Plus de 70 pages constituent le Rapport 2026 sur le panorama des menaces mondiales de FortiGuard Labs, entité appartenant à l’éditeur américain de solutions de cybersécurité Fortinet. Lancé pour la première fois il y a 10 ans, ce document dresse un constat sans appel sur les nouvelles méthodes d’expansion de la cybercriminalité, qui tend aujourd’hui à abandonner les attaques isolées pour opérer comme un écosystème industriel à l’échelle mondiale, profitant notamment de l’IA. Résultat : les victimes de ransomwares sont en hausse de 389 % sur un an. Les détails.
L’Intelligence artificielle n’a pas que du bon, surtout en matière de cybersécurité. Dans son 2026 Global Threat
Landscape Report partagé le 4 mai, FortiGuard Labs dresse un panorama complet des menaces et tendances du marché, tirées de ses propres indicateurs et données de télémétrie. De quoi témoigner de l’adoption rapide de l’IA par les cybercriminels, qui abandonnent désormais leur image de hackers isolés pour agir en groupe avec de nouvelles méthodes reposant sur l’automatisation.
Terminé, donc, le “fait maison” : FortiGuard Labs mentionne une menace quasiment autonome boostée à l’IA, grâce à laquelle les cybercriminels peuvent pallier un manque de compétences techniques pour effectuer leurs attaques. En parallèle, de plus en plus d’outils offensifs basés sur l’IA sont à présent commercialisés comme des services à part entière, de WormGPT à FraudGPT, en passant par HexStrik AI et BruteForceAI. Une aubaine pour les pirates informatiques, qui gagnent en productivité et se concentrent sur des attaques plus ciblées au taux de réussite élevé. Ainsi, si le nombre de tentatives d’intrusion (le simple fait de pénétrer un système) est en baisse de 22 % sur un an, les tentatives d’exploitation (par exemple, l’exécution d’un code malveillant profitant d’une faille de sécurité), elles, sont en hausse de 25 %, pour un total de 122 milliards d’attaques.
Mutualiser pour aller plus vite
Si le recours à l’IA permet aux hackers de gagner en productivité, leurs capacités à mutualiser les ressources est également un formidable levier d’efficacité. FortiGuard Labs indique ainsi que 54 % des 635 exploitations actives observées s’appuyaient sur un PoC public, et même que 31 % disposaient d’un code d’exploitation pleinement fonctionnel. Autrement dit : nul besoin, aujourd’hui, d’être un génie de l’informatique pour réussir une cyber-attaque, puisque les outils sont déjà disponibles sur le web.
Résultat : le délai d’exploitation (ou TTE, pour Time-to-Exploit), soit le temps entre la divulgation d’une faille informatique et sa première exploitation active, est réduit au minimum. Alors qu’il s’élevait à 5 jours dans la précédente édition du rapport Fortinet, cet indicateur fluctue à présent entre 24 et 48 heures pour les vulnérabilités, voire même à zéro jour pour des cas majeurs (les attaques de Fortra, Oracle et Apache Tomcat notamment, toutes survenues en 2025).
L’identité, ce précieux sésame
Profitant des nouvelles armes dont ils disposent, les cybercriminels se concentrent, sans surprise, sur le vol d’identifiants et de données personnelles. En 2025, 4,62 milliards de journaux d’infostealers (c’est-à-dire de logiciels malveillants visant à pénétrer les systèmes d’information et y voler des informations sensibles) ont été échangés sur le dark web, soit 79 % de plus que l’année précédente. Parmi eux, le marché est dominé par le malware RedLine, découvert en 2020, qui concentre à lui seul plus de 50 % des infractions, devant Lumma et Vidar.
Le rapport Fortinet met également en exergue les risques liés au cloud : “dans les environnements cloud, la compromission des identités reste le principal vecteur d’intrusion, les identifiants valides servant de point d’entrée et les API de couche d’exécution”, note l’éditeur. Ainsi, la plupart des incidents cloud ne sont pas directement dus à une faille de l’infrastructure, mais bien à l’utilisation d’identifiants compromis.
L’explosion des ransomwares et du “Living-off-the-Land”
Dans le détail, les attaquants privilégient la méthode du “Living-off-the-Land” : plutôt que d’apporter un logiciel malveillant de l’extérieur, ils utilisent les outils légitimes déjà présents sur le système d’information des victimes pour mener leurs attaques. Cette tendance s’observe dans 49 % des cas d’activités suspectes relevées par FortiGuard Labs. Le contrôle du système, après compromission, est ensuite assuré par des botnets infectés.
Face à ce rodage des méthodes utilisées et à l’industrialisation de la cybercriminalité, l’éditeur américain recense 7 831 entreprises mondiales victimes de ransomwares en 2025, contre 1 600 un an plus tôt, avec une appétence pour les secteurs de l’industrie (1 284 incidents), des services B2B (824) et du commerce de détail (682). D’un point de vue géographique, les États-Unis concentrent le plus grand nombre d’attaques (3 381), devant le Canada (374) et l’Allemagne (291).
« Au fur et à mesure que les cybercriminels adossent leurs tactiques à l’IA, les entreprises doivent faire évoluer leurs opérations de cybersécurité en adoptant une défense industrialisée et des outils optimisés par l’IA, pour ainsi répondre avec la même rapidité et fluidité que les cybermenaces actuelles », commente Derek Manky, Chief Security Strategist & Global VP Threat Intelligence chez Fortinet FortiGuard Labs. Reste à espérer que les initiatives internationales, telles que le Cybercrime Atlas du Forum économique mondial, parviennent rapidement à inverser la tendance.
