SOC Threat Radar — Avril 2026

Les dernières menaces auxquelles sont confrontées les entreprises, selon Barracuda Managed XDR

Ce qu’il faut retenir

• Une recrudescence des attaques par force brute contre des dispositifs de réseau, dont 88 % proviennent du Moyen-Orient
• Le ransomware Qilin se déploie en quelques minutes après la diffusion du malware.
• Une hausse des incidents d’hameçonnage avec ClickFix a été observée.

Augmentation des attaques d’authentification par force brute ciblant les dispositifs réseau

Que se passe-t-il ?

Entre janvier et mars 2026, Barracuda Managed XDR a enregistré une forte augmentation des tentatives d'authentification par force brute confirmées ciblant les dispositifs SonicWall et FortiGate. Ces alertes représentaient plus de la moitié (56%) de tous les incidents confirmés par le SOC au cours de la période février-mars.

L’activité était fortement concentrée, avec environ 88 % des attaques provenant du Moyen-Orient. La plupart des tentatives ont échoué : elles ont été soit bloquées par des outils de sécurité, soit dirigées vers des noms d’utilisateur non valides. 

Les pirates analysent et testent activement les appareils du périmètre pour y trouver des identifiants vulnérables ou exposés. Même lorsque les attaques échouent, la persistance de ces tentatives augmente le risque qu’un seul mot de passe faible ou une mauvaise configuration puisse entraîner une compromission.

Votre organisation peut être à risque si vous avez :

• Contrôles d'accès et d'authentification inadéquats, tels que l'absence d'authentification multifacteur (MFA)
• Des mots de passe peu sûrs ou réutilisés sur les comptes de firewall ou de VPN
• Des appareils connectés à Internet qui ne sont pas surveillés pour détecter les échecs de connexion répétés
• Des comptes anciens ou inutilisés/inactifs (« fantômes ») qui sont restés activés

Pour protéger votre organisation :

• Imposez des mots de passe forts et uniques sur tous les dispositifs réseau et de sécurité
• Activez l’authentification multifacteur sur tous les VPN, firewalls et services d’accès à distance
• Surveillez et signalez tous les échecs de connexion répétés
• Limitez dans la mesure du possible les interfaces de gestion aux plages d’adresses IP de confiance

Le ransomware Qilin se déploie quelques minutes après la diffusion du malware

Que se passe-t-il ?

Qilin figure actuellement parmi les groupes de ransomware les plus actifs. Il est également très rapide. Les équipes SOC de Barracuda ont neutralisé une attaque Qilin qui impliquait un terminal vulnérable compromis par des pirates. Une fois le malware exécuté, l’attaque a progressé rapidement, avec des modifications de fichiers à grande échelle et une activité d’exécution suspecte. L’équipe a immédiatement mis le réseau en quarantaine afin de contenir l’attaque et d’empêcher toute propagation ultérieure.

Votre organisation pourrait être exposée à un incident de ransomware dans les cas suivants :

• Vous avez un manque de visibilité sur le réseau informatique pour détecter des activités inhabituelles ou suspectes, telles que des mouvements latéraux ou des falsifications de fichiers, surtout lorsque ces événements sont liés aux actions des utilisateurs
• Contrôles d'accès et d'authentification inadéquats, tels que l'absence d'authentification multifacteur (MFA)
• Les employés ne bénéficient pas d’une formation régulière de sensibilisation à la sécurité leur permettant de reconnaître les derniers scams d’hameçonnage et de social engineering visant à dérober des identités et des identifiants d’accès
• Un trop grand nombre d’employés bénéficie de droits d’accès privilégiés
• Terminaux non protégés ou insuffisamment surveillés
• Processus de Backup et de restauration insuffisants

Pour protéger votre organisation :

• Surveillez les hausses soudaines dans les activités de modification ou de chiffrement des fichiers.
• Assurez-vous que les sauvegardes soient récentes, testées et isolées du réseau principal.
• Activez le confinement rapide et l’isolement des appareils touchés pour limiter la propagation.
• Formez les employés à la détection des attaques d’usurpation d’identité.
• Déployez un système de sécurité des terminaux —comme Barracuda Managed XDR Endpoint Security— qui détecte les ransomwares en fonction de leur comportement, et pas seulement en fonction de leurs signatures, et qui peuvent contenir des incidents qui progressent rapidement.

Une augmentation du nombre d’infections de type ClickFix

Que se passe-t-il ?

Les équipes du centre d’opérations de sécurité (SOC) de Barracuda Managed XDR constatent une augmentation des attaques de type ClickFix ciblant les organisations. ClickFix utilise des tactiques de social engineering pour inciter la cible à cliquer sur un élément ou à copier-coller du texte dans une case pour « résoudre » un problème, alors que cela déclenche en réalité une commande ou un fichier malveillant. Les attaques commencent souvent par un e-mail de phishing.

Les attaques ClickFix exploitent la confiance et l’anxiété des utilisateurs. Les pirates utilisent des éléments et un langage familiers, tels que des pop-ups, des messages d’invite et l’idée de « lancer une correction ». Les attaques ClickFix, qui consistent à tromper les utilisateurs pour qu’ils ajoutent eux-mêmes des commandes malveillantes, sont plus difficiles à détecter pour les systèmes de sécurité automatisés.

Votre organisation peut être à risque si vous :

• Ne proposez pas de formation régulière de sensibilisation à la sécurité pour les employés afin de leur apprendre à reconnaître les dernières tactiques d’hameçonnage et de social engineering.
• Manque de contrôles de permissions efficaces — entraînant un trop grand nombre d'utilisateurs qui peuvent exécuter des scripts ou des commandes sans restriction
• Bénéficiez d’une visibilité limitée sur les activités de la ligne de commande ou basées sur des scripts sur vos terminaux.
• Ne disposez pas des outils nécessaires pour surveiller ou reconnaître de manière cohérente le comportement inhabituel d’un processus.

Pour protéger votre organisation :

• Formez les employés à se tourner au préalable vers le service informatique s’ils reçoivent des instructions inattendues pour « résoudre » des problèmes en cliquant sur un lien, en copiant-collant du contenu dans une case ou en exécutant des commandes ou des fichiers.
• Limitez les utilisateurs autorisés à exécuter PowerShell, les scripts, ou les outils de ligne de commande.
• Utilisez des outils de sécurité qui surveillent les comportements anormaux au sein des processus, en particulier les anomalies de processus dites « parent-enfant », et qui sont capables de corréler les actions des utilisateurs avec l’activité des terminaux afin de vérifier rapidement si une exécution est malveillante.
• Les outils Barracuda Managed XDR Endpoint Security signalent les comportements inhabituels, tels que des activités suspectes dans PowerShell ou la ligne de commande, ou encore des programmes qui lancent d’autres programmes de manière inattendue.

Comment le système Barracuda Managed XDR peut-il aider votre entreprise ?

Barracuda Managed XDR offre une protection avancée contre les menaces identifiées dans ce rapport en combinant une technologie de pointe avec une surveillance experte du SOC. Avec des renseignements sur les menaces en temps réel, des réponses automatisées, une équipe SOC disponible 24 h/24 et 7 j/7 et 

XDR Managed Vulnerability Security qui identifie les failles et les oublis en matière de sécurité, Barracuda Managed XDR assure une protection complète et proactive de votre réseau, de votre cloud, de vos e-mails, de vos serveurs et de vos points de terminaison, vous permettant ainsi de garder une longueur d’avance sur les menaces en constante évolution.

Pour en savoir plus sur la manière dont nous pouvons vous aider, nous vous invitons à contacter l’équipe Barracuda Managed XDR.