Recorded Future a publié son rapport 2026 sur l’état de la sécurité, qui montre que les cyberopérations sont désormais indissociables des conflits physiques, de la coercition et de l’espionnage. Le rapport souligne que la fragmentation géopolitique et l’adoption de l’intelligence artificielle (IA) créent un environnement instable, les attaques persistantes devenant la norme dans le paysage mondial des menaces. Le Dr Christopher Ahlberg, cofondateur de Recorded Future, a présenté les principales conclusions et souligné comment les cyberopérations, le renseignement et les technologies émergentes redéfinissent la concurrence géopolitique et la sécurité nationale lors d’une table ronde à la Munich Cyber Security Conference.
Le rapport sur l’état de la sécurité identifie 2025 comme un point d’inflexion clair où les cyberactivités sont devenues étroitement liées aux résultats géopolitiques dans le monde réel. Le rapport constate que l’IA contribue à cette convergence en accélérant l’ampleur de la tromperie, de l’usurpation d’identité et de l’incertitude plus rapidement que les institutions ne peuvent s’adapter, ce qui contribue à une instabilité accrue en 2026.
« L’incertitude n’est plus épisodique, c’est l’environnement opérationnel », a déclaré Levi Gundert, directeur de la sécurité et du renseignement chez Recorded Future. « À mesure que les normes géopolitiques s’affaiblissent, les objectifs des États, les capacités criminelles et les technologies du secteur privé se renforcent mutuellement, réduisant les délais d’alerte et élargissant la dénégation plausible. L’IA accélère cette dynamique non pas par des attaques autonomes, mais en amplifiant la tromperie et en érodant la confiance au sein des processus décisionnels. En 2026, le cyber-risque sera moins défini par des événements ponctuels que par une pression persistante et fragmentée qui remodèlera la concurrence, l’escalade et la stabilité au fil du temps. »
Voici les principales conclusions :
- Le cyberespace comme moyen de coercition : les États-nations utilisent de plus en plus l’accès au cyberespace, en particulier à la périphérie des réseaux et des infrastructures de connectivité, comme un levier stratégique pouvant être activé en cas de crise.
- L’identité comme nouvelle surface d’attaque : la plupart des intrusions graves commencent désormais par le vol d’identifiants plutôt que par des exploits techniques, ce qui déplace le centre de gravité de la sécurité vers l’identité et l’accès.
- Échec de la vérification basée sur l’IA : bien que les cyberopérations entièrement autonomes basées sur l’IA ne se soient pas encore concrétisées, l’IA amplifie déjà la tromperie, l’ingénierie sociale et l’usurpation d’identité à grande échelle.
- Écosystèmes durables alignés sur les États : des opérations d’influence russes soutenues par une infrastructure criminelle résiliente aux logiciels espions mercenaires et au contournement des sanctions par la Corée du Nord, les capacités cyber s’avèrent adaptables et difficiles à démanteler par la seule pression politique.
Le rapport prévoit qu’en 2026, les cybermenaces seront caractérisées par une pression fragmentée et constante, alimentée par un accès persistant, des écosystèmes criminels décentralisés, des opérations d’influence et des identités synthétiques qui remplaceront les attaques ponctuelles par des perturbations continues et peu visibles.
Voici les principales prévisions :
- 2026 sera caractérisée par des menaces fragmentées et permanentes : les cyberrisques proviendront de plus en plus d’activités constantes et chevauchantes menées par des États, des criminels et des mandataires, plutôt que d’attaques isolées faisant la une des journaux.
- Les cyberopérations des États passeront entièrement à une pression persistante : les États-nations s’appuieront sur un prépositionnement discret, le vol d’identifiants et l’accès aux identités pour maintenir une influence continue et permettre une escalade rapide sans avertissement préalable.
- Les perturbations de la connectivité deviendront l’outil de coercition privilégié : au lieu de cyberattaques destructrices, les États privilégieront des perturbations brèves et réversibles des câbles, des satellites et des infrastructures de télécommunications pour signaler leur puissance tout en restant en dessous des seuils d’escalade.
- La cybercriminalité deviendra plus petite, plus rapide et plus difficile à perturber : les groupes de ransomware et d’extorsion se scinderont en équipes agiles et modulaires qui privilégieront la rapidité, la persistance et la visibilité plutôt que les gains importants.
- Les opérations d’influence privilégieront le volume à la crédibilité : les hacktivistes et les réseaux d’influence utiliseront l’IA pour inonder l’environnement informationnel de déclarations exagérées ou d’authenticité mitigée, entretenant la confusion même lorsque les récits manquent de crédibilité.
Au cours de sa table ronde, le Dr Ahlberg a discuté de ces conclusions clés et de la manière dont la cyberactivité est devenue une caractéristique permanente de la concurrence stratégique, n’étant plus un domaine distinct, mais une couche de pression persistante qui façonne l’escalade des crises, la dissuasion et l’instabilité.
« Les cyberopérations ne sont plus une préparation au conflit, elles font partie intégrante du conflit », a déclaré le Dr Ahlberg. « Ce que nous observons, c’est que les adversaires se connectent, ils ne piratent pas. Il s’agit d’une évolution vers l’accès, l’influence et le levier qui peuvent être activés en cas de tensions politiques ou militaires, souvent en dessous du seuil de réponse traditionnel. »
