Le modèle historique du rançongiciel classique, caractérisé par le chiffrement massif et brutal des infrastructures, cède progressivement sa place à une menace beaucoup plus insidieuse, chirurgicale et dévastatrice, celle du vol d’identités et l‘exfiltration furtive de données par le biais de cleptogiciels (infostealers). Les attaquants ne cherchent plus nécessairement à bloquer l’outil de travail, mais à s’y installer en usurpant les accès légitimes des collaborateurs.

Pour les directeurs des systèmes d’information (DSI) et les responsables de la sécurité des systèmes d’information (RSSI), ce changement de méthode rebat totalement les cartes de la défense périmétrique. Les cyberattaquants n’essaient pas de forcer l’entrée, ils utilisent des identifiants valides pour accéder aux systèmes, laissant les dispositifs de sécurité traditionnels incapables de distinguer un utilisateur légitime d’un intrus.

Les rapports sectoriels et les incidents majeurs colligés cette semaine par les observatoires de la cybercriminalité (à l’instar de l’intrusion récente documentée sur la messagerie gouvernementale Tchap ou des alertes du ComCyber-MI) révèlent une professionnalisation sans précédent de la pègre numérique. La cybercriminalité s’est définitivement structurée comme un modèle économique hautement industrialisé.

Cette mutation technique coïncide en Europe avec l’entrée dans sa phase active de la directive NIS2 et le renforcement des exigences de l’article 32 du RGPD en matière de traçabilité et de notification des violations. Choisir d’analyser cette tendance cette semaine est une nécessité stratégique pour permettre aux entreprises d’adapter leurs budgets de défense avant que leurs accès de confiance ne soient commercialisés sur le dark web.

Les cleptogiciels: Chevaux de Troie des accès de confiance

Les infostealers modernes ne ciblent plus uniquement les mots de passe enregistrés dans les navigateurs grand public. Ils ont évolué pour s’attaquer au cœur de la connectivité de l’entreprise.

• Le siphonnage des jetons de session (Session Hijacking) : En dérobant les cookies de session active et les jetons d’authentification (tokens) stockés dans la mémoire des postes de travail, les logiciels malveillants permettent aux attaquants de contourner totalement l’authentification multifacteur (MFA). L’attaquant clone la session de l’utilisateur et accède aux applications SaaS de l’entreprise sans jamais éveiller les soupçons.

• La compromission des outils de gestion de parc : Comme le démontre l’exploitation récente de vulnérabilités sur des agents de sécurité de bordure (ex. FortiClient EMS), les cybercriminels transforment désormais les outils de supervision de la DSI en vecteurs de déploiement de cleptogiciels à large échelle

L’exfiltration sélective face au couperet de NIS2

La baisse relative du volume global des attaques par chiffrement pur masque est une réalité bien plus inquiétante car les cybercriminels se concentrent désormais sur la double extorsion via l’exfiltration ciblée de données hautement sensibles.

• Moins de bruit, plus d’impact : En évitant le chiffrement des disques durs, l’attaquant reste furtif le plus longtemps possible. Il identifie, isole et exfiltre les secrets industriels, les fichiers RH ou les données financières. La pression exercée sur le décideur ne repose plus sur l’interruption d’activité, mais sur la menace d’une réputation détruite et d’amendes réglementaires massives.
• L’alignement réglementaire obligatoire : Sous le régime de NIS2, la gouvernance du risque cyber n’est plus une option. Les DSI doivent être capables de prouver l’étanchéité de leurs sauvegardes hors ligne, mais surtout de monitorer en continu les flux sortants pour détecter des anomalies de volume, synonymes d’une exfiltration en cours.

Vers un modèle Zero Trust post-infostealer

Pour contrer cette vague de compromission d’identités, les directions informatiques doivent durcir leur architecture et appliquer une politique stricte de Zero Trust appliqué aux sessions.

⚠️ ANCIEN MODÈLE (Périmétrique) Identifiant + Mot de passe + MFA statique ⇒ Accès total autorisé

(Bascule technologique 2026)

✅ NOUVEAU MODÈLE (Zero Trust Évolutif)Vérification continue + Token Binding + Isolation du navigateur

Le Token Binding et l’isolation (RBI) : L’implémentation du Token Binding lie cryptographiquement le jeton de session à l’appareil physique spécifique de l’utilisateur. Même si un cleptogiciel dérobe le cookie, ce dernier devient inutilisable sur la machine de l’attaquant. Parallèlement, l’usage du Remote Browser Isolation (RBI) pour les flux web critiques permet d’exécuter les sessions de navigation dans des conteneurs cloud éphémères, hors de portée des malwares locaux.

L’analyse comportementale de l’identité (ITDR) : Les solutions de Identity Threat Detection and Response (ITDR) s’imposent dans les SOC. Elles permettent d’analyser si les actions entreprises par un utilisateur légitime correspondent à ses habitudes ou si le timing et l’enchaînement des requêtes trahissent une automatisation malveillante.

La montée en puissance des cleptogiciels marque la fin définitive de la confiance accordée à l’identifiant, fut-il protégé par une double authentification classique. En 2026, la sécurité ne se mesure plus à la robustesse de la porte d’entrée, mais à la capacité de l’infrastructure à suspecter chaque action au sein du réseau. Les DSI qui réussiront à traverser cette crise cyber sont ceux qui sauront transformer leur défense passive en une traçabilité dynamique et comportementale, sanctuarisant l’identité numérique comme le pixel ultime de leur périmètre de sécurité.