Les incidents analysés par Unit 42 montrent une bascule nette : les intrusions ne reposent plus d’abord sur l’exploitation d’une faille technique, mais sur la compromission d’identités et la combinaison de plusieurs surfaces d’attaque. L’IA accélère encore cette dynamique, réduisant le temps entre l’accès initial et l’impact opérationnel.
L’identité, nouveau point d’entrée systémique
Les investigations menées par Unit 42 (de Palo Alto Networks) sur plus de 750 incidents majeurs survenus dans le monde dressent un constat sans ambiguïté : l’identité est devenue le vecteur d’intrusion dominant. Dans la grande majorité des cas analysés, les attaquants s’appuient sur des identifiants compromis, des contournements de mécanismes d’authentification multifacteur ou des sessions détournées pour pénétrer les environnements.
Ce déplacement du centre de gravité est structurant. L’attaque ne consiste plus prioritairement à forcer un périmètre réseau, mais à exploiter une confiance mal maîtrisée dans les comptes, les permissions et les mécanismes d’authentification. Les failles ne sont pas toujours spectaculaires : contrôles partiels, visibilité insuffisante, privilèges excessifs. Dans plus de 90 % des incidents étudiés, des lacunes considérées comme évitables ont facilité la progression des attaquants.
Multi-surface par défaut
Autre enseignement majeur : l’intrusion moderne est rarement linéaire. Dans 87 % des cas, plusieurs surfaces sont impliquées. Réseaux, terminaux, environnements SaaS, navigateurs ou infrastructures cloud s’entremêlent dans des scénarios où les attaquants exploitent les interconnexions plutôt que les silos.
Cette hybridation complexifie la détection et la réponse. L’attaque circule d’un environnement à l’autre, profite des intégrations tierces et des dépendances logicielles, et élargit la surface d’exposition bien au-delà des seules vulnérabilités techniques. Les risques liés à la chaîne logistique logicielle et aux outils connectés renforcent encore cette dynamique, en multipliant les points d’entrée indirects.
Le rapport souligne également l’évolution des tactiques de certains acteurs étatiques, qui adaptent leurs méthodes aux environnements modernes et tirent parti de ces architectures interconnectées.
L’IA, accélérateur de tempo
L’intelligence artificielle agit comme un multiplicateur de vitesse. Elle automatise certaines phases de l’attaque et réduit drastiquement le délai entre l’accès initial et l’exfiltration de données. Le facteur temps devient central : moins l’intrusion reste détectable, plus l’impact peut être rapide et étendu.
Dans ce contexte, les équipes sont confrontées à des attaques qui évoluent vite, se déplacent entre plusieurs surfaces et exploitent la moindre faiblesse de gouvernance des identités. Le rapport insiste ainsi sur la nécessité de renforcer les contrôles d’accès, de limiter les permissions et de durcir l’écosystème applicatif et ses intégrations.
L’attaque moderne ne cherche plus à briser une frontière unique. Elle s’insinue dans les identités, traverse les environnements et exploite les liens invisibles entre systèmes.
