Accélération des cyberattaques : seulement 3 jours pour exfiltrer des données et 11 heures pour compromettre l’Active Directory
Un récent rapport de Sophos Active Adversary 2025 soulève une inquiétante tendance : 63 % des organisations victime de cyberattaques en 2024 n’avaient pas activé l’authentification multifactorielle (MFA). Ce chiffre est presque trois fois supérieur à celui de 2022 (22 %) et coïncide avec le fait que les identifiants compromis représentent la cause la plus courante des attaques (41 % des cas) pour la deuxième année consécutive.
Cette étude, fondée sur l’analyse de plus de 400 cas traités par les services de réponse aux incidents (IR) et de détection et réponse gérées (MDR) de Sophos, met en lumière que l’absence de mesures de sécurité de base reste un facteur décisif dans le succès des cyberattaques.
Une rapidité alarmante des attaques
Le temps moyen qu’un attaquant met pour exfiltrer des données sensibles après avoir accédé à un réseau est de seulement 72 heures. Dans ce même délai, de nombreux cas de ransomware et d’extorsion sont déjà en cours. De plus, le temps entre la fuite de données et leur détection est réduit à environ 2,7 heures, révélant à quel point il est difficile de réagir une fois l’attaque déclenchée.
« Les entreprises doivent évoluer vers une sécurité active et coordonnée », avertit John Shier, Field CISO de Sophos. « Une combinaison de surveillance proactive et de réponse experte peut faire la différence lors d’un attaque. »
Autres constatations clés du rapport :
- 71 % des accès initiaux proviennent de services externes à distance tels que VPNs ou pare-feu exposés, dont 79 % sont dus à des identifiants compromis.
- Les attaquants mettent en moyenne seulement 11 heures à compromettre l’Active Directory, leur donnant un contrôle total sur le réseau interne.
- Le groupe de ransomware Akira a été le plus actif en 2024, suivi de Fog et LockBit, ce dernier, bien que partiellement démantelé.
- Le temps de séjour moyen des attaquants a chuté à 2 jours, grâce à l’essor des services MDR, capables de détecter les menaces beaucoup plus rapidement que les méthodes traditionnelles.
- 84 % des attaques par ransomware ont été menées en dehors des heures de travail des victimes, profitant d’une surveillance réduite.
- Le protocole RDP de Microsoft demeure le plus exploité par les attaquants, apparu dans 84 % des cas.
MFA : une défense négligée
Un des éléments les plus alarmants du rapport est que 66 % des organisations sans MDR et 62 % de celles en ayant un n’avaient pas de MFA activé. Cette lacune de configuration de base montre que, malgré l’avancement des outils de détection, de nombreux environnements ne mettent toujours pas en place des défenses essentielles.
L’absence de MFA, combinée à la présence de systèmes non protégés, de VPN vulnérables ou de dispositifs non supportés, place de nombreuses entreprises en état d’exposition critique. De plus, bien que l’utilisation d’outils comme Impacket et des techniques de mouvement latéral ait augmenté, 47 % des environnements analysés ne disposaient pas de journaux complets, rendant les enquêtes extrêmement difficiles.
Conclusion : Au-delà des outils, une stratégie s’impose
Le rapport de Sophos souligne que les organisations qui combinent prévention, détection active et réponse rapide obtiennent de meilleurs résultats face à des attaques de plus en plus sophistiquées et rapides. L’absence de MFA et d’autres mesures essentielles demeure une vulnérabilité commune et évitable.
« Les cybercriminels ne dorment jamais, et les données le prouvent : trois jours suffisent pour voler vos informations et crypter votre système. La cybersécurité n’est pas aujourd’hui une option, mais une question de survie pour les entreprises », conclut Shier.
Le rapport complet « It Takes Two: The 2025 Sophos Active Adversary Report » est consultable sur Sophos.com.