L’image classique de la cyberattaque — un intrus brisant la porte d’un système — devient obsolète. Selon le Premier Threat Intel Report 2026 publié par Cloudflare, les acteurs étatiques et les cybercriminels changent de stratégie : au lieu d’entrer en force grâce à des exploits, ils cherchent à “se connecter”. En clair, ils se font passer pour des utilisateurs légitimes, se déplacent discrètement dans les applications d’entreprise et transforment l’identité en la nouvelle surface d’attaque.
Ce rapport, élaboré par l’équipe de recherche Cloudforce One et soutenu par le réseau mondial de Cloudflare, esquisse une nouvelle configuration de la cyberattaque moderne : attaques DDoS de proportions record, utilisation intensive de modèles linguistiques (LLM) pour accélérer l’exploitation et la reconnaissance, et une dépendance croissante à des points faibles traditionnels — notamment l’email — pour obtenir des identifiants et un accès persistant.
Pour saisir l’ampleur du problème, Cloudflare fournit une donnée qui résume le volume de cette guerre invisible : la société affirme bloquer en moyenne 230 milliards de menaces par jour. Et le changement fondamental ne se limite pas à la quantité, mais aussi à la qualité : avec l’IA réduisant la barrière d’entrée, les attaquants évoluent “plus vite que jamais”, et la défense ne consiste plus uniquement à ériger des remparts, mais à prouver continuellement que ceux qui sont à l’intérieur sont bien ceux qu’ils prétendent être.
L’IA comme multiplicateur : moins de compétences techniques, un plus grand rayonnement
Une des découvertes les plus alarmantes du rapport est la manière dont les attaquants utilisent les LLM pour industrialiser des tâches qui nécessitaient auparavant une expertise particulière : cartographier en temps réel des réseaux, développer des exploits, générer des deepfakes hyperréalistes, et, en général, accélérer tout le cycle d’attaque.
Cloudflare décrit un cas suivi par Cloudforce One où un acteur a utilisé l’IA pour identifier la localisation de données de grande valeur puis, à partir de là, compromettre des centaines d’environnements d’entreprise dans des applications SaaS à fort volume (multi-locataire). Le résultat, selon la société, a été l’un des attaques ciblant la chaîne d’approvisionnement “les plus impactantes” observées à ce jour. Au-delà du détail technique, la leçon est claire : l’IA rend les attaques avancées plus accessibles et évolutives.
Chine : de la vague massive à la précision chirurgicale
Le rapport met aussi en lumière un changement de pattern chez les acteurs liés à la Chine. Au lieu de campagnes indifférenciées, Cloudflare indique que des groupes comme Salt Typhoon et Linen Typhoon auraient recentré leur focus sur des cibles de grande valeur stratégique : les télécommunications en Amérique du Nord, les entités gouvernementales et les services informatiques.
La clé réside dans le “positionnement préalable persistant” : implanter des composants dans le réseau d’un adversaire pour permettre des actions futures, une tactique qui oscille entre espionnage et préparation opérationnelle. Lorsqu’elle s’applique aux télécommunications, le risque ne se limite plus au vol d’informations, mais menace aussi potentiellement des infrastructures critiques et des services essentiels.
Corée du Nord : le “recrutement” d’identités d’entreprises depuis l’intérieur
Si l’idée de “se connecter” comme attaquant était déjà préoccupante, le rapport décrit une évolution encore plus gênante : des opérations liées à la Corée du Nord utiliseraient des deepfakes générés par IA et des identités frauduleuses pour infiltrer des processus de recrutement dans des entreprises occidentales et finir dans les effectifs.
La technique, selon Cloudflare, s’appuie même sur des “fermes d’ordinateurs portables” situées aux États-Unis pour dissimuler la localisation réelle des acteurs. L’impact pratique est brutal : l’attaquant n’a plus besoin de franchir un périmètre s’il parvient à être embauché, à opérer avec de vraies identifiants et à évoluer comme un employé parmi d’autres.
Ce type de menace oblige à repenser les contrôles traditionnels en Ressources Humaines et sécurité : validation d’identité, vérification de présence, authentification forte et surveillance des comportements anormaux dès le premier jour.
Attaques DDoS à une échelle “inhumaine” : quand la réponse manuelle ne suffit plus
Le rapport met en garde contre une autre menace : les attaques par déni de service. Cloudflare indique que les DDoS atteignent une ampleur dépassant la capacité de réponse humaine. Il cite des botnets comme Aisuru, qui auraient évolué jusqu’à devenir des menaces “de niveau étatique”, avec des attaques record de 31,4 Tbps.
Dans un tel contexte, la défense ne peut reposer sur des escalades manuelles, des décisions lentes ou des mitigations improvisées. La conclusion implicite est que, face à des rafales de cette envergure, les organisations ont besoin de défenses autonomes, d’automatisation et d’une posture de sécurité basée sur la télémétrie en temps réel.
“La sécurité n’a plus pour objectif de tenir l’intrus à l’extérieur”
Le changement de paradigme proposé par Cloudflare peut résumer ainsi : le but n’est plus seulement d’empêcher les intrusions, mais d’éviter la falsification d’identité. Lorsqu’un attaquant “se connecte”, les alertes classiques risquent de ne pas se déclencher. C’est pourquoi le rapport insiste sur une menace intelligible (threat intelligence) exploitable et sur la nécessité de combler les brèches résultant de signaux fragmentés.
Matthew Prince, CEO de Cloudflare, affirme que les attaquants “ont prospéré” où l’intelligence est obsolète ou incomplète, et défend le fait que partager cette visibilité aide à “rétablir l’avantage” du côté des défenseurs. Pour sa part, Blake Darché, responsable de l’intelligence des menaces chez Cloudforce One, résume le message avec cruauté : à moins d’être piloté par une intelligence en temps réel, il y a un risque constant de rester toujours en retard.
Résumé des principaux enseignements du rapport
| tendance | Ce qui se passe | Pourquoi c’est important |
|---|---|---|
| IA appliquée à l’attaque | LLM pour reconnaissance, exploits et deepfakes | Réduit les barrières et accélère les campagnes |
| Chine (Salt Typhoon, Linen Typhoon) | De volume à précision ; focus sur télécoms et gouvernement | Plus de risques stratégiques et pour les infrastructures critiques |
| Corée du Nord | Deepfakes pour entrer dans les effectifs ; “fermes d’ordinateurs portables” | L’attaquant entre comme “employé” |
| DDoS extrêmes | Pics de 31,4 Tbps ; botnets comme Aisuru | La mitigation manuelle n’est plus adaptée |
| Changement de tactique | De “briser” à “se connecter” | L’identité devient le périmètre |
En définitive, ce Threat Intel Report 2026 décrit une cybersécurité où le périmètre s’efface et où l’identité devient le terrain d’affrontement. Il laisse aussi une idée dérangeante : quand l’attaquant est “déjà à l’intérieur” avec des identifiants valides, la défense dépend moins de murailles et davantage de preuves continues de légitimité, de télémétrie et d’automatisation.
Questions fréquentes
Que signifie le passage de “briser” à “se connecter” pour les attaquants ?
Ils privilégient l’accès par des identifiants réels ou usurpés (par phishing, fraude ou infiltration) pour agir comme des utilisateurs légitimes et éviter les détections classiques.
Comment l’IA influence-t-elle la cybersécurité selon Cloudflare ?
Cloudflare indique que les attaquants utilisent les LLM pour cartographier, développer des exploits et créer des deepfakes, ce qui abaisse la barrière technologique pour des attaques sophistiquées.
Qu’est-ce qu’une “ferme d’ordinateurs portables” et pourquoi est-elle associée à la fraude au travail ?
Selon le rapport, il s’agirait de fermes de portables situées aux États-Unis, utilisées pour masquer la localisation réelle des opérateurs cherchant à infiltrer des entreprises via des identités falsifiées.
Comment une entreprise peut-elle se protéger contre des attaques DDoS de plus de 30 Tbps ?
Le rapport suggère qu’à cette échelle, la protection doit être automatisée et en temps réel, car une réponse manuelle ne suffit pas pour atténuer de telles volumes d’attaque.
