CrowdStrike a publié lundi son rapport sur les menaces mondiales 2026, documentant une augmentation de 89 % d’une année sur l’autre des opérations adverses basées sur l’IA. Le rapport indique que l’IA mène désormais des attaques plus rapides et plus furtives tout en devenant elle-même une cible. Les renseignements recueillis auprès de plus de 280 acteurs de la menace identifiés révèlent que le « temps d’évasion » moyen (la période allant de la violation initiale au mouvement latéral à travers un réseau) est tombé à 29 minutes en 2025.
Cela représente une augmentation de 65 % de la vitesse par rapport à 2024. L’évasion la plus rapide observée n’a duré que 27 secondes et, dans un cas spécifique, l’exfiltration des données a commencé dans les quatre minutes suivant l’accès initial. De plus, 82 % des détections étaient exemptes de logiciels malveillants, poursuivant ainsi la tendance au vol d’identifiants et aux intrusions basées sur l’identité.
Les adversaires ciblent directement les systèmes d’IA. Des invites malveillantes ont été injectées dans des outils d’IA générative de plus de 90 organisations pour voler des informations d’identification et des cryptomonnaies. Les attaquants ont exploité les vulnérabilités des plateformes de développement d’IA pour déployer des ransomwares et publié des serveurs d’IA malveillants afin d’intercepter des données sensibles. Du côté offensif, le groupe FANCY BEAR lié à la Russie a déployé LAMEHUG, un malware compatible LLM identifié par le CERT-UA ukrainien en juillet 2025. LAMEHUG utilise le modèle Qwen2.5-Coder-32B-Instruct pour générer dynamiquement des commandes de reconnaissance.
Le groupe de cybercriminels PUNK SPIDER a utilisé des scripts générés par l’IA pour accélérer le dumping des informations d’identification et détruire les preuves médico-légales. FAMOUS CHOLLIMA, lié à la Corée du Nord, a exploité les personnages générés par l’IA pour étendre ses opérations de menace interne.
L’activité des États-nations s’est considérablement intensifiée. Les cyberopérations liées à la Chine ont augmenté de 38 % en 2025, le secteur de la logistique ayant enregistré une augmentation de 85 % de son ciblage. Soixante-sept pour cent des vulnérabilités exploitées par les acteurs du lien avec la Chine ont permis un accès immédiat au système, tandis que 40 % ciblaient les appareils de pointe connectés à Internet.
Les incidents liés à la Corée du Nord ont augmenté de plus de 130 %, l’activité de FAMOUS CHOLLIMA ayant plus que doublé. PRESSURE Le vol de crypto-monnaie de 1,46 milliard de dollars de Chollima a été signalé comme le plus grand braquage financier jamais signalé.
Les intrusions axées sur le cloud ont globalement augmenté de 37 %, dont une augmentation de 266 % provenant d’acteurs soutenus par l’État ciblant les environnements cloud. Quarante-deux pour cent des vulnérabilités ont été exploitées avant leur divulgation publique, les attaquants ayant utilisé des failles Zero Day comme une arme. Le président de CrowdStrike, Michael Sentonas, a déclaré : « Les invites seront le nouveau malware. »
