Selon Google Cloud (rapport « Cybersecurity Forecast 2026 »), ce panorama rassemble des tendances observées en 2025 et projette les menaces majeures de 2026, couvrant l’IA offensive/défensive, la cybercriminalité, l’OT/ICS et les opérations de Russie, Chine, Iran et Corée du Nord.

• IA et menace émergente: Les acteurs adopteront massivement l’IA pour accélérer les opérations (social engineering, opérations d’influence, développement de malware). Les agents IA automatiseront des étapes entières d’attaque. Les attaques de prompt injection visant à détourner les modèles et leurs garde-fous devraient augmenter. Le vishing intégrera la clonage de voix pour des usurpations réalistes, tandis que l’IAM devra évoluer vers une gestion d’identités agentiques. 🧠🤖

• Défense et gouvernance: Les SOC passeront à un modèle « Agentic SOC » où les analystes valident des enquêtes pré-corrélées par IA. Le risque de Shadow Agent (agents déployés hors contrôle) deviendra critique, posant des enjeux de fuite de données et de conformité.

• Cybercriminalité: Le ransomware combiné à la double extorsion et autres leviers restera le plus disruptif. En Q1 2025, 2 302 victimes ont été listées sur des DLS, reflet d’un écosystème mature; les groupes ciblent MFT/fournisseurs tiers et exploitent des zero-days. Les techniques de vishing et d’ingénierie sociale pour contourner l’MFA devraient croître.

• Économie on-chain: L’adoption de la crypto et des actifs tokenisés favorise un essor du crime on-chain. Attaques contre DeFi/exchanges, possibles migrations d’opérations vers la blockchain (ex. EtherHiding, C2 dynamiques, exfiltration décentralisée, monétisation via tokens) renforcent la résilience des campagnes, tout en laissant des traces publiques utiles à l’attribution. 🌐🧩

• Virtualisation, ICS/OT: Les adversaires viseront l’infrastructure de virtualisation (ex. hyperviseurs/ESXi), angle mort EDR, pour chiffrer massivement les disques de VM et paralyser rapidement les environnements. Dans l’OT/ICS, la menace principale reste le ransomware impactant les couches métiers (ERP), avec des risques persistants via accès distants mal sécurisés. 🏭

• États-nations:

  • Russie: recentrage sur des objectifs stratégiques globaux, espionnage durable, IO pro-russes (élections, narratifs), et menace hacktiviste OT.
  • Chine: volume supérieur, accent sur la furtivité, edge devices, zero-days, fournisseurs tiers, intérêt fort pour le semiconductor.
  • Iran: appareil résilient, mêlant espionnage, perturbation, hacktivisme, financier; risque de wipers; IO via sites d’actualité inauthentiques, contenus générés par IA, et Telegram.
  • Corée du Nord: poursuite des vols crypto (record ~1,5 Md$ en 2025), leurres (fausses pages d’« hiring assessment »), deepfakes, expansion des travailleurs IT à l’étranger, reconnaissance cloud pour localiser et voler des actifs.

IOCs et TTPs:

  • IOCs: non fournis.
  • TTPs principaux: prompt injection, vishing avec clonage de voix, deepfakes, exploitation de zero-days, ciblage edge devices, chaîne d’approvisionnement (fournisseurs/MFT), mass encryption au niveau hyperviseur/VM, C2 on-chain et exfiltration décentralisée, EtherHiding, contournement MFA via ingénierie sociale, reconnaissance cloud, wipers, IO proactives (sites inauthentiques, contenus IA, Telegram).

Conclusion: Il s’agit d’un rapport de tendances et d’analyse de menace visant à cadrer les risques clés de 2026 et à éclairer les priorités des défenseurs.

🧠 TTPs et IOCs détectés

TTP

prompt injection, vishing avec clonage de voix, deepfakes, exploitation de zero-days, ciblage edge devices, chaîne d’approvisionnement (fournisseurs/MFT), mass encryption au niveau hyperviseur/VM, C2 on-chain et exfiltration décentralisée, EtherHiding, contournement MFA via ingénierie sociale, reconnaissance cloud, wipers, IO proactives (sites inauthentiques, contenus IA, Telegram)

IOC

non fournis

🔗 Source originale : https://cloud.google.com/security/resources/cybersecurity-forecast