« On ne change pas une équipe qui gagne » : la posture des attaquants, selon Mimecast, demeure pragmatique. Le rapport publié ce mois-ci par l’éditeur insiste sur cette logique de rentabilité. Les cybercriminels capitalisent sur la stabilité des comportements humains et la persistance du courriel comme vecteur universel. Mimecast anticipe qu’en 2026, le courriel sera à l’origine de 90 % des incidents majeurs, dopé par l’usage de l’IA pour orchestrer des campagnes ciblées. Cette projection s’appuie sur l’analyse de plusieurs milliers d’attaques recensées, ainsi que sur la montée en complexité des deepfakes et du phishing contextuel. « Un seul courriel bien construit peut suffire à compromettre tout un écosystème, surtout quand il exploite l’identité numérique d’un cadre ou d’un responsable financier », affirme le rapport
Le rapport détaille aussi l’explosion du shadow AI. Mimecast estime qu’à la mi-2026, les entreprises devront gérer un ratio de 10 agents d’IA non supervisés pour chaque application cloud non autorisée. Ce chiffre, relevé sur un panel de grands comptes internationaux, matérialise un déplacement du risque : « Le shadow AI transforme chaque collaborateur et chaque automatisation en point d’entrée potentiel, avec des conséquences en cascade sur la sécurité des données ». La réduction des effectifs et la pression sur la productivité accentuent cette dérive, en complexifiant la tâche des RSSI et des DSI, confrontés à une multiplication d’incidents liés à des usages non maîtrisés.
Courriel : 90 % des cyberattaques sur ce canal en 2026
Mimecast documente le rôle central du courriel dans les processus critiques , comme les signatures contractuelles, les ordres de paiement, l’échanges avec les partenaires. « Malgré la généralisation des outils collaboratifs, le courriel reste le socle des workflows et l’axe privilégié des campagnes de compromission » précise le rapport. Le chiffre de 90 % traduit la capacité des attaquants à exploiter la confiance installée autour de ce canal, notamment grâce à l’IA générative. Les attaques deviennent plus crédibles et plus ciblées, mobilisant deepfakes et données contextuelles.Mimecast cite le cas d’une entreprise européenne confrontée à une fraude au président. « Le message usurpait parfaitement la signature et le style du dirigeant, trompant plusieurs niveaux de contrôle avant d’être détecté. » Face à ces scénarios, le triptyque défensif s’impose : analyse contextuelle avancée des courriels, surveillance accrue sur les cibles de valeur (dirigeants, finances) et formation continue des équipes, soutenue par des simulations de crise. La création d’une culture de signalement, avec un canal dédié, réduit le délai entre attaque et réaction. Mimecast l’affirme : « La rapidité de signalement est désormais aussi stratégique que la sophistication des filtres techniques ».
Shadow AI : la surface de risque multipliée par 10
Les chiffres recueillis par Mimecast mettent en évidence une explosion du nombre d’agents d’IA non supervisés dans les entreprises. Le rapport évoque un ratio de un à dix entre le shadow IT classique (applications cloud non autorisées) et les agents IA déployés hors gouvernance. Cette bascule crée un environnement où chaque automatisation, script ou copilote personnel peut manipuler des données critiques en toute opacité.« Les attaques de demain passeront autant par l’erreur d’un agent IA mal configuré que par la malveillance d’un salarié », analyse un expert interrogé par Mimecast. La pression sur les collaborateurs, surcharge, turn-over, hybridation, favorise les contournements de règles et l’adoption de solutions parallèles, souvent au détriment de la sécurité et de la conformité.
Mimecast préconise de traiter chaque agent IA comme une identité numérique : authentification, traçabilité, supervision et audit deviennent la norme. Il s’agit aussi d’investir dans des orchestrateurs d’IA à vocation sécuritaire, capables de piloter et d’auditer les agents autonomes à grande échelle. La formation évolue, orientée vers la littératie du risque IA et l’intégration des scénarios d’usage réel dans la sensibilisation. « La compréhension des risques liés à l’IA doit devenir aussi naturelle que celle des gestes de cybersécurité de base ».
L’IA défensive s’impose à grande échelle
Mimecast invite à repenser la gouvernance des identités numériques et des agents d’IA. La logique de confiance vérifiée doit évoluer vers une présomption et une traçabilité systématiques. Les chiffres clés du rapport illustrent l’urgence : dix fois plus d’agents IA non supervisés, 90 % d’attaques initiées par courriel, plusieurs milliers de tentatives détectées chaque mois sur le panel suivi par Mimecast.Les recommandations privilégient la cartographie dynamique des agents et la supervision continue. Les orchestrateurs d’IA figurent parmi les solutions citées, capables d’appliquer des politiques de sécurité, de détecter les anomalies et d’automatiser la gestion des incidents. La collaboration humain-machine devient centrale, car « L’intelligence collective et la transparence des processus font désormais la différence entre un incident maîtrisé et une crise systémique ». Les experts insistent sur la nécessité d’un pilotage transverse, associant direction générale, métiers et fonctions support, pour aligner les pratiques de sécurité sur les réalités opérationnelles.
Résilience = protection, gouvernance et bien-être des équipes
Mimecast conclut que l’IA n’invente pas de nouvelles failles, mais accélère l’exploitation des vulnérabilités existantes. Le véritable enjeu en 2026 réside dans la capacité à bâtir une cyberdéfense organisationnelle fondée sur la transparence, la gouvernance et l’engagement collectif. Les organisations les mieux armées seront celles qui sauront aligner politiques de sécurité, pratiques RH et usage maîtrisé de l’IA, pour transformer le risque en levier de performance.Un RSSI cité dans l’étude rappelle que « La maturité cyber ne se mesure plus au nombre de technologies déployées, mais à la capacité à orchestrer en continu humains, machines et processus ». Mimecast invite enfin à considérer le bien-être des collaborateurs comme un pilier de la résilience, la charge et la santé mentale figurant désormais parmi les critères de robustesse de la sécurité numérique.
