L'accès à distance et les outils administratifs de confiance sont désormais centraux tant pour les opérations organisationnelles que pour les stratégies d'intrusion, selon le rapport annuel sur les menaces 2026 de **Blackpoint Cyber**. Le rapport, issu de milliers d'enquêtes de sécurité, souligne un changement significatif dans les tactiques des attaquants : un passage de l'exploitation des vulnérabilités à l'utilisation d'identifiants valides, d'outils légitimes et d'actions utilisateur routinières. Le rapport analyse ces schémas, documente les points où l'activité d'intrusion a été perturbée et fournit des priorités de défense basées sur les résultats de réponse aux incidents observés tout au long de 2025. **➡️ [Inscrivez-vous au webinaire](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)** ## Principales conclusions du rapport annuel sur les menaces 2026 ### Les attaquants entrent par des chemins d'accès légitimes Le rapport indique que les attaquants sont désormais plus susceptibles de se connecter en utilisant des méthodes d'accès légitimes plutôt que d'exploiter des vulnérabilités pour obtenir une entrée initiale. L'abus de SSL VPN a représenté 32,8 % de tous les incidents identifiables, ce qui en fait un vecteur d'accès initial principal. Les attaquants s'authentifient souvent à l'aide d'identifiants compromis, ce qui entraîne des sessions VPN qui semblent légitimes pour les contrôles de sécurité. Ces sessions accordent souvent un large accès interne, permettant aux attaquants de se déplacer rapidement vers des systèmes de grande valeur sans déclencher immédiatement d'alertes. ### Les outils informatiques de confiance sont utilisés contre les organisations Le rapport met également en évidence l'abus fréquent des outils légitimes de surveillance et de gestion à distance (RMM) pour l'accès et la persistance. L'abus de RMM était présent dans 30,3 % des incidents identifiables, **ScreenConnect** étant prédominant dans plus de 70 % des cas de RMM non autorisés. Ces outils sont couramment utilisés pour l'administration informatique, rendant les installations non autorisées difficiles à détecter sans une visibilité forte. Les environnements dotés de plusieurs outils d'accès à distance sont plus susceptibles aux instances non autorisées qui se fondent dans les outils existants. ### L'ingénierie sociale, pas les exploits, a entraîné la majorité des incidents Bien que les chemins d'accès légitimes soient cruciaux, l'interaction utilisateur reste le principal moteur du volume global d'incidents. Les campagnes de faux CAPTCHA et ClickFix ont représenté 57,5 % de tous les incidents identifiables, ce qui en fait le schéma d'attaque le plus courant. Ces campagnes reposent sur des invites trompeuses, demandant aux utilisateurs de coller des commandes dans la boîte de dialogue Exécuter de Windows, en utilisant les outils intégrés de Windows sans téléchargements de malware traditionnels ni activité d'exploit. ### Les intrusions dans le cloud se sont concentrées sur la réutilisation de sessions après MFA Même avec l'authentification multi-facteurs (MFA) activée dans de nombreux environnements cloud, le compromis de compte s'est tout de même produit. L'hameçonnage de type Adversary-in-the-Middle a représenté environ 16 % des désactivations de comptes cloud. Les attaquants ont capturé des jetons de session authentifiés émis après une MFA réussie et les ont réutilisés pour accéder aux services cloud. Du point de vue de la plateforme cloud, cette activité apparaît comme une session authentifiée légitime. ## De l'accès initial au pivotement réseau Beaucoup de ces attaques commencent par un accès légitime, mais les vrais dégâts surviennent lors des étapes suivantes. Dans une enquête récente, le SOC de **Blackpoint Cyber** a identifié un nouvel implant appelé Roadk1ll, conçu pour pivoter à travers les systèmes en utilisant une communication basée sur WebSocket et maintenir l'accès tout en se fondant dans le trafic réseau. [Réservez votre place](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=ctabox&utm_content=episode-002) ## Ce que ces conclusions signifient pour les équipes de sécurité Le rapport met en évidence un schéma cohérent entre les industries, les environnements et les types d'attaques : les intrusions réussies reposent souvent sur une activité qui se fond dans les opérations normales. Les attaquants abusent des flux de travail quotidiens tels que les connexions à distance, les outils de confiance et les actions utilisateur standard, au lieu de s'appuyer sur des exploits nouveaux ou des malwares avancés. Sur la base des chaînes d'attaques analysées, le rapport identifie plusieurs priorités de défense : * Traiter l'accès à distance comme une activité à haut risque et à fort impact. * Maintenir un inventaire complet des outils RMM approuvés et supprimer les agents inutilisés ou obsolètes. * Restreindre l'installation de logiciels non approuvés et limiter l'exécution à partir de répertoires inscriptibles par l'utilisateur. * Appliquer des contrôles d'accès conditionnel qui évaluent la posture de l'appareil, l'emplacement et le risque de session. Ces schémas ont été documentés dans des secteurs fréquemment ciblés, notamment la fabrication, la santé, les MSP, les services financiers et la construction. **➡️ [Inscrivez-vous pour recevoir le rapport annuel sur les menaces 2026](https://blackpointcyber.com/webinar/inside-the-soc-ep002-blackpoint-2026-annual-threat-report/?utm_campaign=37935163-2026_webinar_inside-the-soc&utm_source=bleeping_computer&utm_medium=sponsored_article&utm_content=episode-002)**