Un diagnostic sans appel sur l’évolution des cyberattaques
L’utilisation d’outils administratifs légitimes et l’accès à distance constituent désormais des points d’entrée privilégiés pour les cybercriminels. C’est la principale conclusion du 2026 Annual Threat Report de Blackpoint Cyber, basé sur l’analyse de milliers d’enquêtes de sécurité.
Les auteurs de menaces abandonnent progressivement l’exploitation de failles techniques au profit de méthodes plus discrètes. Ils privilégient l’utilisation de certificats valides, d’outils de gestion légitimes et d’actions initiées par les utilisateurs eux-mêmes pour pénétrer les réseaux.
L’accès légitime, nouveau vecteur d’attaque majeur
L’un des enseignements marquants du rapport concerne l’accès initial. Dans une majorité de cas documentés, les attaquants sont entrés dans les systèmes en utilisant des chemins d’accès autorisés plutôt qu’en exploitant des vulnérabilités.
L’abus de SSL VPN représente ainsi près d’un tiers des incidents identifiables. Les pirates utilisent des identifiants valides mais compromis pour ouvrir des sessions qui semblent légitimes aux yeux des outils de sécurité. Une fois à l’intérieur, ils bénéficient d’une large portée pour se déplacer vers des systèmes sensibles sans déclencher d’alerte immédiate.
La manipulation des outils IT de confiance
Le détournement d’outils de surveillance et de gestion à distance est également en forte progression. Ce type d’abus est présent dans plus de 30% des incidents, avec la solution ScreenConnect particulièrement ciblée.
Comme ces logiciels sont couramment déployés pour l’administration système, leur installation malveillante passe souvent inaperçue. Les environnements qui utilisent déjà plusieurs outils d’accès à distance sont les plus vulnérables, car l’activité malveillante se fond dans le bruit de fond habituel.
L’ingénierie sociale, moteur principal des incidents
Si l’accès légitime ouvre la porte, c’est bien l’interaction utilisateur qui génère le plus grand volume d’incidents. Les campagnes trompeuses de type faux CAPTCHA ou ClickFix représentent à elles seules plus de la moitié des attaques identifiées.
Ces campagnes n’exploitent aucune faille logicielle. Elles incitent les utilisateurs à coller des commandes dans la fenêtre Exécuter de Windows, sous prétexte d’une étape de vérification standard. L’exécution utilise des outils Windows natifs, sans téléchargement de logiciel malveillant classique.
Le contournement silencieux de l’authentification multifacteur
Le rapport observe que l’authentification multifacteur était pourtant activée dans de nombreux environnements cloud compromis. Les attaquants ont contourné cette barrière en capturant et en réutilisant des jetons de session valides.
Cette technique, qualifiée d’attaqued par Adversary-in-the-Middle, représente environ 16% des compromissions de comptes cloud analysées. Pour la plateforme cloud, l’attaquant apparaît alors comme un utilisateur légitime ayant correctement validé toutes les étapes d’authentification.
Priorités défensives pour les équipes de sécurité
Face à ces tendances, où l’activité malveillante se mêle aux opérations normales, le rapport émet plusieurs recommandations clés. Il préconise de considérer tout accès à distance comme une activité à haut risque, de maintenir un inventaire strict des outils de gestion à distance approuvés et de supprimer les agents obsolètes.
Il est également conseillé de restreindre les installations logicielles non autorisées et d’appliquer des contrôles d’accès conditionnel évaluant l’état de l’appareil, sa localisation et le risque de la session. Ces schémas d’attaque ont été observés dans de nombreux secteurs, notamment la manufacture, la santé, les services financiers et le bâtiment.