Le rapport Active Adversary 2026 de Sophos révèle que 67 % des incidents de sécurité proviennent désormais de failles liées à l’identité numérique.

L’époque où les pirates informatiques devaient principalement chercher des failles logicielles complexes pour pénétrer les réseaux d’entreprise semble révolue. Selon le nouveau rapport « Active Adversary 2026 » publié par Sophos (https://www.sophos.com/fr-fr), l’un des leaders mondiaux de la cybersécurité, les cybercriminels privilégient désormais la voie la plus directe : l’usurpation d’identité.

Le vol d’identifiants remplace l’exploitation de failles

L’étude, basée sur l’analyse de 661 cas de réponse à incident survenus entre novembre 2024 et octobre 2025 dans 70 pays, dresse un constat sans appel. Les attaques basées sur l’identité représentent désormais plus des deux tiers des intrusions. Les pirates exploitent des identifiants compromis, des mots de passe faibles ou l’absence de protection adéquate sur les comptes utilisateurs.

Le rapport souligne que les attaques par force brute, qui consistent à tester une multitude de mots de passe jusqu’à trouver le bon, représentent 15,6 % des accès initiaux, talonnant désormais les exploits de vulnérabilités techniques (16 %). Dans 59 % des cas analysés, l’absence d’authentification multifacteur (MFA) a permis aux attaquants d’utiliser des identifiants volés sans rencontrer de résistance.

« La conclusion la plus préoccupante du rapport, à savoir la prédominance des causes racines liées aux identités dans la réussite des accès initiaux, est en réalité le fruit de plusieurs années d’observation », analyse John Shier, Field CISO chez Sophos. « Les organisations doivent adopter une approche proactive en matière de sécurité des identités ».

Une vitesse d’exécution fulgurante

L’autre enseignement majeur de ce rapport concerne la rapidité des assaillants. Le « temps médian d’exposition » (la période pendant laquelle un intrus reste inaperçu dans le système) est tombé à seulement trois jours. Cette réduction s’explique par une meilleure réactivité des défenses, mais surtout par l’agressivité accrue des attaquants.

Une fois à l’intérieur du réseau, la progression est extrêmement rapide. Il ne faut en moyenne que 45 minutes (trois quarts d’heure) à un cybercriminel pour atteindre le serveur Active Directory (AD), le cœur névralgique qui gère les permissions et les accès de toute l’entreprise.

De plus, les criminels savent quand frapper. Les attaques par ransomware restent une activité nocturne et de week-end : 88 % des déploiements de logiciels rançonneurs et 79 % des vols de données ont lieu en dehors des heures de bureau, profitant de la baisse de vigilance des équipes techniques.

Multiplication des groupes criminels

Le paysage de la menace se fragmente et se diversifie. Les chercheurs ont identifié le nombre le plus élevé de groupes de menaces actifs jamais enregistré. Si des acteurs connus comme Akira (responsable de 22 % des incidents) et Qilin dominent encore, une multitude de nouveaux groupes émergent, rendant l’attribution des attaques plus complexe.

« Les mesures répressives continuent de perturber l’écosystème des ransomwares », précise John Shier. « Mais le revers de la médaille, c’est qu’une multitude d’autres groupes se disputent la part du lion ».

Quant à l’intelligence artificielle, souvent citée comme une menace émergente, le rapport nuance son impact actuel. Si l’IA générative permet d’améliorer la qualité des emails de phishing et de l’ingénierie sociale, Sophos n’a pas encore observé de nouvelles techniques d’attaque révolutionnaires créées par l’IA. Elle sert pour l’instant d’accélérateur plutôt que de remplaçant aux pirates humains.

La nécessité d’une hygiène numérique stricte

Face à ces menaces, le rapport insiste sur l’importance des fondamentaux. La perte de journaux de sécurité (logs), souvent due à des durées de conservation trop courtes sur les pare-feux, a doublé par rapport à l’année précédente, entravant les enquêtes.

Sophos recommande impérativement le déploiement d’une authentification multifacteur résistante au phishing, la réduction de l’exposition des services connectés à Internet et une surveillance 24 heures sur 24. L’étude complète est disponible sur le site de l’éditeur (https://www.sophos.com/en-us/blog/2026-sophos-active-adversary-report).

Sophos défend aujourd’hui plus de 600 000 entreprises dans le monde grâce à ses solutions de sécurité et ses services managés.