Les cas de réponse à incident (IR) et de détection et réponse managées (MDR) analysés par Sophos indiquent que les cyberattaquants exfiltrent des données en seulement trois jours.

Les identifiants compromis constituent l’origine des attaques pour la deuxième année consécutive.

PARIS, FR — avril 2, 2025 —

Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques,publie ce jour l’édition 2025 de son rapport Active Adversary. Ce document étudie en détail le comportement des cyberattaquants et les techniques utilisées en s’appuyant sur plus de 400 cas de détection et réponse managées (MDR) et de réponse à incident (IR) analysés en 2024. Selon ce rapport, le pourcentage des entreprises qui n’ont pas activé une fonction d’authentification multifactorielle (MFA) a pratiquement triplé entre 2022 et 2024, passant de 22 % à 63 %. Cette évolution coïncide avec le fait que les identifiants compromis représentent pour la deuxième année consécutive la première cause d’attaque (41 % des cas).

L’utilisation malveillante d’identifiants compromis apparaît clairement au niveau du point d’accès initial le plus fréquemment utilisé : les services distants externes. Dans 71 % des cas en effet, les cyberattaquants pénètrent à l’intérieur des réseaux par l’intermédiaire de ce type de service au travers d’appareils connectés en périphérie de réseau (pare-feu et VPN, par exemple). Dans 79 % de ces cas, les cyberattaquants sont parvenus à exploiter des services distants externes en utilisant des identifiants compromis.

Comprendre la vitesse des attaques

Lors de l’analyse des enquêtes MDR et IR, l’équipe Sophos X-Ops a spécifiquement examiné des cas de rançongiciel (ransomware), d’exfiltration de données et d’extorsion de données dans le but de mesurer la rapidité à laquelle les pirates progressent au fil des étapes de leur attaque. Dans ces trois cas, le temps moyen entre le début d’une agression et l’exfiltration des données est de seulement 72,98heures, soit 3,04jours, tandis que le délai moyen entre l’exfiltration et la détection de l’attaque est de seulement 2,7heures.

«La sécurité passive n’est plus suffisante. Si la prévention est essentielle, une réaction rapide l’est tout autant. Les entreprises doivent surveiller activement les réseaux et agir avec célérité en fonction des données de télémétrie observées. Les attaques coordonnées par des adversaires motivés nécessitent elles aussi une défense coordonnée. Pour de nombreuses entreprises, il s’agit de combiner des connaissances propres à leur activité et des fonctions de détection et réponse pilotées par des experts. Notre rapport le confirme: les entreprises qui ont recours à une surveillance proactive sont en mesure de détecter les attaques plus rapidement et d’obtenir de meilleurs résultats», explique John Shier, Field CISO, Sophos.

Autres enseignements du rapport 2025 Sophos Active Adversary :

  • Onze heures suffisent à des cyberattaquants pour prendre le contrôle d’un système IT : le temps médian entre l’action initiale d’un cyberattaquant et sa première tentative (souvent fructueuse) de violation du service d’annuaire Active Directory (AD) — sans doute l’un des actifs les plus importants de tout réseau Windows — est de seulement onze heures. En cas de succès, le cyberattaquant peut sans grande difficulté prendre le contrôle de l’entreprise.
  • Principaux groupes de ransomwares identifiés par Sophos : Akira est le groupe de ransomwares le plus fréquemment rencontré en 2024, suivi par Fog et LockBit (malgré son démantèlement par les forces de l’ordre de plusieurs pays début 2024).
  • Le temps d’exposition n’est plus que de 2 jours, en grande partie grâce aux outils de détection et réponse managées (MDR) : de manière générale, le temps d’exposition, c’est-à-dire le délai qui s’écoule entre le début d’une cyberattaque et sa détection, est passé de 4jours à seulement 2jours en 2024, essentiellement grâce à l’ajout de cas de MDR dans l’ensemble de données.
  • Temps d’exposition dans les cas de réponse à incidents (IR) : le temps d’exposition est resté stable: 4jours dans le cas des attaques de ransomware et 11,5jours dans les autres cas.
  • Temps d’exposition dans les cas de détection et réponse managées (MDR) : dans les analyses de cas MDR, le temps d’exposition est de seulement 3 jours pour les attaques de ransomware et de 1jour pour les autres cas, ce qui laisse entendre que les équipes MDR sont capables de détecter les attaques et d’y répondre plus rapidement.
  • Les groupes de ransomwares travaillent jour et nuit : en 2024, 84 % des binaires de ransomwares ont été déposés dans les entreprises ciblées en dehors des heures ouvrables.
  • Le protocole RDP demeure un vecteur de choix : le protocole RDP (Remote Desktop Protocol) était impliqué dans 84 % des cas MDR/IR, ce qui en fait l’outil Microsoft le plus fréquemment utilisé.

Pour lire l’intégralité du rapport It Takes Two : The 2025 Sophos Active Adversary Report, rendez-vous sur Sophos.com.

Pour en savoir plus

À propos de Sophos

Sophos est un leader mondial innovant dans le domaine des solutions de sécurité avancées qui neutralisent les cyberattaques. La Société a fait l’acquisition de Secureworks en février 2025, réunissant ainsi deux pionniers qui ont redéfini l’industrie de la cybersécurité grâce à leurs services, technologies et produits innovants, optimisés par l’intelligence artificielle native. 
Sophos est désormais le plus grand fournisseur spécialisé de services de détection et réponse managées (MDR) protégeant plus de 28,000 organisations à travers et d’autres services, son portefeuille complet comprend les solutions de sécurité de pointe pour les endpoints, les réseaux, les emails et le cloud, qui interagissent et s’adaptent dynamiquement pour assurer une défense efficace via la plateforme Sophos Central.  
Secureworks apporte à cette alliance ses technologies innovantes et leaders sur le marché, notamment Taegis XDR/MDR, la détection et réponse aux menaces sur l’identité (ITDR), des capacités SIEM nouvelle génération, la gestion des risques ainsi qu’un ensemble complet de services de conseil en cybersécurité.  
Sophos commercialise l’ensemble de ces solutions à travers un réseau mondial de revendeurs, de fournisseurs de services managés (MSP) et de fournisseurs de services de sécurité managés (MSSP), protégeant plus de 600 000 entreprises contre le phishing, les ransomwares, le vol de données et d’autres cybermenaces, qu’elles soient quotidiennes ou menées par des Etats-nations.  
Toutes les solutions sont alimentées par des renseignements sur les menaces en temps réel et historiques issus de Sophos X-Ops et de la Counter Threat Unit (CTU) récemment intégrée.  
Le siège social de Sophos est situé à Oxford, au Royaume-Uni. Pour plus d’informations, consultez le site sophos.fr.