ChannelScope
Acronis dévoile un rapport de cybersécurité qui place les MSP en cœur de cible des attaques
Par Vincent Verhaeghe, publié le 23 avril 2026
Les MSP ne sont plus seulement des prestataires exposés aux cyberattaques visant leurs clients. Ils sont pour les hackers des cibles de choix, attaqués pour ce qu’ils représentent : un point d’entrée unique vers des dizaines, parfois des centaines d’environnements. Ce que l’on appelle les attaques par rebond. Le dernier rapport semestriel de l’équipe Threat Research Unit d’Acronis (TRU) documente cette réalité qui devrait interpeller tout opérateur de services managés. Acronis y répond en partie en lançant GenAI Protection, une solution conçue pour adresser un risque qui n’existait pas encore il y a trois ans : l’usage non contrôlé de l’IA générative dans les environnements des PME clientes.
C’est la théorie du chaos adaptée à la cybersécurité… Pourquoi se contenter d’attaquer une entreprise quand on peut en toucher des dizaines avec une seule attaque ? En effet, sur la base des déclarations publiques de victimes recensées tout au long de l’année 2025, Acronis a identifié 143 prestataires IT touchés au niveau mondial par des ransomwares ou de la cybercriminalité organisée : 69 MSP et 74 opérateurs télécoms. Un chiffre qui, rapporté à l’ensemble des victimes connues, peut sembler modeste, mais qui occulte une réalité opérationnelle autrement plus lourde : chaque MSP compromis expose potentiellement l’intégralité de sa base clients.
C’est précisément ce qui fait des MSP des proies économiquement rationnelles aux yeux des attaquants. En ciblant un MSP, un groupe criminel n’infiltre pas un seul réseau, il accède à une « agrégation d’accès » lui permettant de monétiser une intrusion unique sur de multiples environnements clients. En 2025, la chaîne allant de l’accès initial au déploiement du ransomware s’est encore raccourcie. Les incidents analysés par Acronis montrent un raccourci entre la compromission, souvent via des outils RMM ou des interfaces d’administration, et le déploiement en aval chez les clients, réduisant d’autant les délais de réaction des équipes de défense.
Le RMM en première ligne de front
La mécanique d’exploitation des outils RMM mérite d’être regardée de près. Au second semestre 2025, des groupes comme Qilin, Akira et DragonForce ont délibérément ciblé des plateformes telles AnyDesk, ScreenConnect, Splashtop ou LogMeIn pour y exécuter leurs actions malveillantes. Dans plusieurs incidents documentés, des identifiants volés ont permis l’accès à des consoles RMM légitimes, suivi d’un déploiement simultané de ransomware sur de multiples terminaux. L’outil du MSP, celui-là même qui lui sert à administrer ses clients, se retourne contre lui.
Le phishing reste le vecteur d’entrée numéro un pour les MSP, représentant 52 % des incidents recensés. Toutes les vulnérabilités déclarées affectant les MSP en 2025 ont été classées comme graves ou critiques, ce qui illustre la brutalité du risque opérationnel pesant sur ces prestataires. La France, pour sa part, représente 4 % des MSP victimes identifiées publiquement, et 4 % des opérateurs télécoms touchés.
Un paysage ransomware fragmenté, mais durablement productif
Sur l’ensemble de l’année 2025, plus de 7 500 organisations ont été publiquement identifiées comme victimes de ransomware, selon les données de Ransomware.Live compilées par Acronis. La réalité est donc sans aucun doute bien plus dramatique, entre ceux qui ne déclarent pas les incidents et ceux qui ne les ont pas (encore) détectés. L’activité a été structurée autour de deux pics distincts : février, mois le plus actif de l’année avec plus de 1 000 victimes divulguées, en partie sous l’impulsion du groupe Cl0p via l’exploitation de la vulnérabilité Cleo MFT ; puis octobre, avec des groupes cherchant à « boucler l’année » sur des opérations d’extorsion à fort impact.
Dans la télémétrie interne d’Acronis Active Protection, le ransomware Makop et ses avatars dominent très largement le classement, avec près de 42 % des détections. BlackHeart arrive en deuxième position avec 25 %. Des “parts de marché” élevées qui soulignent aussi l’industrialisation systémique de ces ransomwares. On est loin du hacker isolé développant son virus dans sa cave. Makop et BlackHeart ont pignon sur rue sur le darkweb et il n’y a pas besoin de compétence spécifique pour les déployer. Côté victimes, les secteurs de l’industrie et de la tech concentrent respectivement 21 % et 20 % des victimes déclarées, principalement en raison de la pression opérationnelle qui les pousse à payer pour rétablir la disponibilité de leurs systèmes.
L’IA, nouveau multiplicateur de force des cybercriminels
Le rapport d’Acronis documente un basculement que beaucoup pressentaient sans en mesurer encore l’ampleur : en 2025, l’IA n’est plus un outil expérimental dans l’arsenal des cybercriminels. Elle est intégrée aux workflows opérationnels, là où elle apporte un avantage immédiat. Trois cas illustrent cette évolution.
En juillet 2025, le Global Group a intégré un agent conversationnel basé sur l’IA à son portail de négociation avec les victimes. Le système prend en charge les échanges de routine, maintient la pression par des délais automatisés et oriente les victimes vers les étapes de paiement. Ici les opérateurs humains n’interviennent plus que pour les dossiers à forte valeur… En août, le groupe GTG-2002 a utilisé Claude Code pour soutenir une campagne d’extorsion multi-victimes, se servant de l’IA pour générer des scripts, naviguer dans les réseaux compromis et analyser rapidement les données volées afin d’adapter chaque demande de rançon. Enfin en novembre, une intrusion attribuée avec un haut niveau de confiance à un acteur soutenu par l’État chinois a démontré un comportement d’IA agentique : le système exécutait des séquences de tâches (reconnaissance, exploitation d’identifiants, interaction avec l’environnement) avec une intervention humaine minimale.
Ce glissement est fondamental pour les MSP. Les cybercriminels peuvent désormais itérer plus vite, communiquer de manière plus convaincante avec les victimes et maintenir une pression soutenue sur un plus grand nombre de cibles en parallèle. Les équipes de défense doivent intégrer cette réalité dans leurs délais de réponse et dans la conception de leurs politiques de sécurité.
GenAI Protection : Acronis propose une réponse dédiée aux MSP
C’est dans ce contexte que la présentation d’Acronis GenAI Protection prend tout son sens. Tout juste annoncée, la solution s’attaque à un vecteur de risque distinct mais croissant : l’usage non supervisé de l’IA générative dans les PME clientes des MSP. Conçue pour être déployée, gérée et monétisée par les MSP, elle intègre une console centralisée depuis laquelle les prestataires peuvent surveiller l’usage de l’IA dans les environnements de leurs clients, appliquer des politiques de sécurité et produire des reportings de risque.
« L’adoption de l’IA générative s’accélère. Avec elle apparaissent de nouveaux risques que les entreprises ne sont pas encore pleinement en mesure de gérer », déclare dans le communiqué de presse Gaidar Magdanurov, Président d’Acronis. « Idéalement positionnés pour aider les entreprises à adopter l’IA de manière sécurisée, les MSP ne disposaient pas, jusqu’à présent, des outils adaptés pour la surveiller et la gérer efficacement. GenAI Protection leur permet de faire de la sécurité IA un service managé à part entière, en créant de nouvelles opportunités de revenus tout en protégeant leurs clients contre les risques émergents. »
Gaidar Magdanurov, Président d’Acronis
La solution couvre trois périmètres complémentaires. La détection et la visibilité du shadow AI permettent d’identifier les applications d’IA générative utilisées sans supervision dans les environnements clients. La protection des données sensibles dans les interactions IA inspecte les prompts pour détecter les données personnelles ou de santé susceptibles d’être transmises vers des outils publics non approuvés. La prévention des injections de prompts détecte et bloque les prompts malveillants conçus pour manipuler le comportement des systèmes d’IA ou compromettre les flux de travail.
« L’IA est une réalité pour les PME. Plus de la moitié d’entre elles utilisent des outils IA, à commencer par les équipes marketing et commerciales en quête de productivité et d’efficacité », observe Matthew Ball, analyste en chef chez Omdia. « Si la majorité des usages passent par le SaaS, le recours croissant à l’IA grand public, autorisé ou pas, génère de nouveaux risques qui créent de nouvelles responsabilités pour les MSP. »
Acronis GenAI Protection constitue la première brique d’Acronis Cyber Workspace, dont des fonctionnalités supplémentaires sont attendues pour couvrir l’ensemble du cycle de vie de la gestion des services et outils IA. La solution est disponible dès maintenant à l’échelle mondiale.
À LIRE AUSSI :
À LIRE AUSSI :
