- Risque lié aux ransomwares : ce que nous avons observé et pourquoi cela importe
- Le piège du « nous avons un plan »
- Pourquoi le risque lié à la récupération d'identité devrait figurer sur votre première diapositive destinée au conseil d'administration
- Résilience identitaire : améliorer la posture de sécurité et la reprise après sinistre
- Ce qu'il faut changer pour 2026 : des mesures prêtes à être adoptées par le conseil d'administration
- Comment mettre à profit les recherches sur les ransomwares (ce trimestre)
- Restez humain et mesurable
- Ressources à partager avec votre équipe de direction
Les RSSI sont constamment bombardés d'avertissements alarmistes concernant la prochaine menace critique qui pèse sur l'infrastructure de votre organisation. Et bien que ces avertissements constituent un élément important du renseignement sur les menaces, ils ne vous aident pas, vous et votre équipe de sécurité, à mettre en place une défense efficace. Vous n'avez pas besoin d'une nouvelle analyse haletante sur les ransomwares. Vous avez besoin d'informations sur lesquelles vous pouvez agir et d'un plan que votre conseil d'administration soutiendra.
Tout au long de l'année, les experts de Semperis mènent des études intersectorielles afin de comprendre et de suivre les risques mondiaux liés aux ransomwares, la préparation aux menaces et la réponse aux crises. Dans ces études, vous trouverez des points de contact et des informations qui peuvent vous aider à élaborer une stratégie pragmatique pour mettre en place non seulement des plans de défense contre les ransomwares, mais aussi une véritable résilience face aux attaques dynamiques et sophistiquées de ransomwares.
Risque lié aux ransomwares : ce que nous avons observé en 2025 (et pourquoi cela importe pour 2026)
Les recherches menées cette année ont mis en évidence un fait indéniable : le moyen le plus rapide de transformer un incident cybernétique en interruption d'activité est de compromettre l'infrastructure d'identité, en particulier Active Directory (AD) et Entra ID.
Notre rapport 2025 sur les risques liés aux ransomwares révèle que 83 % des attaques de ransomware réussies ont compromis l'infrastructure d'identité ; pourtant, de nombreuses organisations ne disposent pas d'un plan de récupération AD testé, et encore plus n'ont pas de capacités de sauvegarde spécifiques à AD.
Pourquoi est-ce un problème critique ? Parce que la récupération d'Active Directory est complexe, fastidieuse et extrêmement longue. 76 % des victimes de ransomware ont eu besoin de bien plus d'une journée, voire d'un mois pour reprendre leurs activités normales.
De plus, les auteurs de menaces, toujours opportunistes, choisissent le moment où les entreprises sont distraites pour lancer leurs campagnes. Dans notre rapport 2025 sur les risques liés aux ransomwares pendant les vacances, les personnes interrogées ont indiqué que 52 % des attaques par ransomware avaient lieu pendant un week-end ou un jour férié, et 60 % faisaient suite à des événements importants pour l'entreprise, tels que des fusions et acquisitions.
Par ailleurs, même si la plupart des entreprises interrogées disposent d'un centre d'opérations de sécurité (SOC), 78 % d'entre elles réduisent leurs effectifs SOC de plus de 50 % pendant les week-ends et les jours fériés, et 6 % déclarent ne disposer d'aucune couverture SOC pendant ces périodes.
C'est une lacune dans la couverture que vous pouvez combler.
Pour un RSSI qui lutte contre les ransomwares en 2026, une cyber-résilience efficace nécessite non seulement des défenses robustes contre les ransomwares, mais aussi un plan de réponse aux crises qui permette un rétablissement rapide vers un état fiable.
Le piège du « nous avons un plan »
La plupart des entreprises peuvent affirmer : « Nous avons un plan de gestion des crises informatiques. » Dans notre étude intitulée État de préparation des entreprises face aux cybercrise, 96 % des organisations déclarent en disposer.
Pourtant, 71 % ont encore subi au moins un cyberincident qui a interrompu des fonctions commerciales essentielles, et 90 % ont activé des équipes de crise au cours des 12 derniers mois.
L'écart ne réside pas dans l'intention, mais dans l'exécution : 90 % des équipes ont signalé des obstacles majeurs à une réponse efficace aux incidents cybernétiques.
La solution réside dans la centralisation, l'orchestration et beaucoup de pratique.
Votre équipe de sécurité doit disposer de solides capacités de défense et de surveillance. Elle doit également avoir pleinement confiance dans son processus de récupération d'identité. Disposer d'un centre de commande hors bande (tel que le Ready1 ) où votre personnel, vos processus et votre technologie sont unifiés vous permet non seulement de planifier votre réponse aux incidents, mais aussi de vous y préparer.
En l'absence d'un engagement permanent avec des professionnels expérimentés en matière de réponse aux incidents, les équipes élaborent souvent leurs plans sur la base d'hypothèses plutôt que sur les menaces et les tendances du monde réel. Cette lacune devient douloureusement évidente lors d'un incident réel.
Jeff Wichman, directeur de la réponse aux incidents, Semperis
Pourquoi le risque lié à la récupération d'identité devrait figurer sur votre première diapositive destinée au conseil d'administration
Trop souvent, les organisations se concentrent sur la protection des données et les sauvegardes, au détriment de la planification de la reprise après sinistre. Les mesures défensives sont essentielles, cela ne fait aucun doute, et elles peuvent réduire la probabilité d'une attaque réussie par un ransomware. Mais la défense n'est qu'une partie de l'équation. L'identité est le premier vecteur d'attaque, et la première chose que vous devez restaurer.
Traduisons cela en termes commerciaux. Tous les systèmes de votre entreprise dépendent de l'infrastructure d'identité, des applications aux opérations en passant par les personnes, les systèmes, les services et les ressources de l'entreprise, tant dans les environnements sur site que dans le cloud.
Si le système d'identité tombe en panne, tout ce qui en dépend échoue. Cela signifie que la perte du système d'identité représente un risque élevé pour l'entreprise et que la restauration du système d'identité est une priorité dans le plan de réponse aux crises de l'entreprise.
Une reprise intègre, c'est-à-dire le rétablissement de la fiabilité de l'AD et de l'Entra ID, est la condition préalable à la restauration rapide des applications, des accès et des opérations génératrices de revenus.
L'indicateur à retenir pour 2026 : le temps nécessaire pour nettoyer la récupération de l'identité de l'état et la réduction associée du temps d'arrêt.
Résilience identitaire : améliorer la posture de sécurité et la reprise après sinistre
Vous avez probablement adopté détection et réponse aux menaces d'identité (ITDR) en principe. Mais les lacunes dans l'exécution sont le terrain de jeu des attaquants. De nombreuses organisations ne disposent pas de plans de récupération d'identité exécutables et ne mettent pas en œuvre de mesures correctives cohérentes. Seulement :
- 66 % déclarent disposer d'un plan de reprise après sinistre.
- 55 % ont un plan de récupération d'identifiant Entra
- 63 % automatisent la récupération du système d'identité
- 45 % ont mis en place des procédures pour remédier aux vulnérabilités liées à l'identité.
Ces chiffres sont un cadeau pour n'importe quel adversaire.
En matière de sécurité des identités, le rapport Purple Knight de cette année Purple Knight montre pourquoi les erreurs de configuration persistent. La note moyenne initiale en matière de sécurité rapportée en 2025 était de 61 sur 100, soit une note proche de l'échec. Il ne s'agit pas seulement d'un risque cybernétique, mais aussi d'un risque pour la mission.
La bonne nouvelle : les équipes qui ont appliqué les recommandations de correction fournies par l'outil ont amélioré leur score de 21 points en moyenne, avec des améliorations maximales de 61 points, ce qui prouve que vous pouvez afficher des progrès mesurables d'un trimestre à l'autre.
Ce qu'il faut changer pour 2026 : des mesures pragmatiques et prêtes à être adoptées par le conseil d'administration
Vous n'avez pas besoin de 30 priorités. Vous avez besoin des cinq bonnes.
- Réduisez votre surface d'attaque identitaire. Malgré tout le battage médiatique, la plupart des pirates utilisent un petit nombre de techniques éprouvées pour compromettre les systèmes d'identité. Le fait de les éliminer peut donc réduire considérablement votre exposition. Établissez une cadence pour détecter et corriger les indicateurs d'exposition et de compromission (IOE et IOC) dans l'AD hybride à l'aide de directives hiérarchisées. Purple Knight montrent une amélioration crédible et communicable que les conseils d'administration comprennent.
- Faites de la restauration de l'identité dans un état propre votre point d'ancrage RTO. Documentez, automatisez et testez la restauration AD et Entra ID dans un état fiable , et pas seulement dans un état opérationnel. Suivez votre objectif de temps de restauration (RTO) et votre objectif de point de restauration (RPO) pour l'identité en tant que mesures commerciales de premier ordre ; liez-les directement au temps d'arrêt évité.
- Restez vigilant pendant les périodes de distraction. Considérez les week-ends, les jours fériés et les événements importants de l'entreprise comme des périodes à haut risque. Les données montrent que les pirates informatiques sont déjà présents pendant ces périodes où la couverture est la moins importante. Préautorisez les seuils de décision, définissez les rotations des permanences et préparez des communications hors bande.
- Améliorez vos exercices sur table. Impliquez les équipes juridiques, financières, de continuité des activités et de reprise après sinistre, car elles joueront un rôle essentiel en cas de situation réelle. N'oubliez pas que les équipes de crise ont été activées dans 90 % des organisations l'année dernière. Entraînez-vous comme s'il s'agissait d'une certitude, et non d'une possibilité.
- Passer du chaos au contrôle. Les plans échouent sous la pression lorsque les communications se fragmentent et que les outils se multiplient, d'où le décalage dans l'exécution, même parmi les organisations qui « ont un plan ». Centralisez la coordination de crise et la collecte de preuves. Et établissez des rôles et des responsabilités clairs.
Comment mettre à profit les recherches sur les ransomwares (ce trimestre)
Si vous souhaitez obtenir immédiatement l'adhésion de votre équipe de direction :
- Partagez les visuels exécutifs du rapport 2025 Ransomware Risk Report, en particulier les diapositives sur la compromission d'identité et le temps de récupération, et fixez des engagements en matière de RTO et de RPO pour l'identité.
- Utilisez le rapport sur les risques liés aux ransomwares pendant les vacances pour mettre en place une couverture temporaire supplémentaire pour la prochaine vague de week-ends et de jours fériés et pour renforcer la gouvernance en matière de fusions-acquisitions, d'introductions en bourse et de licenciements.
- Commandez une analyse rapide de votre posture identitaire avec Purple Knight; affichez votre score actuel et le plan d'amélioration avec les dates et les responsables. C'est un moyen simple et crédible de démontrer votre dynamisme et votre retour sur investissement.
- Réorganisez vos exercices de gestion de crise afin d'y inclure les parties prenantes non techniques qui déterminent en réalité la rapidité de la prise de décision et la confiance des autorités de régulation. La communication inter-équipes constitue un obstacle majeur ; commencez par identifier une plateforme complète de gestion de crise hors réseau, telle que Ready1.
Restez humain et mesurable
Oui, nous avons constaté une légère amélioration dans le taux de réussite des attaques par ransomware cette année. Mais les vérités immuables demeurent : la compromission de l'infrastructure d'identité est le moyen le plus rapide d'avoir un impact significatif sur l'activité, et l'intégrité de la récupération est le goulot d'étranglement qui détermine la durée de votre interruption.
Le pivot pour 2026 n'est pas d'en faire plus dans tous les domaines, mais plutôt de se concentrer avec précision sur la résilience identitaire et les moments importants où les adversaires continuent de gagner.
Vous êtes déjà à l'avant-garde. Les équipes que vous protégez donnent le meilleur d'elles-mêmes lorsque la voie est claire et les indicateurs honnêtes. En 2026, cela se traduira par moins de fenêtres surprises, moins de portes dérobées d'identité, une restauration plus rapide de l'état propre et des communications plus confiantes lorsque la pression monte.
C'est la résilience que votre conseil d'administration ressentira et dont votre entreprise tirera profit.
Ressources à partager avec votre équipe de direction
- Rapport 2025 sur les risques liés aux ransomwares (étude mondiale menée auprès de 1 500 responsables informatiques/sécurité)
- Rapport 2025 sur les risques liés aux ransomwares pendant les fêtes (informations sur le calendrier et les effectifs)
- Purple Knight 2025 (références et améliorations en matière d'identité)
- L'état de préparation des entreprises face aux cybercrise (pourquoi les plans échouent sous pression et comment y remédier)
- Repenser la gestion des crises cybernétiques : pourquoi les plans échouent (éviter la paralysie décisionnelle en cas de crise)
- Restauration des identités et gestion de crise : deux éléments indissociables de la gestion des incidents (coordination de la gestion des incidents en cas de panne des identités)
