Une mutation profonde secoue le paysage des cybermenaces en 2025 : les attaquants accélèrent leurs opérations, délèguent leurs accès initiaux en moins de 30 secondes, et s'attaquent désormais prioritairement au secteur des nouvelles technologies, devant les services financiers. Pour les entreprises, le signal le plus préoccupant tient dans la durée d'exposition. Avec un temps de séjour médian de 20 jours en zone EMEA, les adversaires disposent d'une fenêtre d'action que les progrès en détection interne commencent seulement à refermer.
Le rapport M-Trends 2026, qui s’appuie sur les résultats de plus de 500 000 heures d'enquêtes conduites en 2025, dessine un modèle d'attaque en transformation. L'ingénierie sociale vocale, l’hameçonnage vocal, est devenue le deuxième vecteur d'infection initiale le plus fréquent, traduisant une évolution vers des attaques pilotées par des humains plutôt que par des automatismes. Cette tendance illustre un réalignement tactique des groupes criminel, car là où les outils automatisés suffisaient hier, les opérateurs investissent aujourd'hui dans des interactions directes, plus difficiles à détecter et à bloquer par les filtres classiques.
Le secteur des nouvelles technologies est passé en tête des cibles en 2025, détrônant les services financiers qui occupaient cette position depuis 2023. Ce déplacement n'est pas fortuit : les entreprises technologiques concentrent des accès privilégiés aux infrastructures de leurs clients, constituant un point d'entrée à fort effet de levier. La logique de la chaîne d'approvisionnement logicielle exploitée massivement depuis plusieurs années trouve ici une prolongation directe dans le ciblage des intégrateurs, des éditeurs SaaS et des opérateurs d'infrastructure cloud.
Le transfert d'accès en moins de 30 secondes
L'une des évolutions les plus déstabilisantes mises en évidence dans M-Trends 2026 concerne la rapidité du transfert entre acteurs malveillants. Un groupe obtient un accès initial, puis le cède en moins de 30 secondes à un autre opérateur chargé d'exploiter cet accès à plus forte valeur ajoutée, rançongiciels, exfiltration de données, sabotage. Ce mécanisme de spécialisation entre courtiers d'accès initiaux et opérateurs de rançongiciels n'est pas nouveau en soi, mais la compression temporelle qu'il atteint en 2025 est inédite.
Pour les équipes SOC, cette vitesse de transmission redéfinit la criticité des alertes. Ce qui apparaissait comme un incident de faible priorité, une tentative d'authentification suspecte, une connexion inhabituelle, peut désormais constituer la phase initiale d'une compromission en cours. Les équipes qui hiérarchisent leurs alertes sur la base de modèles de gravité héritée prennent le risque de sous-estimer des signaux faibles qui deviennent des brèches majeures en quelques dizaines de secondes.
Un temps de séjour en hausse en EMEA
À l'échelle mondiale, le temps de séjour médian est remonté à 14 jours en 2025. En zone EMEA, il atteint 20 jours, soit sept jours de moins qu'en 2024, mais toujours supérieur à la moyenne globale. Cette durée plus longue reflète deux dynamiques spécifiques identifiées par Mandiant : la prévalence du cyberespionnage, qui suppose une présence discrète et prolongée dans les systèmes cibles, et les opérations impliquant des travailleurs informatiques nord-coréens, pour lesquels le temps de séjour médian s'établit à 122 jours.
Cette dernière donnée mérite une attention particulière. Les incidents liés à de faux consultants informatiques en télétravail, attribuables à des réseaux nord-coréens, illustrent une menace hybride qui mêle ingénierie sociale, usurpation d'identité et infiltration à long terme. Elle pose des questions directes sur les processus de vérification des prestataires et sous-traitants, notamment dans les entreprises qui ont étendu leur recours au travail à distance depuis 2020.
L’hameçonnage par courriel, le plus répandu en EMEA
Malgré la progression de l’hameçonnage vocal, l’hameçonnage par courriel demeure un vecteur d'entrée initial significativement plus fréquent en zone EMEA qu'au niveau mondial, où sa part globale continue pourtant de régresser. Cette persistance régionale tient à plusieurs facteurs : une moindre adoption des architectures Zero Trust dans les PME et ETI européennes, une plus grande hétérogénéité des postures de sécurité entre grandes entreprises et organisations plus modestes, et une surface d'exposition étendue liée à la multiplicité des outils de messagerie professionnelle déployés.
Cette donnée confirme que les investissements en protection de la messagerie, en passerelles d'analyse, en simulation d’hameçonnage, en formation des utilisateurs, restent des priorités non négociables, y compris dans des environnements qui ont par ailleurs déployé des capacités de détection avancées.
Les défaillances humaines en tête des vecteurs
Un retournement de tendance notable s'observe en EMEA : en 2025, 60 % des incidents ont été identifiés en premier lieu par les équipes internes, contre 40 % sur notification externe, ce qui marque une inversion par rapport à 2024. Cette progression de la détection interne témoigne d'une maturité croissante des SOC européens, portée par les obligations réglementaires de NIS2 et DORA qui imposent des capacités de surveillance et de réponse aux incidents.
Pour autant, M-Trends 2026 établit que les défaillances humaines et systémiques demeurent le premier facteur d'intrusion, devant les vulnérabilités techniques. Si l'IA élargit la capacité opérationnelle des adversaires, la majorité des compromissions exploitent des lacunes dans les personnes, les processus et les contrôles organisationnels. Google Cloud, qui a intégré Mandiant en 2022, présente à la RSA Conference 2026 des capacités d'analyse du dark web et d'automatisation par agents pour les opérations de sécurité, en s'appuyant sur les modèles Gemini.
M-Trends 2026 confirme une tendance de fond : la sophistication croissante des attaquants repose moins sur la technologie que sur l'organisation, la spécialisation et la capacité à exploiter les angles morts des défenseurs. Les RSSI qui raisonnent encore en termes de périmètre et de catalogue de menaces connu opèrent avec une carte qui ne correspond plus au terrain.
