CrowdStrike : l'IA réduit le temps d'évasion des hackers à 29 minutes

L'IA réduit le temps d'évasion des hackers à 29 minutes

Selon le Rapport mondial sur les menaces 2026 publié par CrowdStrike (NASDAQ: CRWD) le 24 février 2026, les cyberadversaires transforment l'intelligence artificielle en arme pour exécuter des attaques à une vitesse sans précédent. La découverte la plus alarmante du rapport est l'effondrement du « temps d'évasion », la fenêtre critique dont disposent les défenseurs entre un compromis initial et le mouvement latéral d'un attaquant au sein du réseau. Cette métrique a chuté à une moyenne de seulement 29 minutes en 2025, marquant une augmentation de vitesse de 65 % par rapport à l'année précédente. Dans le cas le plus extrême observé, les attaquants ont effectué un mouvement latéral en seulement 27 secondes.

Cette accélération est directement liée à l'adoption de l'IA, qui a permis un bond de 89 % d'une année sur l'autre dans les attaques assistées par l'IA. Les adversaires utilisent l'IA générative pour affiner les e-mails de phishing, écrire des scripts de logiciels malveillants et accélérer la reconnaissance. Cela rend les attaques non seulement plus rapides, mais aussi moins chères et plus évolutives, modifiant fondamentalement le paysage des menaces pour les entreprises.

Les attaques sans logiciels malveillants atteignent 82 % alors que les intrusions cloud augmentent

Le rapport souligne un changement décisif dans les techniques des adversaires vers la furtivité et l'évasion. Les techniques d'attaque sans logiciels malveillants, qui reposent sur l'abus d'identifiants et d'outils légitimes, représentent désormais 82 % de toutes les détections, une augmentation substantielle par rapport aux 51 % en 2020, alors qu'ils se tournent vers les identifiants volés. Cette tendance indique que les attaquants privilégient de se fondre dans le trafic réseau normal pour éviter la détection, rendant la défense considérablement plus difficile.

Cette stratégie d'évasion s'étend directement aux environnements cloud, qui sont devenus un champ de bataille principal. Les intrusions axées sur le cloud ont augmenté de 37 % globalement en 2025. Plus frappant encore, les intrusions d'acteurs étatiques ciblant le cloud ont grimpé de 266 %, car ces groupes sophistiqués reconnaissent la valeur des identifiants cloud compromis. Avec 35 % des intrusions cloud utilisant des comptes valides, l'accent est passé de l'intrusion dans les réseaux à la simple connexion avec des identifiants volés.

Les acteurs liés à la Chine entraînent une augmentation de 38 % des intrusions ciblées

Les groupes étatiques parrainés par la Chine ont considérablement augmenté leur rythme opérationnel, l'activité d'intrusion ciblée augmentant de 38 % en 2025. Ces campagnes se concentrent sur des secteurs critiques pour les objectifs économiques et de renseignement à long terme de Pékin, notamment la logistique (hausse de 85 %), les télécommunications (hausse de 30 %) et les services financiers (hausse de 20 %). Un élément clé de leur stratégie est l'exploitation rapide des vulnérabilités zero-day, les adversaires déployant des exploits dans les jours suivant leur divulgation publique.

Ces acteurs ciblent constamment les dispositifs périphériques comme les VPN, les pare-feu et les passerelles, qui sont souvent moins surveillés que les systèmes internes. Cela leur permet d'obtenir un accès initial et de rester indétectés pendant de longues périodes. Adam Meyers, responsable des opérations de lutte contre les adversaires chez CrowdStrike, a expliqué l'efficacité de cette tactique :

Si vous pensez à des acteurs comme Salt Typhoon, que nous suivons sous les noms d'Operator Panda et Vanguard Panda, également connu sous le nom de Volt Typhoon, cibler les dispositifs réseau est important pour la Chine. Ils y trouvent de nombreuses vulnérabilités et sont capables de rester sous le radar sur ces dispositifs parce qu'ils ne sont pas gérés.

— Adam Meyers, responsable des opérations de lutte contre les adversaires, CrowdStrike.

Cette approche à long terme et persistante souligne une focalisation stratégique sur la collecte de renseignements plutôt que sur la perturbation à court terme, posant une menace soutenue et avancée aux entreprises mondiales.