Ransomware, fraude au virement et compromission de comptes Microsoft 365… 80 à 90 % des attaques réussies commencent par vol d’identifiants. Face à cette réalité, l’authentification multifacteur devient un impératif pour la survie opérationnelle et la conformité des entreprises.
L’ANSSI a traité plus de 4 300 événements de sécurité en 2024, soit une augmentation de 15 % par rapport à 2023. Les tendances se poursuivent avec une intensification des attaques lucratives. Les PME et ETI représentent désormais une part majoritaire des victimes, représentant jusqu’à 37 % des compromissions par rançongiciel selon les panoramas récents.
Le vol d’identifiants, via phishing sophistiqué ou réutilisation de mots de passe, domine les vecteurs d’entrée. Des rapports comme ceux de Microsoft indiquent que plus de 99 % des comptes compromis n’avaient pas activé la MFA. Et, des études globales confirment que le phishing, souvent credential phishing, initie la majorité des breaches.
EBS Group, société spécialisée en accompagnement cybersécurité pour ces structures intermédiaires, constate que cette faille persiste malgré les alertes répétées des autorités comme l’ANSSI ou Cybermalveillance.gouv.fr.
L’usurpation d’identité est devenue, selon leurs termes, un « sport national » pour les hackers. Cécilia Lopes, fondatrice d’EBS Group France, nous partage son analyse et ses retours terrain.
Faible équipement, budgets limités, dirigeants des PME et ETI cibles
Les cybercriminels ciblent prioritairement les PME et ETI françaises pour plusieurs raisons structurelles. D’une part, le contexte géopolitique expose l’ensemble des entreprises hexagonales à des menaces accrues comme les campagnes étatiques ou opportunistes. D’autre part, le taux d’équipement en solutions de cybersécurité reste faible dans ces structures par rapport à la menace réelle.
« Les grands groupes, quant à eux, disposent de moyens financiers plus importants que les PME/ETI et ont intégré depuis plusieurs années un budget dédié aux solutions de cybersécurité », explique Cécilia Lopes. En conséquence, ces grandes entreprises possèdent une DSI structurée et souvent un RSSI, contrairement aux PME et ETI qui ne peuvent pas encore se le permettre.
En outre, ces dernières ne manquent fréquemment d’équipe IT interne dédiée, sensibilisation limitée des dirigeants et collaborateurs. Les entreprises de petite taille apparaissent donc comme des cibles « faciles » mais rentables.
Des rapports 2025-2026 (Orange Cyberdefense et de l’ANSSI) confirment que ces entités représentent généralement plus de 60 % des victimes de cyber-extorsion ou de phishing massif.
Les attaquants adaptent leurs tactiques à ces cibles en privilégiant des rançons modérées et des phishing automatisé pour accélérer les paiements.
Le vol d’identifiants, une faille fatale qui persiste en 2026
Depuis plus d’un an, l’usurpation d’identité domine les attaques observées sur le terrain. Les vecteurs les plus courants restent le phishing, amplifié par l’IA générative qui rend les messages plus crédibles. Le credential stuffing ou la réutilisation de fuites massives de mots de passe et le password spraying complètent le tableau.
Cette faille alimente directement les ransomwares, le chiffrement des données, les fraudes au virement via la messagerie compromise. En outre, le vol d’identifiants touche massivement les comptes Microsoft 365 – outil omniprésent dans les PME/ETI.
Des statistiques récentes montrent que le phishing représente jusqu’à 90 % des points d’entrée dans les brèches. Et que les attaques credential phishing visent massivement les services cloud comme M365. Sans MFA, un simple login/mot de passe compromis ouvre la voie à un contrôle total.
Un cas récent illustre cette chaîne destructrice. Une entreprise du secteur du BTP a vu son compte Microsoft 365 principal compromis.
Cécilia Lopes partage : « Après investigation de nos équipes techniques, il s’est avéré que les systèmes de protection de base, intégrés à leurs licences M365 Business Premium, n’avaient pas été mis en place– MFA absent, SPF/DKIM/DMARC non configurés, géolocalisation désactivée. Aucun programme de sensibilisation aux bonnes pratiques n’était en place. »
Dans les PME/ETI, le dirigeant est souvent l’administrateur global du tenant M365. Une fois le compte usurpé, même un hacker peu expérimenté peut prendre le contrôle total. Il peut alors modifier les règles de messagerie, extraire des données sensibles, déployer des malwares ou lancer des fraudes internes.
Une telle attaque peut provoquer l’arrêt des opérations, la perte de contrats, des coûts de restauration majeurs et, dans les cas extrêmes, un dépôt de bilan.
MFA, le basique devenu vital
L’authentification multifacteur (MFA) bloque plus de 99 % des tentatives de compromission courantes, selon des données Microsoft et d’experts terrain. Elle doit s’appliquer à tous les accès, de l’ouverture de session PC/Mac, accès aux applications via SSO (Single Sign-On) ou manuellement.
Couplée à des mots de passe complexes et à une formation des collaborateurs, elle constitue le socle minimal de sécurité. Pourtant, le déploiement paraît complexe pour les PME sans IT dédiée.
Certaines entreprises sous-estiment la simplicité du MFA ; dans de nombreux cas, il suffit d’activer des options natives comme Microsoft Authenticator.
D’autres négligent la formation des utilisateurs. La MFA est alors perçue comme contraignante, ou l’oubliée sur certains accès critiques.
Pour éviter ces pièges en 2026, Cécile Lopes préconise de démystifier l’outil et la présente comme simple et vitale. Il faut prioriser les accès administrateur et cloud, puis se faire accompagner par un prestataire pour une mise en place progressive. Sans cela, le risque d’arrêt de production ou de pertes financières massives reste élevé.
