Secu
Panorama des cybermenaces 2026 : l’attaque passe en mode industriel !
Par Laurent Delattre, publié le 21 janvier 2026
2026 s’annonce comme l’année où la cyberattaque tourne comme une usine : phishing en tête, IA pour industrialiser les arnaques, et exploitation à la chaîne dès qu’une vulnérabilité fuite. L’année à venir combine un tempo d’exploitation toujours plus court, des vecteurs massifs (supply chain, mobile, données IA) et une frontière IT/OT qui se dilue. Le ThreatScape 2026 d’HarfangLab dessine un environnement encore plus instable et menaçant d’où émergent de nouvelles lignes de conduite pour les cyberdéfenseurs.
Soixante pour cent ! C’est la place que le phishing occupe toujours comme point d’entrée dominant dans les compromissions, malgré des années de MFA, d’EDR, de sensibilisation et de promesses « zero trust » selon la dernière étude HarfangLab.
Dans son ThreatScape 2026, HarfangLab pose le décor de l’année Cyber devant nous : la fuite n’est plus une exception, la géopolitique pèse sur le SI, et l’IA accélère tout, y compris le pire.
Dans la masse des prédictions Cyber 2026 publiées ces derniers jours, ce rapport a particulièrement retenu notre attention et devrait aussi retenir la vôtre. D’abord parce que HarfangLab est un éditeur français de cybersécurité spécialisé dans la protection des endpoints (postes de travail et serveurs), avec une plateforme orientée EDR (Endpoint Detection & Response) et, plus largement, l’EPP (Endpoint Protection Platform). Et que l’exercice des « prédictions » est généralement davantage le fruit du marketing américain que de chercheurs européens.
Ensuite parce que, ici, les tendances ne sont pas emballées dans du vernis futuriste : elles partent d’un constat franchement inconfortable, puis déroulent ce que cela implique quand l’IA industrialise la fraude, quand la fenêtre de patch se compte en minutes et quand la donnée doit être considérée comme déjà « en fuite ». Le tout avec une vision très européenne.
Ainsi, 2026 ne sera pas l’année du nouvel outil miracle, mais celle des arbitrages rapides, de la réduction des surfaces d’attaque et de la gouvernance des dépendances, parce que l’attaque, elle, fonctionne déjà en mode chaîne de production.
Au travers de leurs prédictions, les chercheurs en cybersécurité envoient un message aux DSI porté par une idée un peu brutale : 2026 ressemble moins à « un paysage de menaces » qu’à un système météo instable. Et quand l’atmosphère se charge, les protections statiques finissent noyées.
« Assume leak » : arrêtez de rêver d’un périmètre qui tient
HarfangLab anticipe une bascule mentale : il faut désormais partir du principe qu’il y a fuite, parce que la donnée circule trop, trop loin, et trop souvent hors des murs (SaaS, partenaires, sous-traitants, IA “shadow”).
Ce n’est pas un appel à baisser la garde, c’est un changement de priorité : il s’agit moins « d’empêcher l’accès à tout prix » que de « rendre la donnée volée inexploitable ».
Le rapport parle de pistes comme la cryptographie “anamorphique” et le confidential computing, avec l’idée de traiter des données tout en les gardant chiffrées.
Traduction : la stratégie data est aussi une stratégie de sécurité. Classification, minimisation, gestion des secrets, gouvernance des identités, traçabilité… tout ce qui réduit la valeur marchande d’un exfiltrat prend mécaniquement de la valeur.
IA générative : la fraude s’industrialise
Là où beaucoup voient surtout l’IA comme un sujet SOC et d’automatisation défensive, HarfangLab insiste sur un angle beaucoup plus « terrain » : l’IA est aussi un catalyseur de fraudes et de cyber-extorsions, avec des campagnes plus personnalisées, automatisées, convaincantes et donc plus difficiles à étouffer à l’échelle.
Le rapport cite notamment la montée des arnaques dopées aux chatbots et celle du clonage vocal pour l’usurpation type « fraude au PDG ».
Conséquences : La lutte anti-fraude, la protection de marque, les process de validation (paiements, changements de RIB, accès admin) et les contrôles d’identité deviennent des contrôles de sécurité à part entière. Et tout ce qui est “exceptionnel” dans un workflow (urgence, confidentialité, contournement) mérite d’être traité comme un IOC (indicateur de compromission) humain.
Agents autonomes : l’antidote peut devenir toxique
HarfangLab prédit un effet boomerang : la délégation croissante de tâches cyber à des agents autonomes crée des vulnérabilités systémiques dans la détection et la réponse. Dit autrement, les agents IA autonomes au service de la Cyber ne se contentent plus d’aider le SOC, mais deviennent une partie du mécanisme de décision… et donc un point de défaillance qui se réplique partout.
Concrètement, HarfangLab redoute 3 effets pervers : des agents manipulables via leurs entrées (prompt injection indirecte dans mails/logs/tickets), une surproduction de “CTI” et d’analyses médiocres qui noie le signal et automatise de mauvaises décisions, et des remédiations automatiques qui transforment une erreur (ou une manipulation) en incident opérationnel à grande échelle.
L’alerte aux DSI : l’automatisation ne doit pas supprimer la vérification, elle doit la rendre scalable. Un SOC “agentifié” sans garde-fous finit par devenir un SOC manipulable.
Du numérique au physique : quand l’attaque sort de l’écran
Prédiction la plus « holywoodienne », mais pourtant pas la plus fantaisiste : HarfangLab s’attend à voir les premiers dommages ou disruptions physiques résultant d’exploitations de vulnérabilités IA, à mesure que des agents autonomes pilotent logistique, industrie, énergie, robotique. Les chercheurs parlent de manipulations « cinétiques » comme le détournement de marchandises ou la dégradation d’infrastructures. Autrement dit : une cyberattaque ne se contente plus de voler/chiffrer des données, mais provoque un effet dans le monde réel.
Pour la logistique, cela peut passer par la modification discrète d’une destination ou d’un ordre d’expédition dans les outils (TMS/WMS), jusqu’à faire livrer “correctement” selon le SI… mais au mauvais endroit.
Pour les infrastructures, l’idée est de perturber ou d’endommager via des systèmes numériques qui pilotent du physique (OT/IoT, automatisation) via des dérives de paramètres, des arrêts, une usure accélérée, des indisponibilités.
Le point clé d’HarfangLab, c’est que plus l’automatisation et les agents pilotent des processus, plus une compromission logicielle peut se traduire rapidement en conséquences matérielles.
Pour les DSI d’industries, de services critiques ou simplement d’organisations très “OT-dépendantes”, la frontière IT/sûreté continue de fondre. Sécurité fonctionnelle, sécurité OT, gouvernance fournisseurs d’automates, audits des modèles et des données d’entraînement… tout remonte dans la pile des priorités.
États, régulation, industrie de l’intrusion : le jeu se complique
Le rapport décrit un cyberespace où l’influence des États s’effrite, grignotée à la fois par une « oligarchie » d’acteurs commerciaux très puissants et par une économie criminelle devenue industrielle, structurée et rentable.
Dans le même mouvement, HarfangLab anticipe la poursuite de la croissance du marché de l’intrusion « clé en main » (en particulier via les spywares mobiles) avec des fournisseurs (comme NSO Group/Pegasus) qui cherchent à normaliser leurs pratiques tout en faisant du lobbying pour réduire les capacités de contrôle et de surveillance.
Côté Europe, HarfangLab rappelle que le « Pall Mall Process » est une tentative de remettre un peu d’ordre dans le marché très opaque des “commercial cyber intrusion capabilities” (CCIC), en clair, le marché des outils d’intrusion vendus sur étagère, dont les spywares mobiles (comme Pegasus). Lancé par la France et le Royaume-Uni en 2024, le processus est pensé comme un cadre multi-acteurs (États, industrie, société civile) et a déjà produit un Code de Bonnes Pratiques, certes non contraignant pour les États. On attend désormais les fruits de la consultation dédiée aux pratiques du secteur privé, clôturée le 22 décembre 2025, avec l’hypothèse d’un code de conduite/bonnes pratiques côté industrie en 2026, le genre de « soft law » qui fixe des standards sans passer tout de suite par une loi.
Dans le même temps, le rapport note une posture plus offensive des États face aux cyberattaques : davantage d’attribution publique, de poursuites, de sanctions et d’actions de perturbation. Exemple emblématique côté français : le 29 avril 2025, l’attribution très officielle par la diplomatie française d’attaques à APT28, lié au renseignement militaire russe (GRU), un signal plus direct que les formules collectives jusqu’ici souvent privilégiées.
Implication DSI : la conformité ne sera pas seulement « plus exigeante », elle sera plus fragmentée et plus politique. Entre souveraineté des données, dépendances cloud, pressions extraterritoriales et exigences sectorielles, l’architecture du SI devient un choix géostratégique pas juste technique.
L’industrialisation des attaques : la fenêtre de patch se compte en heures
Dernier gros morceau, la maturité des attaquants. Le niveau “APT” ressemble de moins en moins à des opérations artisanales menées au cas par cas, et de plus en plus à une chaîne de production : découverte de cibles, exploitation, mouvement latéral, exfiltration et monétisation s’enchaînent avec des briques réutilisables, automatisées et parfois opérées comme un service.
Le rapport met aussi en avant des vecteurs « scalables » par nature. La chaîne d’approvisionnement permet de toucher beaucoup d’organisations en une seule compromission (éditeur, prestataire, dépendance logicielle, mise à jour), donc de rentabiliser l’effort. Le mobile, via les spywares et attaques ciblées sur terminaux, devient un accès premium à l’identité, aux échanges et aux codes MFA. Et l’empoisonnement de données vise un nouvel actif critique : les jeux de données, modèles et pipelines IA, pour biaiser des décisions, dégrader la détection ou rendre des systèmes autonomes moins fiables, bref une façon moderne de « casser » la défense sans forcément casser l’infrastructure.
Et la plus grave des conséquences est évidemment une question de « Tempo » : le délai entre la divulgation d’une vulnérabilité et son exploitation à l’échelle mondiale « s’est effondré… passant de semaines à des jours, voire des heures ». Ce qui transforme la fenêtre de patch en course de vitesse.
Côté DSI, cela pousse mécaniquement vers des organisations capables de décider vite : inventaire réel de l’exposition, réduction de surface, correctifs prioritaires, contournements temporaires, et capacité à isoler sans bloquer tout le business. Le luxe de « patcher au prochain cycle » ressemble de plus en plus à un pari. Mais, ça, on le savait déjà.
Clap final
Le moins que l’on puisse dire c’est que ce rapport n’est pas des plus réjouissants. Il dessine un paysage sombre et une scène géopolitique qui illustre la fusion cyber-physique et l’usage du cyber comme levier d’opération étatique. Pour autant, Harfanglab rappelle aussi que si le niveau de risque monte indubitablement, la cyberdéfense mûrit aussi, et l’IA peut devenir un levier côté défense.
Il en émerge ainsi pour 2026 une nouvelle doctrine pour les DSI et les RSSI : ne pas “subir” ces tendances comme une fatalité. Car, ce ThreatScape de HarfangLab décrit surtout une bascule de modèle : moins de frontières, plus de vitesse, plus d’automatisation… mais des deux côtés, celui de l’attaque comme de la défense. Dans ce contexte, la valeur n’est plus seulement dans l’empilement d’outils, mais dans la capacité à garder la main sur l’identité, la donnée, les dépendances et les décisions. Des sujets décidément au cœur de l’agenda de tous DSI.
À lire : 2026 Threatscape report – HarfangLab
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
