Sécurité Opérationnelle Webinar

État de la menace cyber en 2026 : ce que vous devez vraiment savoir 

16 Juin, 2026 min de lecture
Etat de la menace en 2026
Sommaire:

+48 000 vulnérabilités référencées, +33 % d’attaques par ransomware revendiquées, 80 % des incidents liés à des identifiants volés. Les chiffres parlent d’eux-mêmes : la menace cyber s’intensifie, se diversifie et se professionnalise. Pour en dresser un portrait précis et utile, Fabien Cosset, Directeur du CERT Advens, et Julien Leroux, Directeur des opérations cyber du groupe EDF, ont partagé leur analyse terrain lors d’un webinar dédié. c

Des chiffres qui donnent la mesure de l’enjeu

Avant d’entrer dans les tendances, quelques métriques issues du Rapport sur l’état de la menace 2025-2026 méritent d’être posées sur la table.

En 2025, le nombre de nouvelles vulnérabilités déclarées dans les bases de référence a bondi de plus de 20 %, pour atteindre près de 48 000 entrées. Les groupes de ransomware ont revendiqué plus de 8 000 attaques sur l’année, soit une hausse de 33 % par rapport à l’année précédente. Et du côté du SOC Advens, 63 % des alertes de priorité maximale correspondaient à de véritables actions offensives, sans simulation ni test.

Sur le terrain de la réponse à incident, un constat s’impose : dans 80 % des cas traités en 2025, le vecteur d’entrée initial était un couple identifiant/mot de passe compromis, récupéré via un infostealer. Les 20 % restants provenaient de l’exploitation de vulnérabilités sur des équipements exposés à internet. Une fois l’intrusion détectée, les équipes de réponse interviennent en moyenne pendant 29 jours, auxquels il faut ajouter plusieurs semaines de remédiation et de reconstruction.

Quatre tendances majeures à comprendre

1. L’instabilité géopolitique, carburant de la cybermenace

La frontière entre cybercriminalité, activisme et opérations étatiques s’efface progressivement. Les experts d’Advens et d’EDF observent des alliances de plus en plus structurées entre groupes hacktivistes, groupes criminels et acteurs affiliés à des États. Les attaques DDoS, portées par des collectifs pro-russes, servent parfois d’écran de fumée pour des opérations plus ciblées menées en parallèle.

Les infrastructures critiques sont particulièrement visées : le parc éolien polonais compromis fin 2025, la centrale thermique suédoise touchée peu après. Ces attaques ne sont pas des incidents isolés. Elles s’inscrivent dans une dynamique de long terme, renforcée par le conflit en Ukraine qui a permis à certaines unités cyber de développer une expertise réelle sur les environnements industriels.

2. La militarisation de l’IA par les attaquants

L’intelligence artificielle n’est plus un outil de demain pour les cybercriminels, c’est un outil du quotidien. Lors d’interventions de réponse à incident, les équipes du CERT Advens ont pu observer directement des attaquants recourir à l’IA pour pallier leurs lacunes techniques : un opérateur peu expérimenté, bloqué pendant 15 minutes sur un serveur mal maîtrisé, a obtenu en quelques instants un bloc de 500 lignes de commandes parfaitement structurées après avoir sollicité un LLM.

La Corée du Nord a même formalisé cette approche en créant en 2025 une unité dédiée à l’IA, mise à disposition des autres groupes cybercriminels affiliés au régime. L’IA est aussi utilisée pour générer des campagnes de phishing convaincantes, offusquer des implants malveillants, accélérer la détection de vulnérabilités exploitables et produire des deepfakes à des fins de désinformation.

3. La chaîne d’approvisionnement, cible de choix

Les attaquants ont intégré une logique de ROI. Plutôt que de cibler des entreprises une par une, compromettre un dépôt logiciel largement utilisé permet d’atteindre des milliers de victimes en une seule opération. Cette évolution marque une montée en maturité des groupes criminels, qui passent d’une approche opportuniste à une stratégie de factorisation de l’attaque.

4. Une cybercriminalité française jeune et montante

Les équipes Advens observent depuis deux ans l’émergence d’une cybercriminalité française nouvelle, portée par des profils âgés de 15 à 20 ans. Peu ou pas formés techniquement, ces acteurs s’appuient sur l’IA pour mener des attaques suffisamment efficaces pour exfiltrer des bases de données et alimenter l’actualité. Un phénomène à prendre au sérieux, car il s’installe dans la durée.

Ce que les équipes de défense peuvent faire

Quatre axes prioritaires ressortent des préconisations de nos experts :

  • Anticiper la menace en maintenant une veille active sur les vulnérabilités et en surveillant les fuites d’identifiants provenant de votre périmètre ou de vos prestataires. Les VOC (Vulnerability Operation Centers) se démocratisent et apportent une vraie valeur sur ce point.
  • Adopter une architecture Zero Trust avec une microsegmentation du réseau et un MFA robuste sur tous les accès exposés à internet. Sur ce dernier point, les retours terrain sont clairs : dans de nombreux incidents, le MFA n’était tout simplement pas en place. L’utilisation de clés FIDO2 permet d’aller plus loin en contournant les techniques de bypass du MFA classique.
  • Sécuriser la chaîne d’approvisionnement en cartographiant les composants logiciels utilisés, en intégrant des clauses de cybersécurité dans les contrats prestataires et en s’assurant que les journaux d’accès sont bien conservés et accessibles en cas d’incident.
  • Soigner les sauvegardes, pas seulement en les faisant, mais en les testant régulièrement. Les attaquants ciblent systématiquement les environnements de sauvegarde. Un Plan de Continuité de l’Activité (PCA) sans sauvegarde fonctionnelle ne protège personne.

L’IA en défense : un levier réel, des attentes encore à calibrer

Une question posée en fin de webinar illustre bien l’état d’esprit du moment : l’IA peut-elle orchestrer la remédiation de bout en bout ? La réponse de nos experts : pas encore. Mais elle peut déjà faire beaucoup, notamment accélérer le triage des alertes, renforcer les capacités d’analyse des équipes de détection, et à terme aider à détecter « l’aiguille dans la botte de foin » que représente un attaquant en mouvement dans un SI.

L’IA amplifie les compétences, elle ne les remplace pas. Et cette montée en puissance vaut autant pour les équipes défensives que pour les attaquants.

Tout ce qui précède n’est qu’un aperçu de ce que Fabian Cosset et Julien Leroux ont partagé pendant plus d’une heure. Statistiques détaillées, analyses sectorielles, cas pratiques, recommandations opérationnelles:
le replay du webinar vous donne accès à l’intégralité des échanges.

Accéder au replay gratuitement

Sur le même sujet…

IA cyberattaques
Risque et Stratégie Article

IA cyberattaques : une accélération technique qui change l’équilibre attaquants / défenseurs 

18 Mai, 2026 min
Rapport sur l'état de la menace 2026
Sécurité Opérationnelle Étude

Rapport sur l’état de la menace 2026 

2 Avr, 2026 min
Groupe cybercriminel
Risque et Stratégie Article

5 facteurs clés pour anticiper la résurgence d’un groupe cybercriminel 

16 Mar, 2026 min

Retour sur la page Sécurité Opérationnelle

Advens

Agissons ensemble pour un bien plus grand

Client, partenaire ou candidat : engagez-vous à nos côtés pour préserver la sécurité des organisations, mais aussi protéger nos modes de vie, nos libertés et notre société. Ensemble, mettons notre performance au service de projets qui ont du sens.

Nous contacter
Advens

À propos d’Advens

Nous pourrions vous dire que nous sommes leader indépendant de la cyber en France, que nos experts vous accompagnent partout dans le monde pour faire face à la menace cyber. C’est vrai. Mais ce n’est pas ce qui nous définit le mieux. Plus que protéger vos données, nous agissons, collectivement, face aux urgences du monde d’aujourd’hui... et de demain.

En savoir plus