8,3 milliards de menaces de phishing en 90 jours : pourquoi Email Security allier détection et prévention

• Microsoft Threat Intelligence 8,3 milliards de tentatives de phishing par e-mail au premier trimestre 2026, le phishing par code QR ayant augmenté de 146 % au cours de ce trimestre et le phishing via CAPTCHA ayant plus que doublé en mars par rapport à février.
• Selon les propres tests de performance de Microsoft, Microsoft Defender élimine 70,8 % des e-mails malveillants après leur livraison, c'est-à-dire une fois qu'ils ont déjà atteint la boîte de réception.
• En décembre 2025, les tentatives de phishing générées par l'IA représentaient 56 % de l'ensemble des tentatives de phishing, soit une multiplication par 14 par rapport à l'année précédente.
• Une approche multicouche alliant détection et prévention, pilotée par la technologie Deep CDR™, neutralise les menaces liées aux fichiers avant qu'elles n'atteignent les utilisateurs, que ces menaces soient connues ou non.

Si vous êtes responsable de la sécurité des e-mails au sein d'une grande entreprise, le trimestre dernier vous a sans doute semblé familier. Une vague de pièces jointes contenant des codes QR. Une recrudescence de fichiers HTML au comportement étrange. Un PDF suspect qui a réussi à passer la passerelle de sécurité, avant d'être retiré des boîtes de réception quelques heures plus tard. Chaque alerte a été traitée, chaque ticket clôturé, mais une question lancinante persiste : quelle proportion de ces menaces parvenons-nous réellement à détecter à temps ?

Le rapport de Microsoft sur les menaces par e-mail au premier trimestre 2026 présente les chiffres concrets qui étayent cette question. En trois mois, Microsoft Threat Intelligence 8,3 milliards de tentatives de phishing par e-mail, a constaté une hausse de 146 % du phishing par code QR et a vu le phishing utilisant des CAPTCHA plus que doubler rien qu'au mois de mars.

Ce n'est pas le volume qui est en cause. C'est la rapidité du changement, et ce qu'elle révèle quant aux limites des contrôles qui se contentent de détecter les problèmes.

Les tentatives de phishing utilisant un CAPTCHA ont plus que doublé en mars (+125 %), atteignant leur plus haut niveau mensuel depuis plus d'un an.

Microsoft a constaté que les cybercriminels changeaient activement de méthodes de diffusion tous les mois, afin de déterminer quels formats permettaient le mieux de contourner les systèmes de protection des messageries. Ce comportement est plus révélateur que le volume en soi.

• En janvier, les pièces jointes au format HTML constituaient le principal moyen de diffusion (37 %) ; leur part a chuté de 34 % en février, puis a plus que doublé en mars
• Les fichiers SVG ont connu une hausse de 49 % en février, puis ont chuté de 57 % en mars
• Les pièces jointes au format PDF contenant des tentatives de phishing protégées par un CAPTCHA ont plus que quadruplé en mars (+356 %), dépassant de 37 % leur record annuel
• Le volume des fichiers DOC/DOCX a été multiplié par près de cinq (+373 %) en mars, représentant 15 % des tentatives de phishing protégées par un CAPTCHA
• Les URL intégrées dans les e-mails, qui représentaient autrefois plus de la moitié des tentatives de phishing protégées par un CAPTCHA, ont atteint leur plus bas niveau depuis huit mois avant de rebondir partiellement

Un filtre configuré pour détecter les charges utiles HTML en février ne permet guère aux responsables de la sécurité de savoir s'il sera en mesure de détecter la vague de PDF qui a eu lieu en mars.

La sécurité des e-mails basée sur la détection repose sur une seule question : s'agit-il d'une menace ?

Cependant, son efficacité dépend du fait que la solution ait déjà été confrontée à cette menace (ou du moins à quelque chose de similaire). Or, les attaques « zero-day » et les charges utiles optimisées par l'IA surpassent les recherches de signatures et les modèles d'apprentissage automatique à moteur unique, échappant ainsi à la détection. Il est révélateur que le phishing généré par l'IA ait été multiplié par 14 en décembre 2025, atteignant 56 % de toutes les tentatives de phishing d'ici décembre 2025, selon le rapport Hoxhunt Phishing Trends Report, car ces menaces sont plus difficiles à détecter.

La charge liée à l'analyse est alourdie par l'« exploitation des formats » : les pirates envoient du contenu malveillant via des fichiers HTML, PDF, SVG, DOC/DOCX et des URL. Chaque format présente sa propre surface de contenu actif que les moteurs de détection doivent apprendre à analyser individuellement, ce qui limite encore davantage la détection.

Enfin, les tests de performance réalisés par Microsoft montrent que Microsoft Defender élimine en moyenne 70,8 % des e-mails malveillants après leur réception. Les défenses natives du cloud présentent des failles qui exposent les systèmes à des risques, même en cas de présence de courte durée. Avant que la correction ne soit effectuée, un utilisateur pourrait déjà avoir ouvert, transféré ou utilisé une pièce jointe malveillante.

Cela ne veut pas dire que la détection n'a plus d'importance. La sécurité des e-mails basée sur la détection est très efficace contre les menaces connues. Mais à elle seule, elle ne suffit plus face aux types de menaces répertoriés par Microsoft ce trimestre.

Aucun dispositif de sécurité des e-mails ne permet d'éliminer toutes les menaces, mais une stratégie efficace consiste à assurer une couverture maximale, ce qui implique aujourd'hui d'associer détection et prévention. Si votre stratégie de sécurité des e-mails repose encore principalement sur l'identification des menaces avant de les bloquer, la rotation des charges utiles documentée par Microsoft ce trimestre vous montre à quel point vous êtes vulnérable.

Intégrer la prévention dans la pile

Une approche multicouche pose une autre question en plus de celle de la détection : ce fichier joint contient-il encore du contenu actif ?

La technologie Deep CDR™ OPSWATne cherche pas à déterminer si un fichier est malveillant. Partant du principe que tous les fichiers pourraient l'être, elle les décompose, supprime les éléments potentiellement dangereux et fournit une version sécurisée. L'utilisateur reçoit un document fonctionnel. La menace, qu'elle soit connue ou inconnue, a disparu.

Lorsque le nombre de fichiers PDF contenant des charges utiles de phishing protégées par un CAPTCHA a quadruplé, un environnement protégé par la technologie Deep CDR™ n'a pas besoin de reconnaître la nouvelle variante. Le contenu actif qui permet à l'attaque de fonctionner est supprimé quoi qu'il arrive. Il en va de même pour les pièces jointes DOC/DOCX, SVG, HTML et ZIP malveillantes, ainsi que pour les codes QR intégrés dans les PDF, le vecteur d'attaque connaissant la plus forte croissance au premier trimestre 2026, les PDF représentant 70 % des codes QR malveillants.

La technologie Deep CDR™ a été certifiée par SE Labs comme étant la toute première solution CDR à obtenir un score de 100 % en matière de protection et de précision.

Combler la faille des vulnérabilités « zero-day » grâce à MetaDefender

La désinfection neutralise les contenus actifs. Certaines pièces jointes nécessitent toutefois une analyse comportementale plus approfondie, en particulier les charges utiles furtives conçues pour paraître inoffensives lors d'une analyse statique. MetaDefender Sandbox la prévention à l'analyse dynamique par émulation, mettant en évidence les comportements malveillants dans les pièces jointes suspectes et fournissant un verdict unique et fiable pour un triage plus rapide. Avec un taux de détection des vulnérabilités « zero-day » de 99,9 %, Aether comble les lacunes résiduelles laissées par la désinfection et les analyses multiples seules.

MetaDefender Security™ est la solution multicouche OPSWAT OPSWAT face aux menaces décrites dans les données de Microsoft pour le premier trimestre 2026. Deux modèles de déploiement, une même base combinant détection et prévention.

MetaDefender Gateway Security™ (EGS) est déployé sous forme de logiciel en amont des serveurs de messagerie existants, au niveau SMTP/MX. Il utilise la technologie Deep CDR™ sur plus de 200 types de fichiers, MetaDefender Sandbox, Metascan (analyse multi-moteurs sur plus de 30 moteurs antivirus pour la couverture la plus large des menaces connues), la détection du phishing, Proactive DLP et Predictive Alin AI, une couche d'IA pré-exécution qui signale en quelques millisecondes les pièces jointes générées par l'IA et polymorphes, avec un fonctionnement hors ligne pour les environnements OT/ICS et les environnements isolés.

MetaDefender Cloud Security™ (CES) vient compléter les environnements Microsoft 365 et se déploie en quelques minutes sans modification des enregistrements MX. Face aux tendances en matière de charges utiles basées sur des fichiers documentées par Microsoft (exploitation de fichiers HTML, PDF, DOC, ZIP et SVG), CES utilise la technologie Deep CDR™, MetaDefender , Metascan™ Multiscanning jusqu’à 17 moteurs antivirus, ainsi que l’IA prédictive Alin pour inspecter et assainir chaque pièce jointe dans les flux de messagerie entrants et sortants, y compris les fichiers chiffrés.

Grâce à notre engagement sans faille à mettre sur le marché des innovations visant à garantir la sécurité de nos clients face aux menaces actuelles, telles que les attaques générées par l'IA, OPSWAT protège OPSWAT plus de 2 000 organisations à travers le monde.