Selon le Red Report 2026 publié par Picus Security, l’évolution majeure observée en 2025 ne tient pas à une explosion spectaculaire de nouvelles techniques, mais à un déplacement stratégique : l’attaque devient silencieuse, persistante et centrée sur l’exploitation des secrets déjà présents dans les systèmes.
« L’objectif n’est plus de bloquer. Il est de rester. »
Pendant plusieurs années, le ransomware a structuré la perception du risque. Chiffrement massif, interruption brutale des services, demande de rançon immédiate. Le modèle était visible, traumatique, médiatique. En 2025, cette logique perd du terrain. L’usage du chiffrement comme mécanisme principal d’extorsion diminue sensiblement. Non pas parce que l’attaque disparaît, mais parce qu’elle s’optimise.
Plutôt que d’interrompre, l’attaquant observe.
Plutôt que de détruire, il exploite.
Le rapport met en évidence un point central : la montée en puissance des techniques de Credential Access, notamment celles relevant de la matrice MITRE ATT&CK T1555, “Credentials from Password Stores”. Autrement dit : l’extraction d’identifiants déjà stockés localement ou dans des environnements cloud.
Il ne s’agit plus de casser un chiffrement.
Il s’agit d’attendre que le système déverrouille lui-même le secret.
Navigateurs, trousseau d’accès (Keychain) macOS, Windows Credential Manager, gestionnaires de mots de passe, coffres cloud AWS ou Azure : ces composants deviennent des cibles privilégiées. Lorsque l’utilisateur est authentifié, lorsque la session est active, lorsque le processus légitime détient déjà les clés, l’attaquant n’a qu’à se placer dans le bon contexte.
« La cryptographie ne faiblit pas. La confiance contextuelle, elle, est exploitée. »
Le rapport détaille plusieurs techniques illustrant cette logique. Des malwares ciblent la mémoire des processus légitimes — par exemple securityd sous macOS — pour extraire les secrets lorsque le trousseau est déverrouillé. D’autres exploitent les bases SQLite des navigateurs pour récupérer cookies, tokens de session ou identifiants enregistrés. Sur Windows, l’API Credential Manager devient un point d’extraction lorsque l’attaquant obtient un contexte administrateur.
Dans les environnements cloud, la problématique s’étend : les secrets sont souvent accessibles via des permissions trop larges ou mal segmentées. Une clé API stockée en clair ou un rôle IAM surdimensionné suffisent à ouvrir la porte à une compromission élargie.
Ce déplacement est fondamental.
Il transforme la nature même de l’intrusion.
« L’attaque n’est plus événementielle. Elle devient parasitaire. »
Le modèle économique évolue en conséquence. L’exfiltration silencieuse de données sensibles, l’abus prolongé d’identités légitimes et l’exploitation discrète des accès offrent un rendement supérieur à une attaque bruyante. Les systèmes restent opérationnels. Les alertes majeures ne se déclenchent pas. L’organisation continue de fonctionner, tandis que l’attaquant consolide sa présence.
Le rapport souligne également que huit des dix techniques les plus observées relèvent de la persistance ou de l’évasion. Injection de processus, exécution automatique au démarrage, usage de protocoles applicatifs légitimes pour la communication : le principe est toujours le même. Se fondre dans l’activité normale.
Il ne s’agit pas d’une sophistication spectaculaire.
Il s’agit d’une discipline méthodique.
L’intelligence artificielle, souvent présentée comme le moteur des mutations actuelles, n’apparaît pas encore comme un facteur de rupture dans les modes opératoires dominants. Les techniques restent classiques. Ce qui change, c’est leur combinaison, leur rapidité d’exécution et leur orientation vers la durée.
La rapidité constitue d’ailleurs un autre élément structurant. Les vulnérabilités exposées publiquement sont exploitées très peu de temps après leur divulgation. La fenêtre de correction se réduit. Mais même ici, le véritable enjeu n’est pas la faille elle-même : c’est la capacité organisationnelle à inventorier les actifs concernés, prioriser les correctifs et vérifier leur application effective.
« L’attaque n’est plus complexe. Elle est rapide et disciplinée. »
Ce constat impose un déplacement de posture côté défense. Les dispositifs calibrés pour détecter des ruptures massives — chiffrement de fichiers, pics anormaux d’activité, indisponibilités — deviennent insuffisants face à des intrusions à faible intensité mais longue durée.
La supervision comportementale, l’analyse des accès atypiques, la détection d’exfiltrations progressives et la revue régulière des comptes à privilèges prennent une importance accrue. La gestion des secrets devient un enjeu stratégique : rotation systématique, cloisonnement des permissions, réduction du stockage local d’identifiants, surveillance des coffres cloud.
Cette évolution ne traduit pas une aggravation spectaculaire du risque. Elle marque une maturation du modèle criminel. L’attaquant optimise son rendement, minimise son exposition et exploite les failles organisationnelles plus que les vulnérabilités techniques.
« La menace ne cherche plus à frapper fort. Elle cherche à rester longtemps. »
Pour les directions des systèmes d’information, la leçon est claire. La résilience ne repose plus uniquement sur la capacité à répondre à une crise ouverte. Elle dépend de la capacité à détecter l’anormalité dans la normalité apparente.
Inventaire précis des actifs exposés, gestion rigoureuse des identités humaines et techniques, contrôle des secrets applicatifs, journalisation exploitable et réellement analysée : ces mesures ne relèvent pas d’une stratégie spectaculaire. Elles relèvent d’une hygiène disciplinée.
Le Red Report 2026 ne décrit pas une cybercriminalité plus bruyante. Il décrit une cybercriminalité plus silencieuse, plus patiente et plus rationnelle. La stratégie du silence n’est pas une phase transitoire. Elle s’impose comme une norme opérationnelle.
Dans ce contexte, la question n’est plus de savoir si l’attaque aura lieu.
Elle est de savoir combien de temps elle pourra rester invisible.
Source : Red Report 2026 – Picus Security
