Ransomware attacks are increasingly abandoning encryption in favor of faster, more targeted data exfiltration and reputation-based extortion. According to WatchGuard’s 2026 cybersecurity forecast, crypto-ransomware will steadily give way to models centered on stealing data and blackmailing victims — less technically complex, yet even faster. This shift is redirecting attacker focus from initial intrusion to lateral movement inside networks, where trusted internal tools like Remote Desktop Protocol (RDP) have become a primary method of moving discreetly.

Google Threat Intelligence (GTIG) data reveals that RDP is now present in 85% of these attacks, underscoring a clear trend: cybercriminals are ditching complex malware for “living off the land” — exploiting legitimate tools to remain invisible. RDP, deeply embedded in daily business for remote work and IT/MSP management, allows attackers to blend into normal network traffic, often going undetected for extended periods while they escalate privileges, pivot between systems, and prepare data theft without triggering obvious alerts.

For managed service providers (MSPs), the challenge is acute. They must differentiate legitimate remote sessions from malicious activity in environments where both look nearly identical. An excess of alerts from this “normality” can overwhelm security teams, eroding efficiency and response times. Addressing this requires a structured strategy: continuous endpoint monitoring with behavioral detection and clear incident visibility; multifactor authentication (MFA) extended to all critical access points, including Windows logins and RDP connections, to prevent compromised credentials from enabling lateral movement; event correlation that turns isolated data into actionable alerts; and risk-based incident prioritization so teams focus on the most significant threats.

Practical detection leverages AI-powered EDR solutions that unify prevention, detection, and response on a single platform. These provide complete endpoint visibility — unifying process, connection, and user telemetry with root cause analysis — and specifically detect lateral movement such as unusual RDP sessions, credential manipulation, and suspicious login patterns, mapping alerts to the MITRE ATT&CK framework. Automated incident correlation reconstructs full attack chains, reducing alert fatigue. Endpoint isolation and remote remediation, plus multi-tenant consoles, improve operational efficiency for MSPs managing numerous clients without added complexity.

The ubiquity of RDP in attacks reflects how modern adversaries operate: by hiding in plain sight. For MSPs, the new defensive line is no longer just prevention, but clear visibility and behavioral context — enabling faster, more precise detection and immediate response, building more efficient, scalable, and resilient security operations against evolving threats.

Les ransomwares évoluent vers des modèles d’extorsion de données plus rapides et plus ciblés, dans lesquels le chiffrement n’est plus l’objectif principal.

Selon nos prévisions cybersécurité 2026, les crypto-ransomwares vont progressivement céder la place à des modèles axés sur l’exfiltration de données et le chantage à la réputation de la victime. C’est ainsi que les attaques deviennent moins techniques, tout en étant malgré tout encore plus rapides.

Mais cette évolution a également une autre conséquence directe : l’attention des attaquants se déplace de l’intrusion initiale vers les mouvements latéraux à l’intérieur du réseau. Dans ce contexte, des outils internes, largement utilisés et semblant donc « de confiance » comme le protocole Remote Desktop Protocol (RDP) sont devenus l’une des méthodes les plus efficaces pour se déplacer latéralement.

Les données de Google Threat Intelligence (GTIG) montrent que le RDP est présent dans 85 % de ces attaques, ce qui met en évidence une tendance claire : les attaquants abandonnent les malwares complexes au profit du « living off the land », c’est-à-dire l’utilisation d’outils légitimes afin de rester invisibles.

Il ne s’agit donc plus seulement de savoir comment les attaquants entrent dans le système, mais surtout de comprendre ce qu’ils font une fois à l’intérieur.

Le RDP : un vecteur de menace discret

Le RDP est un outil fiable, largement utilisé pour permettre aux collaborateurs d’accéder à leurs environnements de travail à distance, mais également par les administrateurs IT et les MSP (fournisseurs de services managés) pour la gestion et le support des appareils.

C’est précisément parce qu’il est profondément intégré aux usages quotidiens des entreprises qu’il est devenu un vecteur d’attaque privilégié : il permet aux attaquants de se fondre dans le trafic habituel de l’entreprise, souvent sans être détectés pendant de longues périodes, durant lesquelles ils peuvent causer des dégâts considérables.

Les cybercriminels exploitent le RDP pour :

Élever leurs privilèges à l’aide d’identifiants compromis.

Se déplacer discrètement entre différents systèmes.

Préparer des vols de données ou lancer des attaques sans déclencher d’alertes évidentes.

Pour les MSP, le défi est encore plus grand. Ils doivent apprendre à distinguer les sessions légitimes des activités malveillantes dans des environnements variés où le RDP fait souvent partie des opérations quotidiennes.

Le vrai défi : détecter le danger dans les activités ordinaires

Pour les MSP qui gèrent d’innombrables terminaux et clients, la plupart des actions quotidiennes paraissent normales : des connexions à distance aux transferts de données, en passant par les modifications de configuration. C’est précisément cette « normalité » que recherchent les cybercriminels  et qui rend leur détection plus difficile.

S’ils parviennent à se cacher dans des processus légitimes, ils peuvent se déplacer dans les réseaux sans être détectés et provoquer des dommages importants.

Cela crée un nouveau défi : différencier les sessions légitimes des comportements non autorisés dans un environnement où les deux semblent pratiquement identiques. Cette tâche peut devenir écrasante, notamment pour les MSP déjà submergés d’alertes, ce qui réduit leur efficacité opérationnelle et ralentit les temps de réponse.

Résoudre ce problème nécessite une stratégie plus structurée, centrée sur :

Une surveillance continue des endpoints, avec détection comportementale des menaces et visibilité claire sur les incidents.

Une authentification multifacteur (MFA) étendue à l’ensemble des accès critiques, y compris les ouvertures de session Windows et les connexions RDP, afin d’empêcher qu’un identifiant compromis ne puisse être utilisé pour se déplacer latéralement au sein du réseau.

La corrélation d’événements, qui transforme des données isolées en alertes exploitables.

La priorisation des incidents selon le niveau de risque réel, afin que les équipes se concentrent sur les menaces les plus importantes.

En adoptant ce modèle, les équipes peuvent identifier les anomalies cachées derrière des activités « normales », réduire le bruit et améliorer significativement leur capacité de réponse.

Comment détecter et stopper les mouvements latéraux en pratique

Les solutions EDR alimentées par l’IA répondent directement à ce problème en regroupant prévention, détection et réponse au sein d’une plateforme unique. Cependant, le véritable changement ne réside pas uniquement dans la détection des menaces, mais il se trouve aussi dans la visibilité continue et le contexte comportemental qu’elles offrent aux MSP, ce qui leur permet de mieux protéger leurs clients et de développer leur activité.

Concrètement, cela signifie :

Une visibilité complète sur les endpoints, unifiant la télémétrie des processus, connexions et utilisateurs, ainsi qu’une analyse des causes racines pour comprendre l’origine et l’étendue des menaces.

La détection des mouvements latéraux, notamment les connexions RDP inhabituelles, les manipulations d’identifiants et les schémas de connexion suspects, avec un mapping des alertes selon le framework MITRE ATT&CK.

Une corrélation automatisée des incidents, reliant plusieurs événements pour reconstituer le scénario complet d’une attaque, aidant les équipes à mieux concentrer leurs efforts et réduisant la fatigue liée aux alertes.

L’isolation et la réponse sur les endpoints, avec mise en quarantaine des appareils et arrêt des processus suspects, accompagnés d’outils d’analyse et de remédiation à distance.

Des consoles multi-tenant pour améliorer l’efficacité opérationnelle, permettant aux MSP de gérer davantage de clients sans augmenter la complexité ni les coûts.

Visibilité et contexte : la nouvelle ligne de défense

Ce n’est pas un hasard si 85 % des cyberattaques exploitent le RDP. Cela rappelle surtout la manière dont les cybercriminels opèrent aujourd’hui : en utilisant des outils légitimes pour rester invisibles.

Plus une attaque ressemble à une activité normale, plus il devient difficile pour une organisation de la détecter et plus elle a de chances de réussir.

C’est là que réside le véritable défi pour les MSP. La sécurité des endpoints ne se limite plus à la prévention ; elle repose désormais sur une visibilité claire et un contexte comportemental permettant des détections plus rapides et plus précises, associées à une capacité de réponse immédiate.

Adopter ce modèle ne permet pas seulement de neutraliser les mouvements latéraux ; cela contribue aussi à construire des opérations de sécurité plus efficaces, évolutives et résilientes face aux menaces actuelles en constante évolution.

*Jérémie Schram est directeur technique France de WatchGuard Technologies

The post 85 % des cyberattaques utilisent le protocole RDP pour infiltrer les réseaux en toute discrétion appeared first on Silicon.fr.