Security

{{Paysage des menaces email T1 2026 : insights Microsoft}}

3 min de lecture

Résumé

Microsoft signale 8,3 milliards d’e-mails de phishing détectés au T1 2026, avec plus du double d’attaques par QR code et des campagnes avec CAPTCHA en évolution rapide. Ces conclusions sont importantes pour les équipes de sécurité, car les attaquants se tournent vers le vol d’identifiants basé sur des liens, tandis que les actions de perturbation contre Tycoon2FA montrent qu’une réponse coordonnée peut réduire l’impact du phishing.

Besoin d'aide avec Security ?Parler à un expert

Introduction

L’analyse de Microsoft sur les menaces email au T1 2026 met en évidence la rapidité avec laquelle les tactiques de phishing évoluent. Pour les administrateurs IT et sécurité, le rapport offre une vue utile sur les priorités des attaquants et sur les défenses à privilégier dans les environnements Microsoft 365 et Defender.

Quoi de neuf au T1 2026

Microsoft Threat Intelligence a détecté environ 8,3 milliards de menaces de phishing par e-mail entre janvier et mars 2026. Bien que le volume mensuel global ait légèrement diminué, plusieurs techniques d’attaque sont devenues plus sophistiquées et plus efficaces.

Principales tendances

  • Le phishing par QR code a explosé, passant de 7,6 millions d’attaques en janvier à 18,7 millions en mars, soit une hausse de 146 %.
  • Le phishing basé sur des liens a dominé, représentant 78 % des menaces email sur le trimestre.
  • Les charges utiles malveillantes ont représenté 19 % des attaques en janvier avant de tomber à 13 % en février et en mars, ce qui suggère que les attaquants ont de plus en plus privilégié des pages de phishing hébergées plutôt qu’une diffusion basée sur des fichiers.
  • La compromission de messagerie d’entreprise (BEC) est restée un problème majeur, avec 10,7 millions d’attaques observées au T1.
  • Le phishing avec CAPTCHA a continué d’évoluer, les attaquants utilisant de fausses étapes de vérification pour ralentir l’analyse automatisée et renforcer la confiance des utilisateurs.

Impact de la perturbation de Tycoon2FA

Microsoft a également souligné l’effet de la perturbation, en mars 2026, de la plateforme de phishing-as-a-service Tycoon2FA. À la suite d’une action coordonnée avec Europol et des partenaires, le volume d’e-mails liés à Tycoon2FA a chuté de 15 % pendant le reste du mois de mars, et l’accès aux pages de phishing actives a été fortement réduit.

Bien que la plateforme se soit adaptée en changeant de fournisseurs d’hébergement et de schémas d’enregistrement de domaines, Microsoft indique que la reprise semble partielle plutôt qu’un retour complet à ses capacités précédentes.

Pourquoi cela importe pour les administrateurs

Ces tendances confirment que le phishing reste centré sur le vol d’identifiants, même si les méthodes de diffusion changent. Le phishing par QR code est particulièrement préoccupant, car il peut orienter les utilisateurs vers des appareils mobiles non gérés, contournant ainsi certaines protections traditionnelles axées sur les postes de travail.

Pour les administrateurs Microsoft 365 et Defender, le rapport rappelle également que les opérations de perturbation sont importantes, mais qu’elles n’éliminent pas la menace. Les attaquants sont résilients et déplacent souvent rapidement leur infrastructure après des démantèlements.

Prochaines étapes recommandées

  • Passez en revue les protections contre le phishing par QR code dans les e-mails, les pièces jointes et les images intégrées.
  • Renforcez les défenses contre le phishing AiTM avec une MFA résistante au phishing lorsque cela est possible.
  • Surveillez les schémas BEC, en particulier l’usurpation à faible effort et les messages de prise de contact génériques.
  • Utilisez les détections et les outils de hunting de Microsoft Defender pour enquêter sur le phishing basé sur des liens et les activités suspectes liées aux charges utiles.
  • Sensibilisez les utilisateurs à la prudence face aux QR codes, aux écrans CAPTCHA et aux invites d’authentification inattendues.

En résumé

Les données de Microsoft pour le T1 2026 montrent que les attaquants continuent de se tourner vers un phishing d’identifiants évolutif, piloté par des liens, tout en expérimentant les QR codes, l’évasion via CAPTCHA et des méthodes plus récentes comme le device code phishing. Les équipes de sécurité devraient considérer ces conclusions comme un signal pour renforcer la détection, consolider les protections d’identité et mettre à jour les programmes de sensibilisation des utilisateurs.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft DefenderQR code phishingBEC

Articles connexes

Security

Mises à jour Microsoft Security : Agent 365 et Defender

Microsoft a annoncé de nouvelles capacités de sécurité dans Agent 365, Defender for Cloud, GitHub Advanced Security et Microsoft Purview. Ces mises à jour visent à améliorer la visibilité sur l’activité des agents IA, à renforcer la protection du code jusqu’à l’exécution et à accélérer les enquêtes sur la sécurité des données pour les équipes sécurité et IT.

Security

Bonnes pratiques des revues de risques CISO

Microsoft a publié un cadre pratique pour aider les CISO et responsables sécurité à mener des revues de risques plus efficaces face à la montée des cybermenaces dopées à l’IA. Les recommandations portent sur huit domaines d’examen — des actifs et applications à l’authentification, l’autorisation et l’isolation réseau — afin d’aider les organisations à passer d’une réponse réactive à une réduction proactive des risques.

Security

Microsoft Sentinel UEBA : détection AWS enrichie

Microsoft Sentinel UEBA ajoute désormais des analyses comportementales plus riches pour les données AWS CloudTrail, offrant aux équipes de sécurité un contexte intégré comme une première géographie observée, un ISP inhabituel, des actions inhabituelles et un volume d’opérations anormal. Cette mise à jour aide les défenseurs à détecter plus rapidement les activités AWS suspectes et réduit le besoin de lignes de base KQL complexes et d’enrichissements manuels.

Security

Défense IA Microsoft face aux nouvelles menaces

Microsoft indique que l’IA accélère la découverte et l’exploitation des vulnérabilités, réduisant le temps dont disposent les défenseurs pour réagir. En réponse, l’entreprise étend la découverte de vulnérabilités pilotée par l’IA, la gestion de l’exposition et les protections basées sur Defender, tout en présentant un nouvel outil d’analyse multi-modèle pour les clients en juin 2026.

Security

Détection des faux employés IT avec Microsoft Defender

Microsoft a présenté des stratégies de détection pour identifier des acteurs malveillants liés à la Corée du Nord se faisant passer pour des recrues IT à distance afin d’infiltrer les organisations. Les recommandations portent sur la corrélation des signaux HR SaaS, identité, messagerie, conférence et Microsoft 365 afin que les équipes sécurité et RH puissent repérer les candidats suspects avant et après l’onboarding.

Security

Prévention des cyberattaques opportunistes : guide Microsoft

Microsoft exhorte les organisations à compliquer les cyberattaques opportunistes en supprimant les identifiants, en réduisant les surfaces d’attaque publiques et en standardisant des modèles de plateforme sécurisés. Ces recommandations sont particulièrement pertinentes pour les équipes exploitant Azure, Dynamics 365 et Power Platform à grande échelle, où des architectures incohérentes et des secrets exposés peuvent faciliter les mouvements latéraux des attaquants.