En cybersécurité, le danger n’est plus seulement dans le malware spectaculaire, le ransomware hollywoodien ou la faille “zéro day” qui fait la une. Le vrai basculement de 2026 est plus froid, plus industriel, presque banal dans sa mécanique : les attaquants vont là où l’accès est le plus simple, le plus rentable et le moins défendu. C’est exactement ce que met en lumière IBM dans son X-Force Threat Intelligence Index 2026. Le rapport décrit une accélération très nette de trois tendances : l’explosion des attaques de supply chain, la hausse de 44 % de l’exploitation des applications exposées sur Internet, et la priorité donnée aux vulnérabilités exploitables sans authentification. Autrement dit, les cybercriminels ne cherchent plus d’abord l’exploit technique le plus brillant ; ils cherchent le point d’entrée le plus immédiat.
Le constat est sévère pour les entreprises. IBM explique que l’exploitation des applications publiques — sites, portails, VPN, services web, API, consoles exposées — a fortement progressé en 2025, au point de devenir un vecteur majeur d’intrusion. Cette hausse de 44 % n’est pas un détail statistique : elle montre que les organisations continuent de laisser sur Internet des briques techniques insuffisamment durcies, insuffisamment surveillées ou trop lentement corrigées. IBM relie aussi cette dynamique à l’usage croissant de l’IA par les attaquants pour accélérer la détection de faiblesses, l’automatisation du repérage et la priorisation des cibles.
Ce chiffre de 44 % est d’autant plus inquiétant qu’il dit quelque chose de très précis sur la nature du risque cyber actuel. Pendant des années, beaucoup d’entreprises ont organisé leur sécurité autour de la protection du poste de travail, du filtrage mail, de l’antivirus, du SOC et, plus récemment, de la sensibilisation au phishing. Tout cela reste utile. Mais IBM montre que l’attaquant revient massivement vers une logique de surface d’exposition : ce qui est visible sur Internet, joignable sans friction et mal configuré redevient une porte d’entrée privilégiée. En clair, avant même de piéger l’utilisateur, le cybercriminel teste l’architecture elle-même.
La deuxième tendance forte est l’explosion des attaques supply chain. Là encore, le sujet dépasse la seule sécurité logicielle au sens étroit. La supply chain cyber, aujourd’hui, ce sont les bibliothèques open source, les fournisseurs SaaS, les partenaires techniques, les prestataires d’infogérance, les chaînes CI/CD, les éditeurs de composants, les accès tiers, les services d’authentification, parfois même les plateformes d’IA intégrées dans les processus métier. IBM souligne que les attaquants visent de plus en plus ces infrastructures de confiance, parce qu’elles permettent d’entrer indirectement dans des environnements mieux protégés. L’idée est simple : pourquoi forcer la porte principale d’un grand groupe quand on peut passer par son fournisseur, son outil de déploiement ou son partenaire applicatif ?
Ce déplacement vers la supply chain change profondément la posture défensive nécessaire. La cybersécurité classique raisonnait en périmètre : protéger son SI, ses comptes, ses serveurs, ses flux. Le modèle supply chain impose de raisonner en écosystème. Une entreprise peut avoir correctement segmenté son réseau, déployé du MFA, renforcé ses sauvegardes et pourtant rester vulnérable à une compromission venue d’un éditeur, d’un connecteur, d’une dépendance logicielle ou d’un prestataire. C’est l’un des grands messages d’IBM : la sécurité n’est plus la somme des contrôles internes, elle dépend aussi de la qualité de gouvernance du tissu numérique autour de l’entreprise.
Troisième enseignement, peut-être le plus humiliant pour le marché : les attaquants privilégient les failles exploitables sans authentification. IBM indique que plus de la moitié des vulnérabilités suivies en 2025, 56 %, pouvaient être exploitées avant même toute étape d’authentification. Cette donnée est accablante parce qu’elle rappelle une vérité simple : beaucoup d’incidents graves ne commencent pas par un scénario sophistiqué, mais par l’exploitation d’une faiblesse ouverte à quiconque sait scanner Internet. Quand l’attaquant n’a même pas besoin d’identifiant initial pour agir, cela signifie que le premier rempart de l’entreprise n’est pas tombé : il n’a parfois jamais été construit correctement.
Cette priorité donnée aux failles “pré-auth” change la hiérarchie des urgences. Dans beaucoup d’organisations, on débat encore pendant des semaines de la stratégie Zero Trust, du meilleur EDR, des usages de l’IA défensive ou de l’autatisation du SOC. Tout cela compte. Mais IBM remet brutalement l’essentiel au centre : exposer un service vulnérable sans authentification forte ni correction rapide reste l’une des erreurs les plus coûteuses du moment. La sophistication de l’attaquant n’annule pas la nécessité des fondamentaux ; au contraire, elle les rend encore plus indispensables.
Le rapport IBM prend une dimension encore plus stratégique lorsqu’il évoque l’IA elle-même comme nouvel objet cyber. Le chiffre a marqué les esprits : plus de 300 000 identifiants ChatGPT ont été repérés à la vente sur le dark web en 2025, principalement dans des logiques liées aux infostealers. Ce n’est pas un simple fait divers de plus dans l’économie du vol de credentials. C’est un signal de maturité du risque. Les plateformes d’IA sont désormais traitées par les cybercriminels comme des actifs d’entreprise à part entière, au même titre qu’une messagerie, un CRM, un outil de support ou une console cloud.
Pourquoi est-ce si important ? Parce qu’un compte ChatGPT compromis, ou plus largement un compte d’assistant IA d’entreprise compromis, ne donne pas seulement accès à un service. Il peut donner accès à des prompts internes, à des résumés de réunions, à des extraits de code, à des documents copiés-collés, à des données clients, à des requêtes de stratégie, à des procédures, parfois à des automatismes connectés à d’autres systèmes. IBM et plusieurs observateurs du secteur soulignent que le problème n’est pas uniquement la consultation frauduleuse d’un historique : c’est aussi la possibilité de manipuler les sorties, d’exfiltrer de l’information sensible ou d’utiliser l’outil compromis comme pivot dans une chaîne automatisée plus large.
C’est là que l’IA cesse d’être un sujet de prospective pour devenir un sujet de gouvernance opérationnelle. Pendant deux ans, beaucoup d’entreprises ont parlé de l’IA comme d’un levier d’innovation, de productivité ou de transformation métier. Elles avaient raison. Mais IBM montre qu’il faut désormais l’aborder aussi comme une surface d’attaque, une cible de vol d’identité et un point d’entrée potentiel dans les processus. L’outil conversationnel n’est plus juste un assistant ; il devient une pièce du système d’information, avec ses droits, ses connexions, ses secrets, ses usages réels et donc ses risques concrets.
Cette évolution a une conséquence directe pour les directions générales. Le sujet cyber n’est plus uniquement celui du RSSI ou de la DSI. La multiplication des attaques supply chain, la pression sur les applications exposées et la compromission des identités IA montrent que la sécurité dépend désormais des choix de gouvernance, d’architecture, d’achats, de relation fournisseurs et d’usages métiers. Une entreprise qui déploie rapidement des outils d’IA sans règles sur les comptes, le SSO, le MFA, la journalisation, la rétention des données, les droits d’accès et les flux de copie d’information se crée elle-même sa dette de sécurité.
Il faut aussi comprendre ce que dit IBM en creux : les attaquants ne révolutionnent pas forcément leurs méthodes, ils industrialisent l’exploitation des erreurs persistantes. C’est sans doute l’idée la plus forte du rapport. L’IA accélère la vitesse d’exécution, la priorisation des cibles et l’automatisation de certaines tâches, mais elle ne remplace pas la vieille logique opportuniste du cybercrime. On scanne ce qui est exposé, on cherche ce qui n’est pas patché, on privilégie ce qui ne demande pas d’authentification, on vole les identifiants là où ils sont les plus nombreux, puis on rebondit via les liens de confiance. L’innovation de l’attaquant est moins conceptuelle qu’industrielle.
Pour les entreprises, la réponse n’a rien de mystérieux, mais elle exige une discipline plus rigoureuse que beaucoup ne l’acceptent encore. Réduire la surface d’exposition réelle, inventorier ce qui est publiquement accessible, corriger plus vite les failles pré-auth, imposer le MFA partout où c’est possible, renforcer le contrôle des tiers, auditer les dépendances logicielles, surveiller les identités compromises, intégrer les outils d’IA dans la gouvernance IAM et traiter les comptes IA comme des comptes sensibles : voilà le socle. IBM ne dit pas que la menace est devenue magique ; il dit qu’elle est devenue plus rapide, plus fluide et mieux alignée sur les zones de négligence des organisations.
Le message de 2026 est donc limpide. La cybersécurité ne peut plus se contenter de courir après l’attaque la plus médiatique. Elle doit revenir à une vérité plus dérangeante : ce qui met l’entreprise en danger n’est pas seulement la sophistication des criminels, mais la persistance de vulnérabilités simples dans un environnement numérique de plus en plus interconnecté. Supply chain, applications exposées, failles sans authentification, identifiants IA revendus : tout pointe dans la même direction. Le risque cyber n’est plus à la périphérie de la transformation numérique. Il en est désormais l’un des coûts centraux — et l’un des juges les plus sévères.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.