{"id":150636,"date":"2025-07-30T06:18:53","date_gmt":"2025-07-30T13:18:53","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=150636"},"modified":"2025-08-07T06:45:38","modified_gmt":"2025-08-07T13:45:38","slug":"2025-unit-42-global-incident-response-report-social-engineering-edition","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/","title":{"rendered":"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale"},"content":{"rendered":"<h2>Avant-propos<\/h2>\n<p>En 2025, l\u2019ing\u00e9nierie sociale s\u2019impose comme l\u2019une des m\u00e9thodes d\u2019intrusion les plus fiables, \u00e9volutives et impactantes, pour cinq raisons cl\u00e9s :<\/p>\n<ol>\n<li>L\u2019ing\u00e9nierie sociale est rest\u00e9e le principal vecteur d\u2019acc\u00e8s initial dans les cas d\u2019intervention de Unit\u00a042 entre mai\u00a02024 et mai\u00a02025. Ces attaques ont syst\u00e9matiquement contourn\u00e9 les contr\u00f4les techniques en ciblant les flux de travail humains, en exploitant la confiance et en manipulant les syst\u00e8mes d\u2019identit\u00e9. Plus d\u2019un tiers des incidents d\u2019ing\u00e9nierie sociale impliquaient des techniques autres que l\u2019hame\u00e7onnage, telles que le r\u00e9f\u00e9rencement manipul\u00e9 (empoisonnement SEO), de fausses invites syst\u00e8me et la manipulation des services d\u2019assistance.<\/li>\n<li>Les attaques \u00e0 forte interaction humaine sont en hausse. Des acteurs de la menace comme Muddled Libra contournent l\u2019authentification multifacteur (MFA) et exploitent les processus d\u2019assistance informatique pour escalader les privil\u00e8ges en quelques minutes, souvent sans utiliser de malwares. Dans un cas, un acteur de la menace est pass\u00e9 d\u2019un acc\u00e8s initial \u00e0 un compte administrateur de domaine en moins de 40\u00a0minutes, en utilisant uniquement des outils int\u00e9gr\u00e9s et des pr\u00e9textes sociaux.<\/li>\n<li>Une faible couverture de d\u00e9tection et la fatigue li\u00e9e aux alertes demeurent des facteurs cl\u00e9s facilitant ces attaques. Dans de nombreux cas, les attaques par ing\u00e9nierie sociale ont r\u00e9ussi non pas gr\u00e2ce \u00e0 des techniques m\u00e9tier sophistiqu\u00e9es, mais parce que les organisations ont manqu\u00e9 ou mal classifi\u00e9 des signaux critiques. Ce probl\u00e8me \u00e9tait particuli\u00e8rement marqu\u00e9 dans les processus de r\u00e9cup\u00e9ration d\u2019identit\u00e9 et les mouvements lat\u00e9raux.<\/li>\n<li>Les perturbations commerciales r\u00e9sultant de ces attaques ne cessent de s\u2019intensifier. Plus de la moiti\u00e9 des incidents d\u2019ing\u00e9nierie sociale ont entra\u00een\u00e9 une exposition de donn\u00e9es sensibles, tandis que d\u2019autres ont provoqu\u00e9 des interruptions de services critiques ou affect\u00e9 la performance globale des organisations. Ces attaques \u00e0 grande vitesse sont con\u00e7ues pour g\u00e9n\u00e9rer des gains financiers importants tout en n\u00e9cessitant une infrastructure minimale et en limitant les risques.<\/li>\n<li>L\u2019intelligence artificielle (IA) acc\u00e9l\u00e8re \u00e0 la fois l\u2019ampleur et le r\u00e9alisme des campagnes d\u2019ing\u00e9nierie sociale. Les acteurs de la menace utilisent d\u00e9sormais l\u2019IA g\u00e9n\u00e9rative pour cr\u00e9er des leurres personnalis\u00e9s, cloner la voix des dirigeants lors d\u2019arnaques par rappel et maintenir une interaction en direct lors des campagnes d\u2019usurpation d\u2019identit\u00e9.<\/li>\n<\/ol>\n<p>Sous ces tendances se cachent trois facteurs syst\u00e9miques\u00a0: <strong>l\u2019acc\u00e8s surautoris\u00e9<\/strong>, <strong>les lacunes en mati\u00e8re de visibilit\u00e9 comportementale<\/strong> <strong>et la validation insuffisante de l\u2019identit\u00e9 des utilisateurs dans les processus humains<\/strong>. Les syst\u00e8mes d\u2019identit\u00e9, les protocoles du service d\u2019assistance et les validations acc\u00e9l\u00e9r\u00e9es sont r\u00e9guli\u00e8rement exploit\u00e9s par des acteurs de la menace imitant des activit\u00e9s courantes.<\/p>\n<p>Pour contrer ce ph\u00e9nom\u00e8ne, les responsables de la s\u00e9curit\u00e9 doivent aller au-del\u00e0 de la simple sensibilisation des utilisateurs et reconna\u00eetre l\u2019ing\u00e9nierie sociale comme une menace syst\u00e9mique centr\u00e9e sur l\u2019identit\u00e9. Cette transition requiert les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>Mise en \u0153uvre de l\u2019analyse comportementale et de la d\u00e9tection et de la r\u00e9ponse aux menaces li\u00e9es \u00e0 l\u2019identit\u00e9 (ITDR) pour d\u00e9tecter de mani\u00e8re proactive l\u2019utilisation abusive des informations d\u2019identification<\/li>\n<li>S\u00e9curisation des processus de r\u00e9cup\u00e9ration de l\u2019identit\u00e9 et application de l\u2019acc\u00e8s conditionnel<\/li>\n<li>Expansion des principes Zero Trust pour englober les utilisateurs, et pas seulement les p\u00e9rim\u00e8tres r\u00e9seau<\/li>\n<\/ul>\n<p>L\u2019ing\u00e9nierie sociale fonctionne non pas parce que les attaquants sont sophistiqu\u00e9s, mais parce que les individus accordent encore trop facilement leur confiance, mettant ainsi en p\u00e9ril la s\u00e9curit\u00e9 des organisations.<\/p>\n<h2><a id=\"post-150636-_heading=h.zcfik7c3lve4\"><\/a>Introduction<\/h2>\n<p>L\u2019ing\u00e9nierie sociale continue de dominer le paysage des menaces<s>.<\/s> Au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e, plus d\u2019un tiers des cas de r\u00e9ponse \u00e0 incident trait\u00e9s par notre \u00e9quipe ont commenc\u00e9 par une tactique d\u2019ing\u00e9nierie sociale. Ces intrusions ne reposaient ni sur des vuln\u00e9rabilit\u00e9s zero-day ni sur des malwares sophistiqu\u00e9s. Elles ont exploit\u00e9 la confiance. Les attaquants ont contourn\u00e9 les contr\u00f4les en usurpant l\u2019identit\u00e9 d\u2019employ\u00e9s, en manipulant les workflows et en tirant parti des lacunes dans la gestion de l\u2019identit\u00e9 et des interactions humaines au sein des organisations.<\/p>\n<p>Ce qui frappe cette ann\u00e9e, c\u2019est la rapidit\u00e9 avec laquelle ces attaques \u00e9voluent. Unit\u00a042 suit deux mod\u00e8les distincts, tous deux con\u00e7us pour contourner les contr\u00f4les en imitant les activit\u00e9s de confiance\u00a0:<\/p>\n<ul>\n<li><strong>Compromis de haut niveau<\/strong> qui cible des individus sp\u00e9cifiques en temps r\u00e9el. Les acteurs de la menace se font passer pour des employ\u00e9s, exploitent les services helpdesk et escaladent les privil\u00e8ges sans d\u00e9ployer de malwares, souvent en utilisant des leurres vocaux, des pr\u00e9textes en direct et des donn\u00e9es d\u2019identit\u00e9 vol\u00e9es.<\/li>\n<li><strong>Tromperie \u00e0 grande \u00e9chelle<\/strong>, y compris les campagnes de type ClickFix, l\u2019empoisonnement SEO, les fausses invites de navigateur et les leurres combin\u00e9s pour d\u00e9clencher des compromissions initi\u00e9es par l\u2019utilisateur sur plusieurs appareils et plateformes.<\/li>\n<\/ul>\n<p>Ces cas ne sont pas des exceptions. Il s\u2019agit de techniques reproductibles et fiables que les attaquants perfectionnent semaine apr\u00e8s semaine. L\u2019une des tendances les plus r\u00e9v\u00e9latrices que nous ayons observ\u00e9es est l\u2019augmentation des vecteurs autres que l\u2019hame\u00e7onnage. Il s\u2019agit notamment de leurres vocaux, d\u2019alertes de navigateur usurp\u00e9es et de manipulation directe des \u00e9quipes d\u2019assistance. Dans de nombreux environnements, ces tactiques permettent aux attaquants de passer inaper\u00e7us, d\u2019exfiltrer des donn\u00e9es et de causer des dommages op\u00e9rationnels importants.<\/p>\n<p>Ce rapport rassemble les informations fournies par les chercheurs en menaces de Unit\u00a042, les donn\u00e9es t\u00e9l\u00e9m\u00e9triques issues d\u2019intrusions r\u00e9elles et les analyses des premi\u00e8res lignes de notre pratique mondiale de r\u00e9ponse \u00e0 incident (IR). L\u2019objectif de ce rapport est de vous aider \u00e0 comprendre comment l\u2019ing\u00e9nierie sociale fonctionne r\u00e9ellement en 2025 et ce qu\u2019il faut faire pour la stopper.<\/p>\n<p>Une chose est claire\u00a0\u2013 les attaquants ne se contentent pas de pirater les syst\u00e8mes\u00a0: ils piratent des individus.<\/p>\n<h2><a id=\"post-150636-_heading=h.khlwwv30a6uv\"><\/a>Compromis \u00e0 fort impact et \u00e0 forte interaction<\/h2>\n<h3><a id=\"post-150636-_heading=h.iczi7uf2nc7j\"><\/a><strong>Abus de confiance : comment les attaquants op\u00e8rent-ils ?<\/strong><\/h3>\n<p>Une cat\u00e9gorie croissante d\u2019attaques cible les individus en utilisant une manipulation sur mesure en temps r\u00e9el, souvent au sein de grandes entreprises o\u00f9 les syst\u00e8mes d\u2019identit\u00e9 et les workflows humains sont plus complexes. Ces organisations pr\u00e9sentent un ensemble plus riche de points d\u2019acc\u00e8s, allant des plateformes d\u2019identit\u00e9 f\u00e9d\u00e9r\u00e9es aux op\u00e9rations d\u2019assistance d\u00e9centralis\u00e9es, que les attaquants exploitent pour escalader discr\u00e8tement leurs privil\u00e8ges. La taille et la complexit\u00e9 des entreprises font qu\u2019il est plus facile pour les activit\u00e9s malveillantes de se fondre dans les demandes courantes, ce qui augmente le temps de d\u00e9tection.<\/p>\n<p>Les op\u00e9rations \u00e0 fort impact sont souvent motiv\u00e9es par des raisons financi\u00e8res, par des acteurs de la menace qui investissent du temps et de la recherche pour franchir les d\u00e9fenses de l\u2019identit\u00e9 sans d\u00e9clencher d\u2019alertes. Ils se font passer pour des employ\u00e9s, exploitent la confiance et passent rapidement d\u2019un acc\u00e8s de niveau utilisateur \u00e0 un contr\u00f4le privil\u00e9gi\u00e9. Nous avons enqu\u00eat\u00e9 sur de nombreux cas \u00e0 fort impact o\u00f9 des attaquants ont contourn\u00e9 l\u2019authentification multifacteur et convaincu le personnel du service d\u2019assistance de r\u00e9initialiser les informations d\u2019identification. Dans un cas r\u00e9cent, l\u2019attaquant est pass\u00e9 de l\u2019acc\u00e8s initial \u00e0 l\u2019obtention des droits d\u2019administrateur de domaine en quelques minutes, sans d\u00e9ployer le moindre malware.<\/p>\n<p>Des groupes tels que <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/muddled-libra-fr\/\" target=\"_blank\" rel=\"noopener\">Muddled Libra<\/a>, une organisation criminelle mondiale motiv\u00e9e financi\u00e8rement, illustrent parfaitement ce mod\u00e8le. Au lieu de proc\u00e9der \u00e0 un hame\u00e7onnage g\u00e9n\u00e9ral, ces attaquants identifient le personnel cl\u00e9, \u00e9tablissent un profil \u00e0 l\u2019aide de donn\u00e9es publiques et se font passer pour eux de mani\u00e8re convaincante. Ces groupes obtiennent ainsi un acc\u00e8s en profondeur, un contr\u00f4le \u00e9tendu des syst\u00e8mes et la possibilit\u00e9 de rentabiliser rapidement les attaques.<\/p>\n<p>Certaines op\u00e9rations \u00e0 forte intensit\u00e9 de contact ne sont pas ax\u00e9es sur le profit. Nous avons \u00e9galement rep\u00e9r\u00e9 des acteurs \u00e9tatiques qui utilisent des tactiques similaires pour l\u2019espionnage et l\u2019infiltration strat\u00e9gique. Campagnes attribu\u00e9es \u00e0 des acteurs de la menace \u00e9tatiques, tels que des agents affili\u00e9s \u00e0 l\u2019Iran. <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/agent-serpens-fr\/\" target=\"_blank\" rel=\"noopener\">Agent Serpens<\/a> et des <a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-assessment-north-korean-threat-groups-2024\/\" target=\"_blank\" rel=\"noopener\">groupes de menace de Cor\u00e9e du Nord<\/a> se sont appuy\u00e9s sur des identit\u00e9s institutionnelles usurp\u00e9es, des leurres sur mesure et des documents contrefaits pour compromettre des cibles diplomatiques et du secteur public.<\/p>\n<h4><a id=\"post-150636-_heading=h.mg4843roiohz\"><\/a>Profil n\u00b0\u00a01\u00a0: Muddled Libra<\/h4>\n<p>Parmi les acteurs financi\u00e8rement motiv\u00e9s, rares sont ceux qui ont fait preuve de la pers\u00e9v\u00e9rance, de la capacit\u00e9 d\u2019adaptation et de l\u2019aisance technique de Muddled\u00a0Libra.<\/p>\n<p>Muddled Libra op\u00e8re au sein d\u2019un groupe d\u2019acteurs plus large. Ces acteurs de la menace sont motiv\u00e9s financi\u00e8rement et contournent les contr\u00f4les techniques en exploitant directement les syst\u00e8mes d\u2019identit\u00e9. Muddled Libra se distingue toutefois par sa pers\u00e9v\u00e9rance, sa rapidit\u00e9 et son savoir-faire humain.<\/p>\n<p>Le groupe ne se contente pas d\u2019hame\u00e7onner pour obtenir des informations d\u2019identification. Il se fait passer pour un employ\u00e9 en temps r\u00e9el, ciblant souvent le personnel du service d\u2019assistance pour r\u00e9initialiser l\u2019authentification multifacteur, s\u2019approprier les identit\u00e9s et acc\u00e9der aux syst\u00e8mes internes. Une fois \u00e0 l\u2019int\u00e9rieur, Muddled Libra s\u2019appuie sur des outils de surveillance et de gestion \u00e0 distance (RMM) pour maintenir un acc\u00e8s permanent et \u00e9tablir un contr\u00f4le.<\/p>\n<p>L'infrastructure de ce groupe est l\u00e9g\u00e8re et \u00e9vasive. En ce qui concerne le serveur de commande et contr\u00f4le (C2), nous avons observ\u00e9 une utilisation abusive r\u00e9p\u00e9t\u00e9e des services de tunneling, permettant au groupe d\u2019op\u00e9rer depuis l\u2019ext\u00e9rieur du p\u00e9rim\u00e8tre du r\u00e9seau sans d\u00e9clencher de signaux d\u2019alarme imm\u00e9diats.<\/p>\n<p>Les r\u00e9initialisations de l\u2019authentification multifacteur, l\u2019usurpation de cartes SIM et l\u2019utilisation abusive de signaux de confiance expos\u00e9s au public sont des sch\u00e9mas r\u00e9currents. Dans plusieurs cas, les attaquants ont recueilli des donn\u00e9es personnelles d\u00e9taill\u00e9es \u00e0 partir de sources telles que LinkedIn pour cr\u00e9er des identit\u00e9s convaincantes, augmentant ainsi leurs chances de contourner les \u00e9tapes de v\u00e9rification d\u2019identit\u00e9.<\/p>\n<table style=\"width: 98.8559%;\">\n<thead>\n<tr>\n<th style=\"width: 100%;\">\n<p style=\"text-align: left;\"><strong>Six outils et techniques cl\u00e9s employ\u00e9s par Muddled Libra :<\/strong><\/p>\n<ul>\n<li style=\"text-align: left;\">L'\u00e9change de cartes SIM pour intercepter les codes d'authentification bas\u00e9s sur les services de messages courts (SMS).<\/li>\n<li style=\"text-align: left;\">Des outils d'acc\u00e8s \u00e0 distance, notamment TeamViewer, ScreenConnect et Splashtop.<\/li>\n<li style=\"text-align: left;\">Des services de tunnellisation comme Ngrok et TryCloudflare pour \u00e9tablir des voies de commande et de contr\u00f4le furtives.<\/li>\n<li style=\"text-align: left;\">La r\u00e9colte d'informations d'identification par le biais du hame\u00e7onnage, de la reconnaissance et du profilage en source ouverte.<\/li>\n<li style=\"text-align: left;\">La reconnaissance sociale \u00e0 l'aide de LinkedIn et de donn\u00e9es publiques pour cr\u00e9er des personnages r\u00e9alistes.<\/li>\n<li style=\"text-align: left;\">L'interaction en direct avec les \u00e9quipes internes pour faire escalader l'acc\u00e8s en temps r\u00e9el.<\/li>\n<\/ul>\n<\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h4>Profil n\u00b0\u00a02\u00a0: Groupes \u00e9tatiques<\/h4>\n<p>L\u2019ing\u00e9nierie sociale \u00e0 forte interaction n\u2019est pas l\u2019apanage des groupes de cybercriminels. Les \u00c9tats-nations ont longtemps utilis\u00e9 des techniques m\u00e9tier en priorit\u00e9 pour obtenir un acc\u00e8s strat\u00e9gique, que ce soit pour l\u2019espionnage, la surveillance ou la perturbation g\u00e9opolitique. Les campagnes r\u00e9centes montrent que les intrusions men\u00e9es par les \u00c9tats refl\u00e8tent de plus en plus les m\u00eames m\u00e9thodes centr\u00e9es sur l\u2019identit\u00e9 que celles utilis\u00e9es dans les op\u00e9rations \u00e0 motivation financi\u00e8re.<\/p>\n<p>Campagnes de l'agent Serpens (<a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/iranian-cyberattacks-2025\/\" target=\"_blank\" rel=\"noopener\">Agent Serpens<\/a>) affili\u00e9 \u00e0 l'Iran dans lesquelles le groupe affili\u00e9 \u00e0 l'Iran s'est fait passer pour des institutions de confiance, livrant souvent des logiciels malveillants par le biais de courriels falsifi\u00e9s qui imitaient des flux de travail l\u00e9gitimes de partage de documents.<\/p>\n<p>Les <a href=\"https:\/\/unit42.paloaltonetworks.com\/threat-assessment-north-korean-threat-groups-2024\/\" target=\"_blank\" rel=\"noopener\"><strong>acteurs nord-cor\u00e9ens<\/strong><\/a> ont mis au point une variante distincte de la compromission de haut niveau, connue sous le nom de \u00ab\u00a0synthetic insiders\u00a0\u00bb (insiders synth\u00e9tiques). Dans le cadre de ces campagnes, les attaquants se font passer pour des candidats \u00e0 l\u2019emploi et utilisent de faux curriculum vitae (CV) et de fausses identit\u00e9s professionnelles pour obtenir un emploi \u00e0 distance dans les organisations cibles.<\/p>\n<h3>Acteurs de la menace et leurs tactiques, techniques et proc\u00e9dures (TTP)<\/h3>\n<p>Des intrusions \u00e0 but financier de Muddled Libra au ciblage strat\u00e9gique observ\u00e9 dans les campagnes de l'agent Serpens et de la Cor\u00e9e du Nord, les strat\u00e9gies de ces attaquants restent coh\u00e9rentes. Manipuler les gens, imiter la confiance et faire escalader l'acc\u00e8s sans d\u00e9clencher de d\u00e9tection.<\/p>\n<p><strong><img  class=\"alignnone wp-image-150771 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-table-1.png\" alt=\"Tableau \u00e9num\u00e9rant trois acteurs de la menace\u00a0: Muddled Libra, Agent Serpens et un acteur nord-cor\u00e9en, avec leurs motivations et tactiques. Muddled Libra, motiv\u00e9 par le gain financier, utilise l\u2019usurpation de cartes SIM et des malwares. Agent Serpens, motiv\u00e9 par l\u2019espionnage, utilise des partages de fichiers et des portails de documents usurp\u00e9s. L\u2019acteur nord-cor\u00e9en poursuit des objectifs de revenus et d\u2019espionnage, en utilisant des candidatures d\u2019emploi fictives et l\u2019exploitation de plateformes de recrutement freelance.\" width=\"1451\" height=\"933\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-table-1.png 1451w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-table-1-684x440.png 684w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-table-1-1089x700.png 1089w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-table-1-768x494.png 768w\" sizes=\"(max-width: 1451px) 100vw, 1451px\" \/><\/strong><\/p>\n<h3>Intrusions \u00e0 grande \u00e9chelle sur le terrain<\/h3>\n<p>Les \u00e9tudes de cas suivantes, tir\u00e9es de nos dossiers de r\u00e9ponse \u00e0 incident, illustrent la mani\u00e8re dont les attaquants peuvent contourner les contr\u00f4les non pas par des exploits, mais en naviguant dans les syst\u00e8mes humains avec pr\u00e9cision et intention.<\/p>\n<h4>Un abus du service d'assistance conduit \u00e0 une violation de 350 Go<\/h4>\n<p style=\"padding-left: 40px;\"><strong>Cible\u00a0:<\/strong> les dossiers des clients, documentation propri\u00e9taire et fichiers internes h\u00e9berg\u00e9s dans le cloud. Un attaquant a mis en sc\u00e8ne et exfiltr\u00e9 plus de 350\u00a0Go de donn\u00e9es sans d\u00e9clencher d\u2019alertes sur les terminaux ou dans l\u2019outil de d\u00e9tection et r\u00e9ponse sur les terminaux (EDR). L\u2019attaquant n\u2019a pas utilis\u00e9 de malware, mais uniquement des informations d\u2019identification l\u00e9gitimes et des fichiers binaires de d\u00e9tournement d\u2019outils l\u00e9gitimes.<\/p>\n<p style=\"padding-left: 40px;\"><strong>Technique\u00a0:<\/strong> l\u2019attaquant a contact\u00e9 le service d\u2019assistance de l\u2019organisation en se faisant passer pour un employ\u00e9 verrouill\u00e9. En combinant des informations vol\u00e9es et publiques, l\u2019attaquant a contourn\u00e9 les v\u00e9rifications d\u2019identit\u00e9, gagn\u00e9 la confiance de l\u2019agent et r\u00e9ussi \u00e0 provoquer une r\u00e9initialisation des identifiants MFA. Une fois l\u2019acc\u00e8s s\u00e9curis\u00e9, il s\u2019est connect\u00e9 et s\u2019est d\u00e9plac\u00e9 lat\u00e9ralement en utilisant des outils administratifs l\u00e9gitimes. Chaque action imite le comportement l\u00e9gitime de l\u2019utilisateur, en \u00e9vitant d\u00e9lib\u00e9r\u00e9ment les d\u00e9clencheurs susceptibles de lancer des alertes.<\/p>\n<h4>Reconnaissance pour contourner le service d\u2019assistance<\/h4>\n<p style=\"padding-left: 40px;\"><strong>Cible\u00a0:<\/strong> syst\u00e8mes internes d\u2019entreprise. L\u2019attaquant visait un acc\u00e8s de niveau employ\u00e9 pour escalader les privil\u00e8ges et pr\u00e9parer une compromission plus large. L\u2019intrusion a \u00e9t\u00e9 ma\u00eetris\u00e9e peu apr\u00e8s la connexion.<\/p>\n<p style=\"padding-left: 40px;\"><strong>Technique\u00a0:<\/strong> pendant plusieurs jours, l\u2019attaquant a multipli\u00e9 les appels \u00e0 faible pression au service d\u2019assistance, se faisant \u00e0 chaque fois passer pour un employ\u00e9 verrouill\u00e9. Il a recueilli des d\u00e9tails sur le processus et a affin\u00e9 son pr\u00e9texte \u00e0 chaque tentative. Une fois l\u2019histoire align\u00e9e sur les protocoles d\u2019escalade internes, il a \u00e9mis une demande sensible au temps qui a d\u00e9clench\u00e9 une r\u00e9initialisation de la MFA pour accorder l\u2019acc\u00e8s. L\u2019attaquant s\u2019est connect\u00e9 avec succ\u00e8s mais a \u00e9t\u00e9 rep\u00e9r\u00e9 quelques minutes plus tard en raison d\u2019anomalies g\u00e9ographiques.<\/p>\n<h4>R\u00e9initialisation de la MFA bloqu\u00e9e par l\u2019acc\u00e8s conditionnel<\/h4>\n<p style=\"padding-left: 40px;\"><strong>Cible\u00a0:<\/strong> des identifiants d\u2019un cadre interm\u00e9diaire avec de larges permissions syst\u00e8me. L\u2019attaquant voulait utiliser ces informations d\u2019identification pour acc\u00e9der \u00e0 des donn\u00e9es commerciales sensibles et effectuer une reconnaissance via des API cloud. La tentative a \u00e9t\u00e9 contenue avant l\u2019exfiltration des donn\u00e9es, gr\u00e2ce \u00e0 des contr\u00f4les d\u2019acc\u00e8s conditionnels.<\/p>\n<p style=\"padding-left: 40px;\"><strong>Technique\u00a0:<\/strong> apr\u00e8s plusieurs tentatives infructueuses d\u2019hame\u00e7onnage, l\u2019attaquant a appel\u00e9 le service d\u2019assistance informatique en se faisant passer pour le dirigeant et en invoquant des probl\u00e8mes d\u2019acc\u00e8s li\u00e9s \u00e0 ses d\u00e9placements. Le pr\u00e9texte \u00e9tait suffisamment convaincant pour d\u00e9clencher une r\u00e9initialisation de la MFA. Avec de nouvelles informations d\u2019identification, l\u2019attaquant a lanc\u00e9 des requ\u00eates Graph API pour \u00e9num\u00e9rer les autorisations, les appartenances \u00e0 des groupes et les chemins d\u2019acc\u00e8s aux fichiers. Cependant, la politique d\u2019acc\u00e8s conditionnel a signal\u00e9 la session en raison d\u2019une connexion inhabituelle \u00e0 partir d\u2019un appareil et d\u2019un lieu non reconnus, bloquant ainsi toute escalade ult\u00e9rieure.<\/p>\n<p>Ces \u00e9tudes de cas montrent que les attaquants de haut niveau r\u00e9ussissent non pas en d\u00e9truisant les syst\u00e8mes, mais en les ma\u00eetrisant parfaitement. Ils manipulent les processus, le personnel et les plateformes dans tous les secteurs d\u2019activit\u00e9, d\u2019une mani\u00e8re qui semble routini\u00e8re jusqu\u2019\u00e0 ce qu\u2019il soit trop tard.<\/p>\n<h3><strong>Comment l\u2019IA fa\u00e7onne le paysage des menaces d\u2019ing\u00e9nierie sociale<\/strong><\/h3>\n<p>Ces derniers mois, la mani\u00e8re dont l\u2019IA et l\u2019automatisation sont utilis\u00e9es dans les campagnes d\u2019ing\u00e9nierie sociale a \u00e9volu\u00e9. Si les techniques conventionnelles restent dominantes, certains attaquants exp\u00e9rimentent d\u00e9sormais des outils plus rapides, plus r\u00e9alistes et plus \u00e9volutifs.<\/p>\n<p>Les cas de r\u00e9ponse \u00e0 incident de Unit\u00a042 mettent en \u00e9vidence trois couches distinctes d\u2019outils bas\u00e9s sur l\u2019IA\u00a0:<\/p>\n<ul>\n<li><strong>Automatisation\u00a0<\/strong>: les outils de cette cat\u00e9gorie suivent des r\u00e8gles pr\u00e9d\u00e9finies pour acc\u00e9l\u00e9rer les \u00e9tapes d\u2019intrusion courantes, telles que la diffusion de messages d\u2019hame\u00e7onnage, l\u2019envoi de SMS frauduleux et les tests d\u2019identification de base. Ces capacit\u00e9s ne sont pas in\u00e9dites, mais elles sont d\u00e9sormais con\u00e7ues pour reproduire les workflows des entreprises et contourner les mesures de d\u00e9tection habituelles.<\/li>\n<li><strong>IA g\u00e9n\u00e9rative (GenAI)\u00a0<\/strong>: utilis\u00e9e pour produire un contenu cr\u00e9dible et humain sur tous les canaux, y compris les e-mails, la voix et le chat en direct. Dans de nombreuses enqu\u00eates, les acteurs de la menace ont utilis\u00e9 la GenAI pour cr\u00e9er des leurres hautement personnalis\u00e9s \u00e0 partir d\u2019informations publiques. Certaines campagnes sont all\u00e9es plus loin, en utilisant des voix de cadres clon\u00e9es dans des escroqueries par rappel t\u00e9l\u00e9phonique afin d\u2019accro\u00eetre la plausibilit\u00e9 des demandes t\u00e9l\u00e9phoniques urgentes. Dans des intrusions plus prolong\u00e9es, l\u2019IA a \u00e9t\u00e9 utilis\u00e9e pour affiner les profils des attaquants, g\u00e9n\u00e9rer des relances d\u2019hame\u00e7onnage personnalis\u00e9es et r\u00e9diger des r\u00e9ponses en temps r\u00e9el. Ces techniques adaptatives ont permis aux acteurs de la menace de maintenir l\u2019engagement \u00e0 travers plusieurs \u00e9tapes de l\u2019intrusion, avec un ton et un timing qui n\u00e9cessitaient auparavant l\u2019intervention d\u2019un op\u00e9rateur en direct.<\/li>\n<li><strong>IA agentique<\/strong>\u00a0: il s\u2019agit de syst\u00e8mes bas\u00e9s sur les r\u00f4les et le contexte, capables d\u2019ex\u00e9cuter de mani\u00e8re autonome des t\u00e2ches complexes en plusieurs \u00e9tapes, avec un minimum d\u2019intervention humaine, tout en apprenant des retours d\u2019informations. Bien que son adoption reste encore limit\u00e9e, nous avons observ\u00e9 l\u2019utilisation de l\u2019IA agentique pour encha\u00eener des activit\u00e9s telles que la reconnaissance multiplateforme et la distribution de messages. Dans un cas, les attaquants ont cr\u00e9\u00e9 des identit\u00e9s synth\u00e9tiques multi-couches (comprenant des CV fictifs et des profils sur les r\u00e9seaux sociaux) pour soutenir des candidatures frauduleuses dans le cadre d\u2019une campagne cibl\u00e9e d\u2019infiltration interne.<\/li>\n<\/ul>\n<p>Ce spectre d\u2019utilisation refl\u00e8te une hybridation des tactiques, o\u00f9 les m\u00e9thodes classiques d\u2019ing\u00e9nierie sociale sont de plus en plus renforc\u00e9es par des composants pilot\u00e9s par l\u2019IA. L\u2019adoption de l\u2019IA par les attaquants reste in\u00e9gale, mais l\u2019\u00e9volution sous-jacente est claire\u00a0: l\u2019automatisation et l\u2019IA commencent \u00e0 remodeler l\u2019ampleur, le rythme et la capacit\u00e9 d\u2019adaptation des attaques par ing\u00e9nierie sociale.<\/p>\n<h2><a id=\"post-150636-_heading=h.5sne8vpjgwk1\"><\/a>Attaques \u00e0 grande \u00e9chelle<\/h2>\n<h3><a id=\"post-150636-_heading=h.5v8cjah7bflz\"><\/a>Ing\u00e9nierie sociale \u00e0 grande \u00e9chelle\u00a0: l\u2019essor des campagnes ClickFix<\/h3>\n<p>L\u2019ing\u00e9nierie sociale s\u2019est transform\u00e9e en un \u00e9cosyst\u00e8me \u00e9volutif et automatis\u00e9 qui imite les signaux de confiance et exploite les workflows familiers. Un exemple en est ClickFix, une technique qui utilise de fausses alertes de navigateur, des invites de mise \u00e0 jour frauduleuses et des t\u00e9l\u00e9chargements involontaires pour d\u00e9clencher la compromission. Entre mai 2024 et mai 2025, ClickFix a \u00e9t\u00e9 le vecteur d\u2019acc\u00e8s initial dans au moins huit\u00a0cas confirm\u00e9s de r\u00e9ponse \u00e0 incident.<\/p>\n<h4>M\u00e9canismes de mise en \u0153uvre\u00a0: empoisonnement du r\u00e9f\u00e9rencement, malvertising et messages frauduleux<\/h4>\n<p>Les campagnes ClickFix ne d\u00e9pendent pas d\u2019une seule m\u00e9thode de diffusion. Au contraire, ils exploitent de multiples points d\u2019entr\u00e9e. Nous avons observ\u00e9 que ces campagnes utilisent l\u2019empoisonnement du r\u00e9f\u00e9rencement, le malvertising et les alertes de navigateur frauduleuses pour inciter les utilisateurs \u00e0 lancer eux-m\u00eames la cha\u00eene d\u2019attaque.<\/p>\n<p>Dans un cas confirm\u00e9 de r\u00e9ponse \u00e0 incident, l\u2019acteur de la menace a tir\u00e9 parti de l\u2019empoisonnement SEO pour placer un lien malveillant en t\u00eate des r\u00e9sultats des moteurs de recherche. Lorsqu\u2019un employ\u00e9 cherchait un programme d\u2019installation de logiciel, il \u00e9tait redirig\u00e9 vers une page d\u2019accueil falsifi\u00e9e qui d\u00e9clenchait le t\u00e9l\u00e9chargement d\u2019un payload. Le malvertising joue un r\u00f4le similaire en diffusant de fausses banni\u00e8res \u00ab\u00a0cliquer pour r\u00e9parer\u00a0\u00bb via des r\u00e9seaux publicitaires ou des fen\u00eatres contextuelles imitant des marques de logiciels fiables. Les alertes syst\u00e8me frauduleuses, con\u00e7ues pour imiter les avertissements l\u00e9gitimes du navigateur ou du syst\u00e8me d\u2019exploitation, constituent un autre vecteur de plus en plus r\u00e9pandu. Dans un exemple de soins de sant\u00e9, un employ\u00e9 a re\u00e7u ce qui semblait \u00eatre une authentique notification de mise \u00e0 jour de Microsoft en acc\u00e9dant \u00e0 un syst\u00e8me interne depuis chez lui. Le lien menait au t\u00e9l\u00e9chargement d\u2019un chargeur, qui ex\u00e9cutait un infostealer et permettait la collecte de donn\u00e9es d\u2019identification. Ces m\u00e9canismes de distribution partagent trois caract\u00e9ristiques essentielles\u00a0:<\/p>\n<ul>\n<li><strong>Imiter pour gagner la confiance<\/strong><\/li>\n<li><strong>Initiation des actions malicieuses par l\u2019utilisateur<\/strong><\/li>\n<li><strong>Agnosticisme en mati\u00e8re de plateformes<\/strong><\/li>\n<\/ul>\n<p>L\u2019utilisateur \u00e9tant \u00e0 l\u2019origine de l\u2019action (en cliquant sur un lien, en t\u00e9l\u00e9chargeant un fichier ou en r\u00e9pondant \u00e0 une invite), l\u2019attaque contourne souvent les d\u00e9fenses p\u00e9rim\u00e9triques traditionnelles et \u00e9chappe \u00e0 la d\u00e9tection pr\u00e9coce par des outils de s\u00e9curit\u00e9 des terminaux.<\/p>\n<table style=\"width: 100%; height: 48px;\">\n<thead>\n<tr style=\"height: 48px;\">\n<th style=\"text-align: left; height: 48px;\">Selon les analyses des attaques ClickFix par l'Unit 42, plus de 60 % des acc\u00e8s initiaux ont \u00e9t\u00e9 r\u00e9alis\u00e9s via une interaction web plut\u00f4t que par e-mail. Cela marque une nette rupture avec le phishing traditionnel et souligne l'importance de d\u00e9fendre au-del\u00e0 de la messagerie.<\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h4>Payloads et mod\u00e8les comportementaux courants de ClickFix<\/h4>\n<p>Les campagnes ClickFix suivent un mod\u00e8le de comportement coh\u00e9rent qui privil\u00e9gie la vitesse, le vol d\u2019informations d\u2019identification et la mise en sc\u00e8ne pour la mon\u00e9tisation. Les charges utiles varient, mais les campagnes ClickFix se concentrent souvent sur l'\u00e9tablissement d'un point d'ancrage, l'extraction de valeur et l'\u00e9vitement de la d\u00e9tection.<\/p>\n<p>Les malwares de collecte d\u2019informations d\u2019identification constituent le payload de premier niveau le plus courant. Dans de nombreux cas, nous avons identifi\u00e9 l\u2019utilisation de voleurs pr\u00eats \u00e0 l\u2019emploi tels que <a href=\"https:\/\/unit42.paloaltonetworks.com\/malware-configuration-extraction-techniques-guloader-redline-stealer\/\" target=\"_blank\" rel=\"noopener\"><strong>RedLine<\/strong><\/a> ou <strong>Lumma<\/strong>, d\u00e9ploy\u00e9s imm\u00e9diatement apr\u00e8s qu\u2019un utilisateur a t\u00e9l\u00e9charg\u00e9 un programme d\u2019installation malveillant ou r\u00e9pondu \u00e0 une invite de mise \u00e0 jour falsifi\u00e9e. Ces outils sont configur\u00e9s pour extraire les informations d\u2019identification stock\u00e9es dans le navigateur, les jetons enregistr\u00e9s et les cookies de session.<\/p>\n<p><a href=\"https:\/\/unit42.paloaltonetworks.com\/lampion-malware-clickfix-lures\/\" target=\"_blank\" rel=\"noopener\">Lampion<\/a>, un cheval de Troie bancaire analys\u00e9 par les chercheurs de l'Unit\u00e9 42, illustre l'\u00e9volution de ces charges utiles. Les attaques pour les variantes de Lampion utilisent l'empoisonnement SEO et des sites web compromis pour la distribution.<\/p>\n<p>Nous avons observ\u00e9 des organisations du secteur de la vente au d\u00e9tail touch\u00e9es par ce type d'attaque. Un exemple inclut une fausse invite de mise \u00e0 jour qui a conduit un employ\u00e9 du commerce de d\u00e9tail \u00e0 installer sans le savoir un cheval de Troie d'acc\u00e8s \u00e0 distance (RATs) qui a permis \u00e0 l'attaquant d'observer et finalement de contr\u00f4ler l'appareil de la victime. En 90 minutes, l'attaquant avait captur\u00e9 les informations d'identification du syst\u00e8me de gestion des commandes de l'organisation et organis\u00e9 des transferts de donn\u00e9es sortants.<\/p>\n<h4>Cha\u00eenes d\u2019outils modulaires et \u00e9volutives<\/h4>\n<p>Les attaques ClickFix utilisent souvent des charges utiles qui \u00e9voluent par \u00e9tapes :<\/p>\n<ul>\n<li>Commencer par des collecteurs d'informations d'identification l\u00e9gers pour recueillir des renseignements.<\/li>\n<li>D\u00e9ployez des chargeurs silencieux pour fournir des outils suppl\u00e9mentaires uniquement si l\u2019acc\u00e8s aux syst\u00e8mes sensibles est confirm\u00e9.<\/li>\n<li>Les payloads suivants peuvent inclure\u00a0:\n<ul>\n<li>Chevaux de Troie d\u2019acc\u00e8s \u00e0 distance<\/li>\n<li>Infostealers<\/li>\n<li>Wipers<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Les payloads utiles sont rarement nouvelles, mais les attaquants modifient leur m\u00e9thode de livraison et leur calendrier, calibr\u00e9s pour minimiser les risques et maximiser l'utilit\u00e9. Dans de nombreux cas, les attaquants se sont appuy\u00e9s sur des techniques \u00e9prouv\u00e9es (et non sur des exploits du jour z\u00e9ro ou des exploits personnalis\u00e9s) parce que les utilisateurs du syst\u00e8me, et non son logiciel, \u00e9taient le point d'entr\u00e9e.<\/p>\n<p><strong>ClickFix n\u2019est pas sophistiqu\u00e9\u00a0: la faille est syst\u00e9mique<\/strong><\/p>\n<p>La plupart des campagnes ClickFix ont utilis\u00e9 des outils accessibles au public, d\u00e9tourn\u00e9s \u00e0 des fins de vol d\u2019identifiants ou d\u2019acc\u00e8s \u00e0 distance. Ce qui les distinguait, ce n\u2019\u00e9tait pas la sophistication des malwares, mais la pr\u00e9cision de la diffusion, des invites d\u2019apparence l\u00e9gitime, des canaux de confiance et une ex\u00e9cution sans friction.<\/p>\n<table>\n<thead>\n<tr>\n<th style=\"text-align: left;\">Dans 75 % des cas li\u00e9s \u00e0 ClickFix que nous avons examin\u00e9s, les attaquants ont r\u00e9utilis\u00e9 les identifiants d\u00e9rob\u00e9s lors du compromis initial dans les 48 heures, soit pour un acc\u00e8s direct aux services cloud, soit en les mettant en vente sur des march\u00e9s illicites.<\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<p>ClickFix est une m\u00e9thode de tromperie \u00e9volutive. Pour s'en d\u00e9fendre, nous conseillons aux responsables de la s\u00e9curit\u00e9 de :<\/p>\n<ul>\n<li>Surveiller les sch\u00e9mas d\u2019acc\u00e8s pr\u00e9coces, en particulier les collecteurs d\u2019informations d\u2019identification et les chargeurs sans fichier.<\/li>\n<li>Prot\u00e9ger les points d\u2019acc\u00e8s contre les familles de malwares les plus couramment utilis\u00e9s, m\u00eame ceux qui sont consid\u00e9r\u00e9s comme de base.<\/li>\n<li>Suivre et contr\u00f4ler les privil\u00e8ges d\u2019installation des logiciels. De nombreux incidents ont commenc\u00e9 par des t\u00e9l\u00e9chargements approuv\u00e9s par l\u2019utilisateur.<\/li>\n<li>\u00c9tendre la d\u00e9tection au-del\u00e0 des e-mails pour inclure la diffusion sur le web, la manipulation du r\u00e9f\u00e9rencement et les invites syst\u00e8me usurp\u00e9es.<\/li>\n<li>Mettre en place des pratiques d\u2019hygi\u00e8ne en mati\u00e8re d\u2019informations d\u2019identification et limiter la r\u00e9utilisation des informations d\u2019un syst\u00e8me \u00e0 l\u2019autre afin d\u2019\u00e9viter l\u2019exposition en cha\u00eene.<\/li>\n<\/ul>\n<h2><a id=\"post-150636-_heading=h.7qgyexi56dzm\"><\/a>L\u2019ing\u00e9nierie sociale en chiffres<\/h2>\n<p>Dans cette section, nous passons de la tactique \u00e0 la t\u00e9l\u00e9m\u00e9trie pour examiner les mod\u00e8les techniques et organisationnels \u00e0 l\u2019origine de ce succ\u00e8s.<\/p>\n<p>Dans les cas o\u00f9 l'ing\u00e9nierie sociale \u00e9tait le vecteur d'acc\u00e8s initial :<\/p>\n<ul>\n<li><strong>66\u00a0%<\/strong> des attaques par ing\u00e9nierie sociale ont vis\u00e9 des comptes \u00e0 privil\u00e8ges.<\/li>\n<li><strong>23\u00a0%<\/strong> ont eu recours \u00e0 des techniques de rappel ou \u00e0 des techniques vocales.<\/li>\n<li><strong>45\u00a0%<\/strong> ont eu recours \u00e0 l\u2019usurpation d\u2019identit\u00e9 du personnel interne pour instaurer la confiance.<\/li>\n<\/ul>\n<p>Comme indiqu\u00e9 en <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/research\/unit-42-incident-response-report?utm_source=google-jg-amer-unit42-unrc-unpt&amp;utm_medium=paid_search&amp;utm_campaign=google-unit42-unit42_port-amer-multi-lead_gen-en-non_brand&amp;utm_content=7014u000001ZyZbAAK&amp;utm_term=cyber%20threat%20landscape&amp;cq_plac=&amp;cq_net=g&amp;gad_source=1&amp;gad_campaignid=20369915908&amp;gbraid=0AAAAADHVeKloupLzGlReZDzsOSqGnMQ6J&amp;gclid=CjwKCAjw4K3DBhBqEiwAYtG_9DCbZEEQOQXDf8IClfk55q9kAPrmUKmD_ZvZW7zHPGVLspBVHD0FexoC7hYQAvD_BwE\" target=\"_blank\" rel=\"noopener\">janvier<\/a>, le hame\u00e7onnage repr\u00e9sentait 23 % de toutes les intrusions et ce nombre reste constant pour l'ensemble des donn\u00e9es utilis\u00e9es dans ce rapport. Lorsqu'on isole uniquement <strong>les intrusions ax\u00e9es sur l'ing\u00e9nierie sociale<\/strong>, le hame\u00e7onnage grimpe \u00e0 65 % de ces cas (voir la figure 1).<\/p>\n<p>Nos donn\u00e9es r\u00e9v\u00e8lent six mod\u00e8les cl\u00e9s qui expliquent le succ\u00e8s continu des attaques par ing\u00e9nierie sociale, ainsi que la mani\u00e8re dont elles contournent les d\u00e9fenses.<\/p>\n<h3>L\u2019acc\u00e8s initial : l\u2019ing\u00e9nierie sociale reste la tactique la plus utilis\u00e9e<\/h3>\n<p>36 % de tous les incidents survenus dans le cadre de l'IR ont commenc\u00e9 par une tactique d'ing\u00e9nierie sociale.<\/p>\n<h4><strong>Vue d\u2019ensemble<\/strong><\/h4>\n<p>Contrairement aux exploits techniques qui s\u2019appuient sur des syst\u00e8mes non corrig\u00e9s ou des vuln\u00e9rabilit\u00e9s zero-day, l\u2019ing\u00e9nierie sociale r\u00e9ussit gr\u00e2ce \u00e0 des contr\u00f4les d\u2019acc\u00e8s faibles, un sentiment d\u2019urgence, des comptes surautoris\u00e9s et une confiance mal plac\u00e9e. Ces conditions persistent dans les environnements d\u2019entreprise, m\u00eame lorsque des outils de d\u00e9tection modernes sont d\u00e9ploy\u00e9s.<\/p>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<p>L\u2019ing\u00e9nierie sociale reste le vecteur d\u2019attaque le plus efficace car elle exploite le comportement humain et non les failles techniques. Elle contourne syst\u00e9matiquement les contr\u00f4les, quel que soit le degr\u00e9 de maturit\u00e9 de l\u2019organisation.<\/p>\n<p>Il est temps de ne plus se contenter d\u2019une simple formation des utilisateurs et de renforcer les d\u00e9fenses. Consid\u00e9rez l\u2019ing\u00e9nierie sociale comme une vuln\u00e9rabilit\u00e9 syst\u00e9mique n\u00e9cessitant des contr\u00f4les techniques en couches et une v\u00e9rification stricte selon le principe Zero Trust.<\/p>\n<h3>Les nouveaux vecteurs gagnent du terrain<\/h3>\n<p>Au total, 35\u00a0% des cas d\u2019ing\u00e9nierie sociale ont fait appel \u00e0 des m\u00e9thodes moins conventionnelles, notamment l\u2019empoisonnement SEO et le malvertising, le smishing et le bombardement de la MFA, ainsi qu\u2019un ensemble croissant d\u2019autres techniques (voir figure\u00a01).<\/p>\n<p><img  class=\"alignnone wp-image-150785 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-1-441x440.png\" alt=\"Diagramme \u00e0 secteurs intitul\u00e9 \u00ab\u00a0R\u00e9partition des types d\u2019attaques par ing\u00e9nierie sociale\u00a0\u00bb montrant les r\u00e9partitions suivantes\u00a0: 65\u00a0% Hame\u00e7onnage, 22\u00a0% Autres, 12\u00a0% Empoisonnement SEO\/Malvertising et 1\u00a0% Smishing\/Bombardement de MFA.\" width=\"600\" height=\"599\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-1-441x440.png 441w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-1-701x700.png 701w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-1-300x300.png 300w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-1-768x766.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-1.png 968w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><\/p>\n<p>Si l\u2019hame\u00e7onnage reste le principal m\u00e9canisme de diffusion, ces m\u00e9thodes \u00e9mergentes montrent que les attaquants adaptent l\u2019ing\u00e9nierie sociale pour atteindre les utilisateurs \u00e0 travers les plateformes, les appareils et les workflows o\u00f9 la s\u00e9curit\u00e9 traditionnelle de la messagerie n\u2019est plus un obstacle.<\/p>\n<h4>Vue d\u2019ensemble<\/h4>\n<p>La pr\u00e9dominance de l\u2019hame\u00e7onnage masque un changement plus profond\u00a0: les acteurs de la menace diversifient leurs tactiques.<\/p>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<p>La d\u00e9fense contre l\u2019ing\u00e9nierie sociale ne doit pas se limiter \u00e0 la bo\u00eete de r\u00e9ception. Les responsables de la s\u00e9curit\u00e9 doivent veiller \u00e0 ce que la d\u00e9tection s\u2019\u00e9tende \u00e0 la messagerie mobile, aux outils de collaboration, aux vecteurs bas\u00e9s sur un navigateur et aux interfaces de r\u00e9ponse rapide (QR code).<\/p>\n<h3>Les alertes manqu\u00e9es, les contr\u00f4les insuffisants et les autorisations excessives alimentent les intrusions par ing\u00e9nierie sociale<\/h3>\n<p>Ces faiblesses couvrent plusieurs secteurs, notamment :<\/p>\n<ul>\n<li>la fabrication<\/li>\n<li>les soins de sant\u00e9<\/li>\n<li>la finance<\/li>\n<li>les services professionnels<\/li>\n<li>la vente au d\u00e9tail<\/li>\n<li>le gouvernement d'\u00c9tat et f\u00e9d\u00e9ral<\/li>\n<\/ul>\n<p>Elles touchent \u00e9galement des organisations de toutes tailles, des petites entreprises aux grandes entreprises, ce qui souligne \u00e0 quel point ces probl\u00e8mes sont r\u00e9pandus et syst\u00e9miques.<\/p>\n<p>Ces failles touchent tous les secteurs, de l\u2019industrie manufacturi\u00e8re aux soins de sant\u00e9, en passant par la finance, les services professionnels, le retail et les administrations nationales et f\u00e9d\u00e9rales. Elles touchent \u00e9galement des organisations de toutes tailles, des petites aux grandes entreprises, ce qui montre \u00e0 quel point ces probl\u00e8mes sont fr\u00e9quents et syst\u00e9miques.<\/p>\n<ul>\n<li>Dans de nombreux cas, les alertes de s\u00e9curit\u00e9 sont pass\u00e9es inaper\u00e7ues. Des \u00e9quipes surcharg\u00e9es ont manqu\u00e9, d\u00e9prioris\u00e9 ou rejet\u00e9 des connexions malveillantes, des escalades de privil\u00e8ges ou des alertes d\u00e9clench\u00e9es par un acc\u00e8s inhabituel \u00e0 un appareil jusqu'\u00e0 ce que la compromission soit confirm\u00e9e.<\/li>\n<li>Les autorisations excessives augmentent la zone d\u2019impact. Dans de nombreux cas, les comptes compromis disposaient d\u2019un acc\u00e8s allant bien au-del\u00e0 de leur r\u00f4le op\u00e9rationnel.<\/li>\n<li>L\u2019absence ou le d\u00e9ploiement insuffisant de l\u2019authentification multifacteur est \u00e0 l\u2019origine d\u2019une grande partie des intrusions bas\u00e9es sur les informations d\u2019identification. Les attaquants ont souvent \u00e9t\u00e9 en mesure de s\u2019authentifier avec succ\u00e8s en utilisant les informations d\u2019identification r\u00e9colt\u00e9es sans rencontrer de v\u00e9rification secondaire.<\/li>\n<\/ul>\n<p><img  class=\"alignnone wp-image-150797 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-2-786x311.png\" alt=\"Diagramme \u00e0 barres intitul\u00e9 \u00ab\u00a0Figure\u00a02\u00a0: Probl\u00e8mes d\u2019identit\u00e9 et d\u2019acc\u00e8s qui contribuent au succ\u00e8s de l\u2019ing\u00e9nierie sociale\u00a0\u00bb. Il pr\u00e9sente cinq cat\u00e9gories avec les pourcentages correspondants\u00a0: alertes de s\u00e9curit\u00e9 ignor\u00e9es (13\u00a0%), absence de MFA (10\u00a0%), autorisations excessives (10\u00a0%), journalisation insuffisante des terminaux (8\u00a0%), mots de passe faibles ou par d\u00e9faut (7\u00a0%) et absence d\u2019AV\/EDR (7\u00a0%).\" width=\"1000\" height=\"395\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-2-786x311.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-2-768x304.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-2.png 1376w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<h4>Vue d\u2019ensemble<\/h4>\n<p>Les acteurs de la menace ont exploit\u00e9 des failles de contr\u00f4le qui auraient pu \u00eatre corrig\u00e9es.<\/p>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<p>La d\u00e9fense contre l\u2019ing\u00e9nierie sociale repose sur la d\u00e9tection pr\u00e9coce des signaux et la limitation des acc\u00e8s apr\u00e8s compromission. De nombreux indicateurs pr\u00e9coces passent inaper\u00e7us, non pas parce qu\u2019ils sont ignor\u00e9s, mais parce qu\u2019ils sont mal class\u00e9s.<\/p>\n<ul>\n<li>Il est important de prioriser la logique d\u2019alerte pour signaler en priorit\u00e9 les sch\u00e9mas de connexion anormaux, les abus de MFA et les acc\u00e8s software-as-a-service (SaaS) inhabituels.<\/li>\n<li>Les \u00e9quipes de s\u00e9curit\u00e9 doivent veiller \u00e0 ce que les alertes critiques soient examin\u00e9es et transmises \u00e0 un \u00e9chelon sup\u00e9rieur.<\/li>\n<li>L\u2019authentification multifacteur obligatoire doit \u00eatre appliqu\u00e9e \u00e0 tous les comptes \u00e0 privil\u00e8ges et expos\u00e9s \u00e0 l\u2019ext\u00e9rieur.<\/li>\n<li>Les droits d\u2019acc\u00e8s doivent \u00eatre strictement d\u00e9finis et r\u00e9guli\u00e8rement r\u00e9examin\u00e9s.<\/li>\n<\/ul>\n<h3>L\u2019insuffisance de la technologie de d\u00e9tection et le manque de ressources des \u00e9quipes amplifient les risques li\u00e9s \u00e0 l\u2019ing\u00e9nierie sociale<\/h3>\n<p>Les intrusions par ing\u00e9nierie sociale reposent rarement sur la seule sophistication de l'attaquant. Le plus souvent, elles r\u00e9ussissent lorsque des capacit\u00e9s de d\u00e9tection limit\u00e9es croisent des \u00e9quipes surcharg\u00e9es ou sous-entra\u00een\u00e9es. Nos donn\u00e9es sur la r\u00e9ponse aux incidents mettent en \u00e9vidence la mani\u00e8re dont les faiblesses techniques et les contraintes de personnel cr\u00e9ent des opportunit\u00e9s de compromission.<\/p>\n<p>Les six facteurs contributifs les plus cit\u00e9s refl\u00e8tent plus que des failles en mati\u00e8re d\u2019outils, ils r\u00e9v\u00e8lent des tensions syst\u00e9miques. Fait important, peu d\u2019organisations avaient mis en place des solutions Identity Threat Detection and Response (ITDR) ou des analyses comportementales des utilisateurs et entit\u00e9s (UEBA), deux capacit\u00e9s devenues essentielles pour d\u00e9tecter les attaques par ing\u00e9nierie sociale et pr\u00e9venir les prises de contr\u00f4le de comptes. Les entreprises qui se fient uniquement \u00e0 la journalisation conventionnelle et \u00e0 la t\u00e9l\u00e9m\u00e9trie des terminaux risquent de passer \u00e0 c\u00f4t\u00e9 des premiers signaux d\u2019alerte.<\/p>\n<p>Ces failles sont apparues le plus souvent dans quatre domaines cl\u00e9s\u00a0:<\/p>\n<ul>\n<li><strong>\u00c9chec de l'escalade des alertes : <\/strong>dans plusieurs cas, des signes avant-coureurs ont \u00e9t\u00e9 enregistr\u00e9s mais non signal\u00e9s, ce qui a permis aux attaquants de progresser sans \u00eatre inqui\u00e9t\u00e9s.<\/li>\n<li><strong>Alertes pour d\u00e9faut d\u2019action\u00a0: <\/strong>dans de nombreux cas, des comportements anormaux ont \u00e9t\u00e9 signal\u00e9s, mais n\u2019ont pas \u00e9t\u00e9 remont\u00e9s en raison de la lassitude face aux alertes, d\u2019un manque de clart\u00e9 dans l\u2019attribution des responsabilit\u00e9s ou de manque de comp\u00e9tences au sein des \u00e9quipes de s\u00e9curit\u00e9.<\/li>\n<li><strong>EDR et journalisation insuffisants des terminaux\u00a0: <\/strong>en l\u2019absence d\u2019indicateurs clairs ou de bases comportementales, les analystes ont eu du mal \u00e0 distinguer les activit\u00e9s de routine des signes de compromission.<\/li>\n<li>L\u2019<strong>absence d\u2019antivirus\/EDR centralis\u00e9 et de protection contre les manipulations<\/strong> a expos\u00e9 les ressources non g\u00e9r\u00e9es, que les acteurs de la menace ont exploit\u00e9es pour se d\u00e9placer lat\u00e9ralement ou pour d\u00e9sactiver les contr\u00f4les sans \u00eatre d\u00e9tect\u00e9s.<\/li>\n<\/ul>\n<p><img  class=\"alignnone wp-image-150809 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-3-786x254.png\" alt=\"Diagramme \u00e0 barres intitul\u00e9 \u00ab\u00a0Figure\u00a03\u00a0: Failles technologiques et humaines contribuant au succ\u00e8s de l\u2019ing\u00e9nierie sociale\u00a0\u00bb. Le tableau \u00e9num\u00e8re les types de failles\u00a0: \u00e9chec de l\u2019alerte d\u2019action (13\u00a0%), journalisation insuffisante des terminaux (8\u00a0%), journalisation insuffisante du r\u00e9seau et absence de syst\u00e8me central AV\/EDR (7\u00a0%) et protection insuffisante contre les manipulations (4\u00a0%).\" width=\"1000\" height=\"323\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-3-786x254.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-3-768x248.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-3.png 1524w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<h4>Vue d\u2019ensemble<strong><br \/>\n<\/strong><\/h4>\n<p>Les pannes de s\u00e9curit\u00e9 \u00e9taient dues \u00e0 une t\u00e9l\u00e9m\u00e9trie insuffisante, \u00e0 un manque de clart\u00e9 quant \u00e0 la propri\u00e9t\u00e9 des alertes et \u00e0 des capacit\u00e9s de premi\u00e8re ligne limit\u00e9es, et non \u00e0 la sophistication des attaquants.<\/p>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<ul>\n<li>Le renforcement de la couche humaine passe par le renforcement des syst\u00e8mes qui la soutiennent.<\/li>\n<li>Veiller \u00e0 ce que les alertes soient tri\u00e9es en pr\u00e9cisant clairement les responsabilit\u00e9s et les voies d\u2019escalade.<\/li>\n<li>Faire \u00e9voluer l\u2019EDR vers la solution XDR (d\u00e9tection et r\u00e9ponse \u00e9tendues), pour une d\u00e9tection centralis\u00e9e avec un contexte riche.<\/li>\n<li>Combler les lacunes en mati\u00e8re d'outillage qui laissent des actifs non g\u00e9r\u00e9s ou des vecteurs d'acc\u00e8s expos\u00e9s.<\/li>\n<\/ul>\n<p>L\u2019acc\u00e8s initial n\u2019est qu\u2019un d\u00e9but. Dans de nombreux cas, une simple interaction trompeuse suffit \u00e0 d\u00e9clencher une vaste exposition de donn\u00e9es\u00a0\u2013 un sc\u00e9nario que les attaquants affinent et exploitent m\u00e9thodiquement.<\/p>\n<h3>L\u2019ing\u00e9nierie sociale conduit \u00e0 des taux plus \u00e9lev\u00e9s d\u2019exposition des donn\u00e9es<\/h3>\n<p>Les attaques d'ing\u00e9nierie sociale ont entra\u00een\u00e9 une exposition des donn\u00e9es dans 60 % des cas, selon nos donn\u00e9es sur la r\u00e9ponse aux incidents. C'est 16 points de pourcentage de plus lorsque nous consid\u00e9rons les cas dans leur ensemble, notamment :<\/p>\n<ul>\n<li>l'exfiltration directe<\/li>\n<li>l'exposition indirecte par le vol d'informations d'identification<\/li>\n<li>l'acc\u00e8s non autoris\u00e9 aux syst\u00e8mes internes<\/li>\n<li>le d\u00e9ploiement de voleurs d'informations et de chevaux de Troie d'acc\u00e8s \u00e0 distance<\/li>\n<\/ul>\n<p><img  class=\"alignnone wp-image-150821 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-4-786x300.png\" alt=\"Diagramme \u00e0 barres intitul\u00e9 \u00ab\u00a0Figure\u00a04\u00a0: Taux d\u2019exposition des donn\u00e9es\u00a0: ing\u00e9nierie sociale et autres attaques\u00a0\u00bb. Il pr\u00e9sente deux cat\u00e9gories\u00a0: attaques par ing\u00e9nierie sociale avec 60\u00a0% d\u2019exposition de donn\u00e9es et 28\u00a0% d\u2019absence d\u2019exposition de donn\u00e9es, et attaques \u00e0 grande \u00e9chelle avec 44\u00a0% d\u2019exposition de donn\u00e9es et 38\u00a0% d\u2019absence d\u2019exposition de donn\u00e9es. Les taux d\u2019exposition des donn\u00e9es sont repr\u00e9sent\u00e9s en jaune et les taux d\u2019absence d\u2019exposition de donn\u00e9es en rouge.\" width=\"1000\" height=\"381\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-4-786x300.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-4-768x293.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-4.png 1390w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<h4>Vue d\u2019ensemble<\/h4>\n<p>Environ la moiti\u00e9 des cas d\u2019ing\u00e9nierie sociale \u00e9taient des compromissions de messagerie professionnelle (BEC), et pr\u00e8s de 60\u00a0% d\u2019entre eux ont entra\u00een\u00e9 une fuite de donn\u00e9es\u00a0\u2013 preuve que les acteurs de la menace ont rapidement tir\u00e9 parti de l\u2019acc\u00e8s obtenu pour exfiltrer des informations ou collecter des identifiants. En outre, les intrusions g\u00e9n\u00e9rales dans le r\u00e9seau et les ransomwares sont les deux autres types d\u2019incidents les plus fr\u00e9quents au cours desquels des donn\u00e9es ont \u00e9t\u00e9 expos\u00e9es. Parmi ces types d\u2019incidents, l\u2019ing\u00e9nierie sociale figurait parmi les deux premiers vecteurs d\u2019acc\u00e8s initial, ce qui montre la popularit\u00e9 de cette technique pour diff\u00e9rents types d\u2019intrusions et d\u2019acteurs.<\/p>\n<p>L\u2019exposition des identifiants s\u2019est \u00e9galement r\u00e9v\u00e9l\u00e9e \u00eatre un facteur pr\u00e9curseur fr\u00e9quent de pertes de donn\u00e9es plus \u00e9tendues. Dans plusieurs cas, les attaquants ont r\u00e9utilis\u00e9 des identifiants compromis pour acc\u00e9der \u00e0 des partages de fichiers, aux syst\u00e8mes clients ou aux environnements cloud. Cet effet d\u2019exposition en cha\u00eene amplifie l\u2019impact d\u2019un seul leurre r\u00e9ussi, transformant une identit\u00e9 compromise en un risque organisationnel plus large.<\/p>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<p>L\u2019ing\u00e9nierie sociale n\u2019est pas seulement un probl\u00e8me d\u2019acc\u00e8s, c\u2019est un risque majeur de perte de donn\u00e9es. Pour r\u00e9duire l\u2019exposition, les \u00e9quipes de s\u00e9curit\u00e9 doivent am\u00e9liorer la visibilit\u00e9 sur le comportement des utilisateurs apr\u00e8s la connexion, et ne pas se limiter \u00e0 pr\u00e9venir la compromission initiale. Les principales mesures sont les suivantes\u00a0:<\/p>\n<ul>\n<li>Restriction de l\u2019acc\u00e8s aux ressources sensibles par d\u00e9faut<\/li>\n<li>Surveillance des mouvements lat\u00e9raux et de l\u2019acc\u00e8s aux fichiers<\/li>\n<li>Mise en \u0153uvre de l\u2019approvisionnement juste \u00e0 temps pour les op\u00e9rations privil\u00e9gi\u00e9es<\/li>\n<li>Les politiques de pr\u00e9vention des pertes de donn\u00e9es (DLP) et le marquage des donn\u00e9es doivent \u00e9galement tenir compte de la probabilit\u00e9 d\u2019un acc\u00e8s par ing\u00e9nierie sociale, en particulier via des comptes compromis.<\/li>\n<\/ul>\n<h3>Le profit reste le principal motif<\/h3>\n<p>Le gain financier est le motif dominant dans les cas de r\u00e9ponse aux incidents trait\u00e9s par Unit\u00a042, et les attaques par ing\u00e9nierie sociale ne font pas exception. Presque toutes les intrusions par ing\u00e9nierie sociale entre mai 2024 et mai\u00a02025 \u00e9taient motiv\u00e9es par des raisons financi\u00e8res (voir figure\u00a05), les acteurs de la menace cherchant \u00e0 monnayer l\u2019acc\u00e8s par le vol de donn\u00e9es, l\u2019extorsion, le ransomware ou la revente d\u2019informations d\u2019identification.<\/p>\n<p><strong><img  class=\"alignnone wp-image-150832 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-5-351x440.png\" alt=\"Le diagramme \u00e0 secteurs intitul\u00e9 \u00ab\u00a0Figure\u00a05\u00a0: Motifs des acteurs de la menace\u00a0\u00bb r\u00e9v\u00e8le que 93\u00a0% des attaques sont motiv\u00e9es par un gain financier, 4\u00a0% par la recherche de facilit\u00e9 ou de rapidit\u00e9, et 3\u00a0% par d\u2019autres raisons.\" width=\"600\" height=\"752\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-5-351x440.png 351w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-5-559x700.png 559w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-5.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><\/strong><\/p>\n<h4>Vue d\u2019ensemble<\/h4>\n<p>L'ing\u00e9nierie sociale reste une m\u00e9thode d'acc\u00e8s privil\u00e9gi\u00e9e car elle est facile \u00e0 ex\u00e9cuter, l\u00e9g\u00e8re en termes d'infrastructure et \u00e9vite souvent la d\u00e9tection\u2014les attaquants r\u00e9utilisant des outils \u00e9prouv\u00e9s comme les kits d'hame\u00e7onnage. L'objectif est de tirer parti de l'acc\u00e8s bas\u00e9 sur la confiance pour contourner les contr\u00f4les renforc\u00e9s.<\/p>\n<h4>Enseignements strat\u00e9giques \u00e0 en tirer<\/h4>\n<p>Les attaquants continuent de choisir l'ing\u00e9nierie sociale non pas pour sa sophistication, mais pour sa facilit\u00e9, sa rapidit\u00e9 et sa fiabilit\u00e9. La d\u00e9tection et la r\u00e9ponse doivent \u00eatre ajust\u00e9es pour rep\u00e9rer la mise en sc\u00e8ne des donn\u00e9es, le mouvement des fichiers et l'acc\u00e8s anormal au syst\u00e8me<\/p>\n<table>\n<thead>\n<tr>\n<th>\n<p style=\"text-align: left;\"><strong>Pourquoi l'ing\u00e9nierie sociale fonctionne :<\/strong><\/p>\n<ul>\n<li style=\"text-align: left;\">Points faibles technologiques : Les r\u00e9seaux plats sans segmentation exposent les entreprises \u00e0 un mouvement lat\u00e9ral rapide apr\u00e8s un compromis.<\/li>\n<li style=\"text-align: left;\">Erreur humaine et confiance : Les attaquants trompent leurs victimes avec des arnaques au rappel (callback scams), en usurpant l'identit\u00e9 de dirigeants et en utilisant des pr\u00e9textes de t\u00e2ches routini\u00e8res.<\/li>\n<li style=\"text-align: left;\">Vecteurs de privil\u00e8ges : Le vol d'identifiants conf\u00e8re aux intrus un niveau d'acc\u00e8s d'initie.<\/li>\n<\/ul>\n<\/th>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-150636-_heading=h.tdjige1f7dsw\"><\/a>Recommandations pour les \u00e9quipes de s\u00e9curit\u00e9<\/h2>\n<p>L\u2019ing\u00e9nierie sociale continue de surpasser les autres vecteurs d\u2019acc\u00e8s, non pas par sa sophistication technique, mais en exploitant les failles entre les personnes, les processus et les plateformes. Pour contrer ce ph\u00e9nom\u00e8ne, les \u00e9quipes de s\u00e9curit\u00e9 doivent se concentrer sur la r\u00e9silience de l\u2019identit\u00e9, la visibilit\u00e9 des workflows et les op\u00e9rations bas\u00e9es sur le renseignement. Les capacit\u00e9s telles que l\u2019UEBA et l\u2019ITDR jouent un r\u00f4le de plus en plus crucial dans l\u2019identification des activit\u00e9s anormales et le blocage des tentatives de prise de contr\u00f4le de comptes.<\/p>\n<p>Les huit recommandations suivantes s\u2019inspirent directement de la charge de travail de Unit\u00a042 en mati\u00e8re de r\u00e9ponse \u00e0 incident et de la recherche sur les menaces\u00a0:<\/p>\n<h3><a id=\"post-150636-_heading=h.dm0q20xk5kqn\"><\/a>Corr\u00e9ler les signaux d\u2019identit\u00e9 pour d\u00e9tecter plus t\u00f4t les abus<\/h3>\n<p>Les attaquants semblent souvent l\u00e9gitimes, jusqu\u2019\u00e0 ce que des comportements anormaux apparaissent. La corr\u00e9lation des signaux entre l\u2019identit\u00e9, l\u2019appareil et le comportement de la session permet aux \u00e9quipes de s\u00e9curit\u00e9 de d\u00e9tecter les attaques par ing\u00e9nierie sociale avant qu\u2019elles ne s\u2019aggravent. Les plateformes telles que <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\"><strong>Cortex XSIAM<\/strong><\/a> acc\u00e9l\u00e8rent ce processus, permettant une d\u00e9tection et un confinement plus rapides des menaces sans se fier aux indicateurs de compromission (IOC) traditionnels.<\/p>\n<h3><a id=\"post-150636-_heading=h.cdtx5z8g7kuu\"><\/a>Appliquer le principe Zero Trust pour toutes les voies d\u2019acc\u00e8s<\/h3>\n<p>Une position Zero Trust solide limite les mouvements des attaquants apr\u00e8s l\u2019acc\u00e8s initial. Mettez en \u0153uvre des politiques d\u2019acc\u00e8s conditionnel qui \u00e9valuent la confiance de l\u2019appareil, la localisation et le comportement de connexion avant d\u2019accorder l\u2019acc\u00e8s. Combinez les principes de moindre privil\u00e8ge, l\u2019acc\u00e8s juste \u00e0 temps et la segmentation du r\u00e9seau pour limiter les mouvements lat\u00e9raux et r\u00e9duire le champ d\u2019action.<\/p>\n<h3><a id=\"post-150636-_heading=h.nsz6tjq6zikg\"><\/a>Renforcer la couche humaine gr\u00e2ce \u00e0 la d\u00e9tection et \u00e0 la formation<\/h3>\n<p>Les employ\u00e9s font partie de la surface de d\u00e9tection. Renforcez les points d'attaque courants tels que (le courrier \u00e9lectronique, les navigateurs et les applications de messagerie, avec des contr\u00f4les bas\u00e9s sur le renseignement). Formez les \u00e9quipes de premi\u00e8re ligne telles que les ressources humaines et le support informatique \u00e0 reconna\u00eetre et \u00e0 signaler l'usurpation d'identit\u00e9, les leurres vocaux et les pr\u00e9textes. Simulez les techniques d'attaque actuelles, y compris l'usurpation du service d'assistance et la manipulation de l'authentification multifacteur.<\/p>\n<h3><a id=\"post-150636-_heading=h.8ug2futrymgm\"><\/a>Renforcer la d\u00e9tection gr\u00e2ce \u00e0 l\u2019analyse de l\u2019identit\u00e9 et du comportement<\/h3>\n<p>La d\u00e9tection de l\u2019ing\u00e9nierie sociale n\u00e9cessite une visibilit\u00e9 allant au-del\u00e0 des indicateurs traditionnels. Corr\u00e9lez les signaux issus de l\u2019identit\u00e9, des terminaux, du r\u00e9seau et des activit\u00e9s SaaS pour d\u00e9tecter rapidement les tentatives d\u2019escalade. Des fonctionnalit\u00e9s telles que l\u2019UEBA et l\u2019ITDR aident \u00e0 d\u00e9tecter les anomalies comme l\u2019usurpation d\u2019identit\u00e9, l\u2019abus de session et le mauvais usage des identifiants.<\/p>\n<h3><a id=\"post-150636-_heading=h.rf4phwahy69y\"><\/a>Contr\u00f4ler et surveiller l\u2019utilisation ill\u00e9gitime des outils natifs et des workflows des processus d\u2019entreprise<\/h3>\n<p>Les attaquants peuvent utiliser des utilitaires int\u00e9gr\u00e9s tels que PowerShell ou WMI pour passer inaper\u00e7us. \u00c9tablissez des profils comportementaux de r\u00e9f\u00e9rence et d\u00e9clenchez des alertes en cas d\u2019anomalies. Mappez les workflows m\u00e9tier pour d\u00e9terminer o\u00f9 la confiance dans les processus peut \u00eatre exploit\u00e9e, en particulier aux points d\u2019escalade qui reposent sur des validations rapides ou une identit\u00e9 pr\u00e9sum\u00e9e, comme les r\u00e9initialisations d\u2019identifiants via le service d\u2019assistance, les d\u00e9rogations dans les syst\u00e8mes financiers ou les acc\u00e8s privil\u00e9gi\u00e9s accord\u00e9s via des messages informels sur Slack ou Teams.<\/p>\n<h3><a id=\"post-150636-_heading=h.pwd1mklf3tvr\"><\/a>Renforcer la r\u00e9silience gr\u00e2ce \u00e0 la simulation et \u00e0 la pr\u00e9paration de playbooks<\/h3>\n<p>La pr\u00e9paration r\u00e9duit la probabilit\u00e9 d\u2019erreur. Organisez des exercices en conditions r\u00e9elles bas\u00e9s sur les tactiques actuelles d\u2019ing\u00e9nierie sociale, comme l\u2019usurpation d\u2019identit\u00e9 ou l\u2019utilisation en cha\u00eene d\u2019identifiants compromis. Validez les playbooks, faites participer les \u00e9quipes interfonctionnelles et int\u00e9grez les renseignements sur les menaces de Unit\u00a042 dans les exercices de l\u2019\u00e9quipe bleue et dans les programmes de sensibilisation des utilisateurs.<\/p>\n<h3><a id=\"post-150636-_heading=h.m9k84r05d3q\"><\/a>Appliquer les contr\u00f4les de la couche r\u00e9seau<\/h3>\n<p>D\u00e9ployez la s\u00e9curit\u00e9 DNS avanc\u00e9e et le filtrage URL avanc\u00e9 pour bloquer l\u2019acc\u00e8s aux infrastructures malveillantes. Ces contr\u00f4les permettent de d\u00e9tecter et de pr\u00e9venir les attaques par ing\u00e9nierie sociale qui s\u2019appuient sur des domaines usurp\u00e9s, le \u00ab\u00a0typo-squatting\u00a0\u00bb, l\u2019empoisonnement SEO et le vol d\u2019informations d\u2019identification \u00e0 partir de liens. La visibilit\u00e9 au niveau du r\u00e9seau ajoute une ligne de d\u00e9fense critique lorsque la d\u00e9tection des points finaux ou des identit\u00e9s \u00e9choue.<\/p>\n<p>Verrouiller les chemins de r\u00e9cup\u00e9ration d'identit\u00e9<\/p>\n<p>Les acteurs malveillants ciblent de plus en plus les services d\u2019assistance informatique pour r\u00e9initialiser les identifiants et contourner la MFA. Renforcez les contr\u00f4les autour de la r\u00e9cup\u00e9ration de comptes en appliquant des protocoles stricts de v\u00e9rification d\u2019identit\u00e9, en limitant les personnes autoris\u00e9es \u00e0 initier des r\u00e9initialisations, et en surveillant les comportements inhabituels dans les demandes. Le personnel du service d\u2019assistance devrait recevoir une formation r\u00e9guli\u00e8re bas\u00e9e sur des menaces r\u00e9elles.<\/p>\n<h3><a id=\"post-150636-_heading=h.zi8672m7gzsf\"><\/a>Conclusion<\/h3>\n<p>L\u2019ing\u00e9nierie sociale continue d\u2019\u00e9voluer, mais son succ\u00e8s d\u00e9pend toujours de la confiance. Les d\u00e9fenseurs doivent penser au-del\u00e0 des contr\u00f4les des malwares et de l\u2019infrastructure. Le nouveau p\u00e9rim\u00e8tre est fa\u00e7onn\u00e9 par les personnes, les processus et les d\u00e9cisions qu\u2019elles prennent en temps r\u00e9el. Les recommandations formul\u00e9es dans cette section visent \u00e0 renforcer ces d\u00e9cisions et \u00e0 cr\u00e9er un environnement dans lequel la confiance ne peut pas \u00eatre facilement exploit\u00e9e.<\/p>\n<h2><a id=\"post-150636-_heading=h.5lg9g5dkuuwi\"><\/a>Palo\u00a0Alto\u00a0Networks vous accompagne<\/h2>\n<p>Palo\u00a0Alto\u00a0Networks propose des plateformes de s\u00e9curit\u00e9 unifi\u00e9es qui permettent aux entreprises de se d\u00e9fendre contre les menaces par ing\u00e9nierie sociale, qu\u2019elles soient tr\u00e8s cibl\u00e9es ou de grande ampleur.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/resources\/ebooks\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\"><strong>Cortex XSIAM<\/strong><\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\"><strong>Cortex XDR<\/strong><\/a> transforment le centre des op\u00e9rations de s\u00e9curit\u00e9 (SOC) avec une visibilit\u00e9 et une protection unifi\u00e9es, en bloquant les menaces des terminaux, en ajoutant des fonctions de s\u00e9curit\u00e9 de la messagerie et en permettant une d\u00e9tection, une investigation et une r\u00e9ponse aliment\u00e9es par l\u2019IA, quelle que soit la source de donn\u00e9es.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threats\" target=\"_blank\" rel=\"noopener\"><strong>Advanced WildFire<\/strong><\/a>,<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\"> <strong>Advanced URL Filtering<\/strong><\/a> et<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\"> <strong>Advanced DNS Security<\/strong><\/a> renforcent davantage les d\u00e9fenses en utilisant l\u2019analyse pilot\u00e9e par l\u2019IA pour bloquer l\u2019hame\u00e7onnage, les malwares et les contenus web malveillants avant qu\u2019ils n\u2019atteignent les utilisateurs.<\/p>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/sase\/access\" target=\"_blank\" rel=\"noopener\"><strong>Prisma Access<\/strong><\/a> et <a href=\"https:\/\/start.paloaltonetworks.com\/prisma-airs-demo.html?utm_source=google-jg-amer-portfolio-brnd-port&amp;utm_medium=paid_search&amp;utm_campaign=google-portfolio-portfolio-amer-multi-awareness-en-brand_ai-restructure&amp;utm_content=701Ki000000oro7IAA&amp;utm_term=prisma%20airs&amp;cq_plac=&amp;cq_net=g&amp;gad_source=1&amp;gad_campaignid=22490755190&amp;gbraid=0AAAAADHVeKkVBCsFohLa2mDIYzjbpuRK5&amp;gclid=Cj0KCQjwyvfDBhDYARIsAItzbZFBwM1TVbF3lH38L4HD4ng71RwQeqZV6GwGsz8cK4uHpt-yfUO7jXQaAutYEALw_wcB\" target=\"_blank\" rel=\"noopener\"><strong>Prisma AIRS<\/strong><\/a> \u00e9tendent la protection aux collaborateurs distants, permettant une application coh\u00e9rente des politiques et une pr\u00e9vention des menaces o\u00f9 qu\u2019ils soient. Le <a href=\"https:\/\/www.paloaltonetworks.com\/sase\/prisma-access-browser\" target=\"_blank\" rel=\"noopener\"><strong>Navigateur Prisma Access<\/strong> <\/a>permet de naviguer en toute s\u00e9curit\u00e9 sur le web et de s\u2019isoler des menaces bas\u00e9es sur le web sur n\u2019importe quel appareil.<\/p>\n<p>Pour aider les organisations \u00e0 rester r\u00e9silientes et proactives, le programme<a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/retainer\" target=\"_blank\" rel=\"noopener\"> <strong>Unit 42 Retainer<\/strong><\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/about\" target=\"_blank\" rel=\"noopener\"><strong>Proactive Services<\/strong><\/a> de Palo\u00a0Alto\u00a0Networks offrent une r\u00e9ponse \u00e0 incident 24\u00a0heures sur 24 et 7\u00a0jours sur 7, ainsi qu\u2019un acc\u00e8s aux informations les plus r\u00e9centes sur les menaces. En int\u00e9grant les informations de Unit\u00a042 dans les programmes de formation des employ\u00e9s, les organisations peuvent aider \u00e0 maintenir leur personnel vigilant face aux tactiques \u00e9mergentes d\u2019ing\u00e9nierie sociale, r\u00e9duisant ainsi l\u2019\u00e9cart entre l\u2019innovation des attaquants et la vigilance des \u00e9quipes de s\u00e9curit\u00e9. Cette approche holistique permet de rendre op\u00e9rationnel le principe Zero Trust, de s\u00e9curiser la surface d\u2019attaque humaine et de r\u00e9agir rapidement \u00e0 l\u2019\u00e9volution des menaces.<\/p>\n<h2><a id=\"post-150636-_heading=h.rqf7mue5ztef\"><\/a>Donn\u00e9es et m\u00e9thodologie<\/h2>\n<p>L\u2019objectif de ce rapport est de fournir aux lecteurs une compr\u00e9hension strat\u00e9gique des sc\u00e9narios de menace existants et anticip\u00e9s, leur permettant de mettre en \u0153uvre des strat\u00e9gies de protection plus efficaces.<\/p>\n<p>Pour ce rapport, nous avons recueilli des donn\u00e9es de plus de 700\u00a0cas auxquels Unit\u00a042 a r\u00e9pondu entre mai 2024 et mai\u00a02025. Nos clients vont des petites organisations comptant moins de 50\u00a0personnes aux soci\u00e9t\u00e9s Fortune\u00a0500 et Global\u00a02000, en passant par les organisations gouvernementales comptant plus de 100\u00a0000\u00a0employ\u00e9s.<\/p>\n<p>Les organisations concern\u00e9es avaient leur si\u00e8ge dans 49\u00a0pays diff\u00e9rents. Environ 73\u00a0% des organisations cibl\u00e9es dans ces cas \u00e9taient situ\u00e9es en Am\u00e9rique du Nord. Les cas concernant des organisations bas\u00e9es en Europe, au Moyen-Orient et dans la r\u00e9gion Asie-Pacifique repr\u00e9sentent environ 27\u00a0% du total des interventions. Les attaques ont souvent un impact au-del\u00e0 des lieux o\u00f9 les organisations ont leur si\u00e8ge.<\/p>\n<p>Les r\u00e9sultats peuvent diff\u00e9rer de ceux publi\u00e9s dans le rapport de janvier\u00a02025, <a href=\"https:\/\/www.paloaltonetworks.com\/resources\/research\/unit-42-incident-response-report?utm_source=google-jg-amer-unit42-unrc-unpt&amp;utm_medium=paid_search&amp;utm_campaign=google-unit42-unit42_port-amer-multi-lead_gen-en-brand&amp;utm_content=7014u000001ZyZbAAK&amp;utm_term=unit%2042%20incident%20response&amp;cq_plac=&amp;cq_net=g&amp;gad_source=1&amp;gad_campaignid=20369915902&amp;gbraid=0AAAAADHVeKl-iJ526vXa9_8M4CQLN7U8s&amp;gclid=CjwKCAjwprjDBhBTEiwA1m1d0jcc13ZR37ezKDbwwclTLp2OGMp0fAgfYH-OGyEcJ4AWxw6n_sdFZxoCSP8QAvD_BwE\" target=\"_blank\" rel=\"noopener\">Rapport mondial sur les r\u00e9ponses \u00e0 incident<\/a> qui analyse les cas de r\u00e9ponse \u00e0 incident entre octobre 2023 et octobre\u00a02024. Les diff\u00e9rences de pourcentages s\u2019expliquent \u00e0 la fois par les p\u00e9riodes analys\u00e9es et par la nature cibl\u00e9e de ce rapport, qui met l\u2019accent sur les intrusions sp\u00e9cifiques \u00e0 l\u2019ing\u00e9nierie sociale dans diff\u00e9rents secteurs.<br \/>\nNous avons exclu de nos donn\u00e9es certains facteurs susceptibles de compromettre l\u2019int\u00e9grit\u00e9 de notre analyse. Par exemple, nous avons assist\u00e9 des clients enqu\u00eatant sur les \u00e9ventuels impacts de la vuln\u00e9rabilit\u00e9 CVE-2024-3400, ce qui explique la fr\u00e9quence inhabituelle de cette faille dans notre ensemble de donn\u00e9es. Le cas \u00e9ch\u00e9ant, nous avons recalibr\u00e9 les donn\u00e9es pour corriger les d\u00e9s\u00e9quilibres statistiques.<\/p>\n<h2><a id=\"post-150636-_heading=h.b059x57eb1d6\"><\/a>Annexe\u00a0:<\/h2>\n<h3>Les secteurs les plus touch\u00e9s par les attaques d\u2019ing\u00e9nierie sociale<\/h3>\n<p>Selon les donn\u00e9es de r\u00e9ponse \u00e0 incident de Unit\u00a042 de mai\u00a02024 \u00e0 mai\u00a02025, le secteur de la haute technologie a \u00e9t\u00e9 le plus cibl\u00e9 parmi toutes les intrusions confirm\u00e9es. Mais si l\u2019on isole l\u2019ing\u00e9nierie sociale, c\u2019est l\u2019industrie manufacturi\u00e8re qui est la plus touch\u00e9e. Cette \u00e9volution montre que les tactiques des attaquants varient en fonction du profil de l\u2019industrie. Voir la figure\u00a06 pour la r\u00e9partition compl\u00e8te par secteur.<br \/>\n<img  class=\"alignnone wp-image-150844 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-6-514x440.png\" alt=\"Diagramme \u00e0 barres intitul\u00e9 \u00ab\u00a0Figure\u00a06\u00a0: R\u00e9partition de l\u2019exposition des donn\u00e9es\u00a0: ing\u00e9nierie sociale et \u0430utres attaques\u00a0\u00bb montrant la r\u00e9partition en pourcentage entre les diff\u00e9rents secteurs. Le secteur manufacturier enregistre le plus haut pourcentage d\u2019attaques par ing\u00e9nierie sociale (15\u00a0%), tandis que celui des hautes technologies arrive en t\u00eate pour les autres types d\u2019attaques (17\u00a0%). Parmi les autres secteurs repr\u00e9sent\u00e9s figurent les services professionnels\/juridiques, le commerce de gros\/retail, les services financiers et les soins de sant\u00e9, avec des taux d\u2019attaques allant de 9 \u00e0 15\u00a0% pour l\u2019ing\u00e9nierie sociale et de 6 \u00e0 17\u00a0% pour les autres attaques. Les attaques par ing\u00e9nierie sociale sont indiqu\u00e9es en jaune et les autres attaques en rouge. \" width=\"1000\" height=\"856\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-6-514x440.png 514w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-6-818x700.png 818w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-6-768x657.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/FR-figure-6.png 1316w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L'ing\u00e9nierie sociale se nourrit de la confiance et est d\u00e9sormais stimul\u00e9e par l'IA. Les donn\u00e9es de r\u00e9ponse aux incidents de l'Unit\u00e9 42 expliquent pourquoi elle est en plein essor. Nous d\u00e9taillons huit contre-mesures essentielles.<\/p>\n","protected":false},"author":23,"featured_media":147917,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8715,8733,8823,8787,8845],"tags":[9296,9436,9437,9438,9439,9443,9265,9440,9441,9442,9187],"product_categories":[8956,8973,8979,8955,9005,9041,9053,9064,9136,9151],"coauthors":[1025],"class_list":["post-150636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-business-email-compromise-fr","category-cybercrime-fr","category-threat-actor-groups-fr","category-malware-fr","category-trend-reports-fr","tag-agent-serpens-fr","tag-agentic-ai-fr","tag-clickfix-fr","tag-credential-harvesting-fr","tag-lumma-stealer-fr","tag-mfa-fr","tag-muddled-libra-fr","tag-redline-infostealer-fr","tag-remote-access-tool-fr","tag-seo-poisoning-fr","tag-social-engineering-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-code-to-cloud-platform-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-prisma-access-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale<\/title>\n<meta name=\"description\" content=\"L&#039;ing\u00e9nierie sociale se nourrit de la confiance et est d\u00e9sormais stimul\u00e9e par l&#039;IA. Les donn\u00e9es de r\u00e9ponse aux incidents de l&#039;Unit\u00e9 42 expliquent pourquoi elle est en plein essor. Nous d\u00e9taillons huit contre-mesures essentielles.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale\" \/>\n<meta property=\"og:description\" content=\"L&#039;ing\u00e9nierie sociale se nourrit de la confiance et est d\u00e9sormais stimul\u00e9e par l&#039;IA. Les donn\u00e9es de r\u00e9ponse aux incidents de l&#039;Unit\u00e9 42 expliquent pourquoi elle est en plein essor. Nous d\u00e9taillons huit contre-mesures essentielles.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-07-30T13:18:53+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-08-07T13:45:38+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/cover-1920x900-no-blades.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale","description":"L'ing\u00e9nierie sociale se nourrit de la confiance et est d\u00e9sormais stimul\u00e9e par l'IA. Les donn\u00e9es de r\u00e9ponse aux incidents de l'Unit\u00e9 42 expliquent pourquoi elle est en plein essor. Nous d\u00e9taillons huit contre-mesures essentielles.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/","og_locale":"fr_FR","og_type":"article","og_title":"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale","og_description":"L'ing\u00e9nierie sociale se nourrit de la confiance et est d\u00e9sormais stimul\u00e9e par l'IA. Les donn\u00e9es de r\u00e9ponse aux incidents de l'Unit\u00e9 42 expliquent pourquoi elle est en plein essor. Nous d\u00e9taillons huit contre-mesures essentielles.","og_url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/","og_site_name":"Unit 42","article_published_time":"2025-07-30T13:18:53+00:00","article_modified_time":"2025-08-07T13:45:38+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/cover-1920x900-no-blades.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#article","isPartOf":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale","datePublished":"2025-07-30T13:18:53+00:00","dateModified":"2025-08-07T13:45:38+00:00","mainEntityOfPage":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/"},"wordCount":8560,"image":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/cover-1920x900-no-blades.jpg","keywords":["Agent Serpens","Agentic AI","ClickFix","Credential Harvesting","Lumma Stealer","MFA","Muddled Libra","Redline infostealer","Remote Access Tool","SEO poisoning","social engineering"],"articleSection":["Compromission de messagerie professionnelle (BEC)","Cybercrime","Groupes cybercriminels","Malware","Rapports de tendances"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/","url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/","name":"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#primaryimage"},"image":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/cover-1920x900-no-blades.jpg","datePublished":"2025-07-30T13:18:53+00:00","dateModified":"2025-08-07T13:45:38+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"L'ing\u00e9nierie sociale se nourrit de la confiance et est d\u00e9sormais stimul\u00e9e par l'IA. Les donn\u00e9es de r\u00e9ponse aux incidents de l'Unit\u00e9 42 expliquent pourquoi elle est en plein essor. Nous d\u00e9taillons huit contre-mesures essentielles.","breadcrumb":{"@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/cover-1920x900-no-blades.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/07\/cover-1920x900-no-blades.jpg","width":1920,"height":900,"caption":"Pictorial representation of social engineering. Digital illustration of four human profiles connected by glowing neural network lines against a dark background, symbolizing connectivity and technology."},{"@type":"BreadcrumbList","@id":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/2025-unit-42-global-incident-response-report-social-engineering-edition\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Rapport global 2025 de Unit\u00a042 sur la r\u00e9ponse \u00e0 incident\u00a0: \u00e9dition sp\u00e9ciale sur l\u2019ing\u00e9nierie sociale"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/5b5a1c33b73a577ebaf42f25081b0ebd","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/150636","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=150636"}],"version-history":[{"count":4,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/150636\/revisions"}],"predecessor-version":[{"id":150856,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/150636\/revisions\/150856"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/147917"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=150636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=150636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=150636"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=150636"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=150636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}