiques des attaquants comprenaient l’ingénierie sociale dans 33 % des incidents, le phishing basé sur l’identité dans 22 %, l’abus d’identifiants et la force brute dans 21 % et les menaces internes dans 8 %.
Trop de comptes ont des autorisations excessives ; c’était le cas de 99 % des 680 000 utilisateurs, rôles et services cloud analysés par l’Unité 42, y compris certains qui étaient inutilisés depuis 60 jours ou plus. Il s’agit d’une surface d’attaque d’identité qui ne cesse de s’étendre plus rapidement que les problèmes sous-jacents ne peuvent être résolus, à mesure que les organisations ajoutent toujours plus d’applications cloud, SaaS et IA.
De plus en plus, ces identités concernent les identités des machines (comptes de service, rôles d’automatisation, clés API, agents IA), les identités fantômes (comptes non autorisés, environnements de développement et tiers) et les « silos » d’identité (AD sur site plus plusieurs fournisseurs d’identité cloud).
« Une attaque reste rarement dans un seul environnement. Au lieu de cela, nous constatons une activité coordonnée entre les points finaux, les réseaux, le cloud, le SaaS et l’identité, obligeant les défenseurs à les surveiller tous en même temps », a déclaré l’unité 42.
Les chaînes d’approvisionnement constituent un autre domaine vulnérable. Dans 23 % des incidents, les attaquants ont réussi à exploiter des applications SaaS tierces, en contournant les contrôles de sécurité traditionnels. « Lorsqu’un fournisseur en amont signalait une compromission ou une panne, les clients devaient souvent s’arrêter et répondre à une question fondamentale : sommes-nous concernés ? Dans de nombreux cas, ils avaient une visibilité limitée sur leur propre exposition », a déclaré l’Unité 42.
Changer de paradigme
La réponse d’Unit 42 à ce cycle sans fin d’attaquants ayant toujours une longueur d’avance sur les défenseurs est de changer de paradigme : la cybersécurité est devenue si spécialisée, dit-elle, que la réponse est d’utiliser un service géré construit à partir de zéro pour contrer les menaces réelles plutôt qu’abstraites.
Dans cet esprit, Palo Alto Networks a lancé cette semaine un nouveau service SOC, Unit 42 Managed Extended Security Intelligence and Automation Management (XSIAM) 2.0. Selon la société, cela a étendu son XSIAM 1.0 pour inclure une intégration complète, une recherche et une réponse aux menaces, ainsi qu’une modélisation des modèles d’attaque plus rapidement qu’un SOC traditionnel.
Est-ce convaincant ? Les RSSI ont déjà entendu ce message : les anciens systèmes ne fonctionnent plus, alors investissez dans quelque chose de nouveau. Et il y a toujours un ancien système ou service qui doit être détruit pour être remplacé par un nouveau.
Pour compliquer les choses, l’idée de SOC toujours plus avancés n’est peut-être pas une panacée. Certains ont même avancé que les SOC eux-mêmes peuvent se retrouver confrontés aux mêmes problèmes de pénurie de compétences et de contraintes budgétaires que les services informatiques traditionnels.
Comme le dit Palo Alto Networks : « La fenêtre de défense s’est effondrée et la plupart des SOC n’ont pas été conçus pour la rapidité des attaques actuelles. » Alors, fini les vieux outils tels que les SIEM traditionnels et SOAR, qui génèrent simplement des alertes ; le SOC moderne alimenté par l’IA devrait agir sur eux « à la vitesse de la machine ».
