Elastic, the Search AI
Company, publie l’édition 2025 de son rapport annuel Global Threat Report, à
partir de plus d’un milliard de données télémétriques issues d’environnements
de production réels. Les résultats révèlent que les menaces générées par de
l’IA ont bondi de 15,5% au cours de l'année écoulée, tandis que l'exécution de
codes malveillants sur Windows a presque doublé pour atteindre 32,5%.
Autre constat : l'IA ne transforme pas
seulement notre façon de travailler. Cette technologie transforme également les
modes d'attaque des cybercriminels. En effet, ces hackers tirent parti de l'IA
pour générer massivement des chargeurs de code malveillant, dérober des
identifiants de navigateur et intensifier les attaques cloud, selon le Global
Threat Report 2025.
Les malwares générés
par l’IA et l'accès facilité aux identifiants dans les navigateurs alimentent
l'émergence d'une nouvelle catégorie d'acteurs malveillants. Ces derniers, qui
dépendent moins des attaques furtives, privilégient des tentatives d'intrusion
continues et systématiques dans les réseaux d'entreprise.
« Les hackers passent
désormais de la discrétion à l’attaque rapide, lançant des vagues d'attaques
opportunistes avec un minimum d'efforts, explique Devon Kerr, responsable d'Elastic
Security Labs et directeur du Threat Research. Cette évolution montre à
quel point il est urgent pour les défenseurs de renforcer la protection des
identités et d'adapter leurs stratégies de détection à cette nouvelle ère
d'attaques rapides. »
Les principales
conclusions du Global Threat Report 2025
Les navigateurs sont
désormais en première ligne
• Un malware sur huit cible les données des
navigateurs, faisant du vol d'identifiants la sous-technique d'accès la plus
courante.
• Les infostealers exploitent de plus en plus
les navigateurs basés sur Chromium pour contourner les protections intégrées.
L'exécution a dépassé
l'évasion
• Sur Windows, les tactiques d'exécution ont
presque doublé pour atteindre 32%, dépassant pour la première fois en trois ans
les techniques d'évasion défensive.
• GhostPulse a représenté 12 % des événements
de signature, diffusant souvent des info stealers tels que Lumma (6,67%) et
Redline (6,67%).
L'IA réduit les
barrières à l'entrée
• Les menaces générées par de l’IA ont augmenté
de 15,5%, alimentées par des adversaires utilisant des LLM pour produire en
masse des chargeurs et des outils malveillants, simples mais efficaces.
• Les familles de malware prêts à l'emploi
restent largement utilisées, avec RemCos (9,33%) et CobaltStrike (~2%).
L'identité dans le
cloud est menacée
• Plus de 60% des
incidents de sécurité dans le cloud concernaient l'accès initial, la
persistance ou l'accès aux identifiants.
• Les lacunes en
matière d'authentification dans Microsoft Entra ID étaient flagrantes : 54% des signaux Azure
anormaux provenaient des journaux d'audit ; ce chiffre grimpant à près de 90%
lorsque l'ensemble des données télémétriques Entra était pris en compte.
Elastic Security et
Elastic XDR offrent une cybersécurité unifiée, protégeant, surveillant et
répondant aux menaces en temps réel sur l'ensemble de l'infrastructure IT.
Alors qu’Elastic Security mise sur une défense en profondeur, Elastic XDR
unifie détection, investigation et réponse aux menaces, incluant la détection
de malwares, notamment ceux créés par l'IA.
Quelques
recommandations supplémentaires des experts Elastic à destination des équipes
de sécurité
• Adoptez
l'automatisation avec supervision humaine : utilisez la détection assistée par l'IA
et l'analyse comportementale pour accélérer la réponse, tout en conservant le
jugement humain aux moments clés de la prise de décision.
• Protégez les défenses
du navigateur :
renforcez les plugins, les extensions et les intégrations tierces, et améliorez
la visibilité sur les tentatives de vol d'identifiants.
• Améliorez la validation d'identité : investissez dans une vérification d'identité plus stricte, renforcez les pratiques de connaissance du client (KYC) et considérez la garantie de l'identité comme un contrôle de sécurité essentiel.