Cloudflare, leader du cloud de connectivité, publie son premier Threat Report. Celui-ci s’appuie sur l'expertise de l'équipe de recherche sur les menaces Cloudforce One et de l'échelle du réseau mondial Cloudflare pour mettre en lumière une réorientation fondamentale du schéma régissant une cyberattaque moderne.
Les
données révèlent que les acteurs malveillants s'appuient sur des attaques DDoS
d'une ampleur sans précédent, tirent parti des systèmes IA émergents afin
d'exploiter les vulnérabilités et continuent de s'attaquer aux points faibles
traditionnels (comme le courrier électronique) pour trouver des moyens de « se
connecter » plutôt que de « pénétrer par effraction ».
En détaillant les tactiques et les tendances à l'œuvre derrière les 230
milliards de menaces bloquées chaque jour par Cloudflare, le rapport 2026
permet aux équipes de sécurité de disposer des armes nécessaires pour lutter
contre les menaces émergentes. À l'heure où l'IA facilite le lancement
d'attaques sophistiquées par n'importe qui, les acteurs malveillants agissent
désormais plus vite que jamais. Ils ne se contentent pas d'entraîner la mise
hors ligne des sites web. Ils infiltrent silencieusement les systèmes de paie
et dupent les logiciels afin de les amener à leur faire confiance. La sécurité
ne consiste plus à empêcher les inconnus d'entrer, mais à prouver que les
utilisateurs situés à l'intérieur de votre réseau sont bien ceux qu'ils
prétendent être.
Selon Matthew Prince, Cofondateur et CEO de Cloudflare : « Les pirates se nourrissent des lacunes laissées par les ensembles
d'informations sur les menaces fragmentés et obsolètes. Le réseau de détection
bâti par Cloudflare, l'un des plus vastes et des plus complets du marché, nous
permet d'être aux premières loges face aux menaces invisibles pour les autres
acteurs. En partageant ces informations avec le monde, nous comblons les
failles et renvoyons l'avantage aux défenseurs. Il en découle un Internet plus
sûr et plus fiable, au sein duquel les tentatives d'exploitation par les
acteurs malveillants se révèlent fondamentalement plus difficiles et plus
coûteuses. »
Au cours de l'année passée, la plateforme Cloudforce One a analysé des
milliers de milliards de signaux réseau et de tactiques, techniques et
procédures (TTP) utilisées par les acteurs malveillants afin d'identifier les
vecteurs d'attaque les plus courants, les tactiques d'espionnage employées par
les États-nations et l'incidence réelle de l'IA sur les cyberattaques. Les
enseignements principaux de ce rapport sont les suivants :
● L'IA élimine l'obstacle
technique empêchant de lancer des attaques :
les acteurs malveillants utilisent les grands modèles linguistiques (LLM, Large
Language Models) pour cartographier les réseaux en temps réel, développer de
nouveaux moyens d'exploitation des vulnérabilités et produire des deepfakes
hyperréalistes. Cloudforce One a suivi un acteur malveillant qui s'appuyait sur
l'IA pour identifier l'emplacement des données de grande valeur. Il a ainsi pu
lancer l'une des attaques les plus puissantes jamais observées à l'encontre de
la chaîne d'approvisionnement et compromettre la sécurité de centaines de
tenants professionnels, c'est-à-dire des applications SaaS à fort volume de
trafic qui permettent à plusieurs entreprises de partager des ressources.
● Les acteurs soutenus par la
Chine délaissent les attaques généralisées au profit de frappes de précision : les acteurs soutenus par l'État chinois (notamment Salt Typhoon et
Linen Typhoon) ont changé leur fusil d'épaule et s'attaquent désormais aux
services de télécommunication, aux entités gouvernementales et aux services IT
nord-américains. Ces acteurs sont en train de passer de l'espionnage
traditionnel au prépositionnement persistant (c'est-à-dire l'acte qui consiste
à d'installer du code sur le réseau ou le système d'un État concurrent afin de
faciliter de futures attaques) au sein des infrastructures essentielles des
États-Unis.
● Les identités des entreprises
sont détournées : des agents
nord-coréens utilisent des deepfakes générés par IA et des identités
frauduleuses pour contourner les filtres de recrutement, en intégrant des
travailleurs soutenus par l'État directement dans les masses salariales des
entreprises occidentales. Ces acteurs malveillants dissimulent leur véritable
position géographique à l'aide de « fermes à ordinateurs portables » basées aux
États-Unis.
● Les attaques DDoS dépassent les
capacités de réponse humaine : les botnets à
grande échelle (comme Aisuru) sont devenus des menaces pour les États-nations
du fait de leur capacité à mettre à mal les réseaux d'un pays entier. Avec un
record enregistré à 31,4 Tbit/s, ces attaques à fort volume nécessitent
désormais la mise en place de moyens de défenses totalement autonomes.
« Les acteurs malveillants changent constamment de tactique afin d'identifier de nouvelles vulnérabilités à exploiter et de nouveaux moyens de submerger leurs victimes. Afin d'éviter de se retrouver prises au dépourvu, les entreprises doivent passer d'une stratégie réactive à une posture soutenue par des ensembles d'informations sur les menaces. Ce rapport constitue une boussole permettant de mieux comprendre l'échelle des attaques et la manière dont l'agressivité et les techniques employées par les acteurs malveillants évoluent. Le message aux défenseurs est simple : prendre les rênes en s'appuyant sur des ensembles d'informations ou risquer de prendre du retard dans une course au sein de laquelle les enjeux ne se sont jamais révélés aussi élevés. », conclut Blake Darché, Head of Threat Intelligence de l'équipe Cloudforce One chez Cloudflare.