La progression latérale dans les cyberattaques continue d’échapper à la détection, révélant des lacunes critiques en matière de visibilité, selon une étude d’Illumio

Malgré des investissements importants dans les outils de sécurité, 88 % des organisations françaises ont subi un incident de cybersécurité impliquant une progression latérale, au cours de l’année écoulée.

Illumio, spécialiste de la limitation des violations de sécurité, a publié aujourd’hui le Global Cloud Detection and Response Report 2025, basé sur une enquête mondiale menée auprès de 1 150 responsables en cybersécurité dont 150 en France. Les résultats révèlent que la progression latérale demeure l’une des tactiques les plus furtives et les plus destructrices dans les cyberattaques modernes, exposant des lacunes critiques en matière de visibilité, de détection et de réponse.

Selon l’étude, 88 % des répondants français (90% à l’échelle internationale) ont subi un incident de cybersécurité impliquant une progression latérale au cours de l’année écoulée, chaque incident entraînant en moyenne 6,1 heures d’interruption de service (plus de 7 heures à l’échelle mondiale).

Les deux principaux obstacles à la détection de la progression latérale sont la surcharge d’alertes et le manque de contexte et d’informations exploitables, ce qui souligne le besoin d’une observabilité bien plus avancée et contextualisée.

Des outils de détection et de réponse dans le cloud (CDR) adoptés, mais souvent insuffisants : 83 % des organisations utilisent des outils CDR, mais 94 % rencontrent des difficultés avec leurs capacités actuelles. Les principaux problèmes identifiés sont un manque de couverture des environnements hybrides, la surcharge d’alertes et un contexte insuffisant, ce qui met en évidence la nécessité de solutions CDR plus efficaces et enrichies en contexte.

La visibilité fait défaut là où elle est la plus cruciale : 75 % des responsables en cybersécurité déclarent surveiller les communications hybrides, et 73 % surveillent le trafic est-ouest, mais 37 % du trafic réseau manquent encore de contexte suffisant pour permettre une investigation fiable. Seuls 38 % ont pu détecter des incidents impliquant une progression latérale à l’aide d’outils de détection traditionnels.

La surcharge d’alertes est écrasante : Les équipes françaises reçoivent en moyenne 2 336 alertes par jour, un chiffre dépassé uniquement par l’ Allemagne (2,416 alertes). 71 % estiment que leur équipe reçoit plus d’alertes qu’elle ne peut en traiter efficacement.

Les alertes manquées ont des conséquences concrètes : 89 % des organisations françaises ont subi des incidents de sécurité liés à des alertes non traitées ou non investiguées. En moyenne, il faut 11,7 heures pour détecter un problème causé par une alerte manquée un chiffre légèrement inférieur à la moyenne mondiale (12,1 heures).

Les faux positifs entravent les opérations de sécurité : Les équipes de sécurité françaises consacrent 13,7 heures par semaine à traiter des faux positifs, principalement en raison de technologies de détection obsolètes, d’un manque de contexte dans les alertes et de la prolifération des outils. 73 % déclarent que cela nuit à leur capacité à se concentrer sur les véritables menaces, et 21 % signalent des réponses manquées ou retardées face à des menaces réelles.

Perspectives : le potentiel de l’IA et du Machine Learning dans la limitation des violations

Alors que les équipes françaises de cybersécurité se préparent pour 2026, les priorités se déplacent vers la visibilité pilotée par l’IA, l’automatisation du triage, et la mise en conformité.

• Renforcer les capacités basées sur l’IA et le ML : 40 %
• Améliorer la détection et la réponse dans le cloud : 31 %
• Automatiser le triage et l’investigation des menaces : 30 %
• Renforcer la conformité et la préparation aux audits : 30 %

« Dans l’environnement de menaces dynamique d’aujourd’hui, la visibilité en temps réel n’est pas un luxe, c’est une nécessité », déclare Andrew Rubin, PDG et fondateur d’Illumio.

« Dans une architecture hybride maillée, tirer parti du graphe de sécurité réseau alimenté par l’IA et se concentrer sur la limitation des violations est la seule stratégie véritablement scalable. L’observabilité alimentée par l’IA doit aller au-delà de la simple détection : elle doit identifier rapidement les menaces et les stopper immédiatement avant qu’elles ne se propagent. »

Zeus Kerravala de ZK Research souligne que « alors que l’IA générative permet aux attaquants de concevoir des campagnes d’ingénierie sociale de plus en plus convaincantes, Lookout élève le niveau de la défense contre les menaces mobiles. Avec Smishing AI, ils ne se contentent pas de réagir aux menaces, ils les anticipent. »

Smishing AI de Lookout est disponible dans le cadre de la plateforme Lookout Mobile Endpoint Security.

Pour en savoir plus, consultez : https://www.lookout.com/blog/ai-smishing-protection