Après l'exploitation, avant l'impact : analyse du paysage des menaces pour 2026 selon Gartner.

July 8, 2026
7/8/2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Après l'exploitation, avant l'impact : analyse du paysage des menaces pour 2026 selon Gartner.

Lors du sommet Gartner sur la sécurité et la gestion des risques qui s'est tenu en juin, Gartner a identifié quatre menaces face auxquelles les attaquants disposent d'un avantage significatif et pour lesquelles les responsables de la cybersécurité doivent agir sans délai : la compromission des applications d'IA, l'usurpation d'identité par « deepfake », la chaîne d'approvisionnement logicielle et prompt injection. Le rapport ThreatScape 2026-2027 recense au total vingt menaces. Ces quatre menaces sont celles que le sommet a mises en avant comme nécessitant des améliorations urgentes.

Ces quatre menaces ne sont pas des menaces de base. Chacune d’entre elles s’installe au sein même de l’environnement, en exploitant les accès dont le pirate dispose déjà. Comme l’a souligné John Watts, analyste et vice-président chez Gartner chargé de la présentation du ThreatScape : les responsables de la cybersécurité doivent être capables de repérer le signal de menace au milieu de tout ce bruit. Cet article propose une interprétation de ce signal.

ThreatScape 2026-2027 de Gartner

À quoi ressemblent les attaques aujourd'hui ?

Quatre numéros désignent la même étape dans la chaîne d'attaque.

  • La durée médiane de séjour est passée de 11 à 14 jours entre les éditions 2025 et 2026 du rapport Mandiant M-Trends.
  • Selon le rapport DBIR 2026 de Verizon, l'utilisation frauduleuse d'identifiants intervient à un moment ou à un autre de la chaîne d'attaque dans 39 % des violations de données.
  • Selon les données de CrowdStrike citées par Gartner, les intrusions Cloud ont augmenté de 37 % en 2025 par rapport à l'année précédente.
  • Par ailleurs, l'outil « LLM ATT&CK Navigator » d'Anthropic, publié quatre jours après le rapport ThreatScape, a analysé 832 comptes bannis pour utilisation malveillante de Claude sur une période d'un an et a révélé que seules 0,7 % des actions menées à l'aide de l'IA constituaient des mouvements latéraux ; pourtant, ces acteurs présentaient les scores de risque les plus élevés de l'ensemble de données.

Les révélations récentes à l'échelle mondiale suivent le même schéma. À la mi-juin, Salesforce a désactivé l'intégration de Klue Battlecards après que le groupe de chantage Icarus eut utilisé les identifiants d'un compte de service oublié pour générer des jetons OAuth via l'intégration de Klue à Salesforce et exfiltrer en masse des données CRM provenant de plus de quinze clients.

Dans la même fenêtre, Rapport « Dismantling FortiBleed » de SOCRadar a identifié un courtier d'accès initial russophone utilisant FortigateSniffer, un binaire Go qui exploite une faille de FortiOS analyser un paquet de sniffer commande permettant de collecter de manière passive des identifiants en clair provenant d'environ 430 000 pare-feu FortiGate répartis dans 150 pays ; 354 chaînes d'attaque complètes ont été observées, dont douze ont abouti à l'exécution des ransomwares INC ou Lynx.

Le 15 juin, le Google Threat Intelligence Group a révélé l’existence d’UNC6508, une opération liée à la République populaire de Chine qui a eu accès pendant 26 mois à des réseaux nord-américains dans les domaines de la médecine, de l’armée et de la recherche en intelligence artificielle grâce à une installation de REDCap infectée par un cheval de Troie, puis a contourné les règles de conformité du contenu de Google Workspace pour transférer discrètement, en copie cachée (BCC), des e-mails contenant environ 150 mots-clés vers des comptes Gmail contrôlés par les pirates.

Par ailleurs, l'équipe Threat Hunter de Symantec a publié une étude sur Backdoor.Turn, un implant de DragonForce qui achemine les communications de commande et de contrôle QUIC via les relais TURN de Microsoft Teams, de sorte que tout le trafic sortant soit redirigé vers l'espace IP de Teams et ressemble à un appel vidéo.

Les détails varient d'un cas à l'autre, mais le schéma sous-jacent reste le même : l'attaquant se trouve à l'intérieur de l'environnement, il est authentifié et se déplace.

L'IA accélère tout

Les données d’Anthropic Navigator illustrent ce même constat à une autre échelle. Les opérations assistées par l’IA se concentrent sur les mêmes techniques MITRE que celles déjà utilisées il y a deux ans par les attaques menées par des humains : services à distance (T1021), comptes valides (T1078.003), extraction des identifiants du système d’exploitation (T1003) et données collectées dans des archives (T1560). Chacune de ces techniques est trois à cinq fois plus fréquente dans le groupe à haut risque que dans le reste de l'ensemble de données.

L'IA élimine le temps de latence de l'opérateur, mais pas la nature de l'attaque. Le rapport d'incident Sysdig 2025 a retracé une intrusion sur AWS qui s'est déroulée en environ huit minutes, car l'opérateur était un agent IA. L'opération GTG-1002, déjouée par Anthropic en novembre 2025, a suivi le même schéma d'action contre des cibles gouvernementales et des infrastructures critiques, un humain se contentant de définir la direction à suivre. Il faut surveiller le comportement, pas l'outil.

Ces trois mêmes lacunes, vues sous un nouvel angle

Ce n'est pas un problème nouveau. Il s'agit des trois mêmes failles structurelles de détection que le cadre « Mind Your Attack Gaps » décrit depuis 2024.

  • Tout semble normal : les pirates utilisent des outils légitimes.
    Techniques de type « living-off-the-land » utilisant des outils d’administration natifs. Volt Typhoon, Salt Typhoon, BRICKSTORM, DragonForce Backdoor.Turn dissimulant le C2 dans le trafic TURN de Teams.
  • L'authentification aboutit : les attaquants utilisent des identifiants valides.
    De vrais identifiants, de vrais codes MFA, de vrais jetons OAuth. Chaîne OAuth Klue-Salesforce, collecte passive d'identifiants via FortiBleed, présence de l'attaquant en tant qu'administrateur de domaine (UNC6508) pendant 26 mois.
  • Les mouvements ne sont pas visibles : les attaquants utilisent des flux de travail légitimes.
    Mouvements latéraux inter-domaines à travers les identités, le réseau, cloud et les services SaaS. UNC6508 : exfiltration via les règles de conformité de Google Workspace, Sysdig AWS-AI, GTG-1002.

Gartner utilise un vocabulaire différent et s'appuie sur d'autres sources de données. La tendance est toutefois la même que celle que ce cadre analyse depuis deux ans.

Entre l'exploitation de la faille et l'impact, le pirate est authentifié, en mouvement et discret. Le signal est comportemental et ne devient visible que lorsque l'on établit une corrélation, en temps réel, entre ce qui se passe sur le réseau et les actions de l'utilisateur. C'est cette phase Vectra AI a été conçue.

--

Si vous souhaitez observer le déroulement de cette phase dans votre propre environnement, notre équipe propose une évaluation gratuite de la sécurité offensive qui reproduit de bout en bout une véritable campagne connue et met en évidence les failles de vos mesures de sécurité. L’ Attack Labs présentent ces mêmes campagnes en vidéo pour tous ceux qui souhaitent en avoir un aperçu au préalable.

Si vous souhaitez disposer d'un cadre complet intégrant les structures des campagnes nommées, l' ebook « Mind Your Attack Gaps » est la référence incontournable.

Et si l'accélération par l'IA est le domaine sur lequel vous souhaitez mettre l'accent, « 9 questions à poser aux fournisseurs d'IA concernant la détection des menaces » est une liste de contrôle simple à utiliser lors de votre prochain rendez-vous avec un fournisseur.

Foire aux questions