La cybersécurité d’entreprise entre dans l’année 2026 avec une paradoxe qui commence à devenir inconfortable : alors que le discours public regorge de promesses sur une protection « de nouvelle génération », les attaquants continuent de trouver des portes ouvertes via des failles aussi basiques que négligées. L’IBM X-Force Threat Intelligence Index 2026 illustre cette réalité avec une statistique alarmante : une augmentation de 44 % des attaques exploitant des applications exposées à Internet, un saut impulsé — selon le rapport — par des contrôles d’authentification manquants et par l’utilisation d’outils d’intelligence artificielle qui permettent de repérer plus rapidement les vulnérabilités.

Ce n’est pas que les cybercriminels inventent des techniques révolutionnaires. Leur force réside plutôt dans leur capacité à accélérer le même processus : scanner, détecter une faille, exploiter, puis se déplacer latéralement avant que l’organisation ne puisse réagir. IBM résume cela avec une phrase attribuée à Mark Hughes, responsable mondial des services de cybersécurité : « Les attaquants ne réinventent pas leurs stratégies, ils les accélèrent avec l’IA ». Cette accélération, prévient le rapport, frappe particulièrement durement les entreprises aux retards de patching, aux configurations faibles et à une gestion des identifiants défaillante.

L’exploitation des vulnérabilités devient la principale origine des incidents

Le rapport indique un changement dans la hiérarchie des causes : l’exploitation des vulnérabilités est devenue la cause principale d’attaque, représentant 40 % des incidents observés par X-Force en 2025. Ce chiffre confirme un message que de nombreux équipes entendent depuis des années, mais que le rythme effréné du quotidien néglige souvent : quand un attaquant peut entrer sans credentials, le temps joue en sa faveur.

Dans ce contexte, l’IA devient une force amplificatrice. Il ne s’agit pas que l’adversaire devienne plus astucieux, mais simplement plus rapide et mieux équipé pour hiérarchiser ses cibles, tester ses vecteurs d’attaque et automatiser les tâches répétitives. Résultat : un cycle d’attaque plus court, où le passage « scan → impact » se rapproche de l’automatisation.

Ransomware : plus de groupes, plus de fragmentation, plus de bruit

IBM X-Force dresse également le portrait d’un écosystème de ransomware devenu plus dispersé et difficile à attribuer. Le rapport signale une augmentation de 49 % interannuelle du nombre de groupes actifs de ransomware et d’extorsion, avec des campagnes de moindre ampleur menées par des acteurs plus petits et éphémères. Parallèlement, le nombre de victimes divulguées publiquement a augmenté d’environ 12 %.

Plusieurs indicateurs montrent que le ransomware ne fait pas que persisted, il s’adapte à un marché où les fuites d’outils, la réutilisation de techniques et l’automatisation via l’IA réduisent le coût d’entrée. IBM prévoit qu’à mesure que les modèles multimodaux mûrissent, les adversaires pourront automatiser des tâches plus complexes — telles que la reconnaissance avancée — et accélérer leurs attaques, qui seront de plus en plus « adaptatives ».

L’identité redevient le maillon faible… y compris sur les plateformes d’IA

Le rapport intègre un avertissement en lien avec l’adoption par les entreprises d’assistants et d’outils génératifs : en 2025, un malware de type infostealer aurait compromis plus de 300 000 identifiants ChatGPT. Ce chiffre est significatif non seulement par son volume, mais aussi pour ses implications : les plateformes d’IA hérite maintenant du même risque que le reste des services SaaS professionnels.

IBM insiste sur le fait qu’un identifiant compromis sur un chatbot ne se limite pas à « accéder au compte ». Cela ouvre la porte à des risques spécifiques, comme l’exfiltration d’informations sensibles, la manipulation de réponses ou l’injection de prompts malveillants pour altérer le fonctionnement du système. Le message pour les entreprises est clair : l’adoption de l’IA doit faire partie intégrante du périmètre de sécurité, avec une authentification forte et des contrôles d’accès conditionnels.

La chaîne d’approvisionnement au cœur des préoccupations : quasiment 4 fois plus de compromissions depuis 2020

Une autre tendance mise en avant dans le rapport concerne la pression croissante exercée sur la chaîne d’approvisionnement et les tiers. X-Force constate que les compromissions majeures de la supply chain ou des acteurs tiers ont pratiquement été quatre fois plus nombreuses depuis 2020, également alimentées par des attaques exploitant des relations de confiance, l’automatisation du CI/CD et les intégrations SaaS.

Pour 2026, le rapport nuance : si la montée en puissance des outils de programmation assistée par IA accélère le développement logiciel, elle peut aussi introduire du code non vérifié ou des dépendances peu auditées. Cela devrait faire augmenter la pression sur les pipelines et les écosystèmes open source, surtout à un moment où la frontière entre acteurs étatiques et motivés économiquement devient plus floue : techniques jadis réservées à des États circulent désormais plus librement via des forums clandestins, réutilisées dans des campagnes financières.

Secteurs et géographies : la manufacture reste en tête, et l’Amérique du Nord reprend la première place en matière d’attaques

Dans le classement sectoriel, la manufacture est encore une fois le secteur le plus touché, représentant 27,7 % des incidents recensés par X-Force, pour la cinquième année consécutive. L’analyse indique que le vol de données constitue le conséquence la plus courante dans cette industrie, une tendance cohérente avec la complexité des chaînes d’approvisionnement, les environnements hybrides et la sensibilité de la propriété intellectuelle.

Côté géographique, l’Amérique du Nord retrouve la première place parmi les régions les plus attaquées, avec 29 % des cas, contre 24 % en 2024. IBM souligne que c’est la première fois depuis six ans que cette région domine la liste, ce qui reflète souvent sa taille « numérique », sa valeur économique et la vulnérabilité de ses infrastructures.

Le diagnostic final : des failles élémentaires dans un monde qui devient plus rapide

Malgré la montée en puissance de l’IA, IBM réaffirme que la racine du problème reste la même : une surtension des vulnérabilités et une insuffisance fondamentale en bonnes pratiques. Les tests d’intrusion (X-Force Red) continueraient de révéler des faiblesses persistantes dans la gestion des identifiants et la configuration logicielle, avec des contrôles d’accès mal configurés qui constituent la porte d’entrée la plus courante.

Ce qui change en 2026, c’est la rapidité. Si l’attaquant automatise ses recherches, analyse de vastes volumes de données et ajuste ses itinéraires d’attaque en temps réel, la défense ne peut plus se limiter à la réaction. Le rapport insiste sur la nécessité d’adopter une approche proactive, basée sur la détection et la réponse avec des capacités « agentiques » capables d’identifier les failles avant qu’elles ne deviennent des incidents.

Questions fréquemment posées (FAQ)

Pourquoi observe-t-on une augmentation des attaques contre les applications exposées à Internet en 2026 ?
Parce que beaucoup d’environnements continuent de publier des services avec des contrôles d’authentification insuffisants ou absents, et que les attaquants utilisent l’automatisation et l’IA pour identifier et exploiter ces failles plus rapidement.

Quelles mesures permettent de réduire le risque d’exploitation des vulnérabilités dans les applications publiques ?
Priorisation des patchs en fonction de l’exposition, revue des processus d’authentification et d’autorisation, renforcement des configurations, segmentation réseau, et surveillance des tentatives d’exploitation via une télémetrie intégrée (SecOps + IT).

Quels risques comporte le vol d’identifiants sur des plateformes d’IA comme ChatGPT en entreprise ?
Au-delà de l’accès au compte, cela peut faciliter l’exfiltration d’informations sensibles, la manipulation des résultats et des attaques par injection de prompts malveillants, d’où l’importance d’appliquer MFA, contrôle d’accès conditionnel et gestion des sessions.

Pourquoi la chaîne d’approvisionnement demeure-t-elle une cible privilégiée pour les cybercriminels ?
Parce qu’elle permet de compromettre plusieurs organisations simultanément, en exploitant des relations de confiance, l’automatisation des CI/CD et des intégrations SaaS, surtout lorsque le code et les dépendances évoluent rapidement.

Source : newsroom.ibm