Le monitoring Darknet n’est plus une discipline théorique pour les entreprises suisses, mais une nécessité opérationnelle. Des identifiants volés, des documents confidentiels et des accès réseau se négocient chaque jour sur des places de marché criminelles, souvent avant même que l’entreprise concernée ne constate l’incident. Infostealer‑Malware, Initial Access Broker et des marchés d’identifiants automatisés ont créé un écosystème qui industrialise les cyberattaques. Dans cet article, nous expliquons comment des données d’entreprises suisses arrivent sur le Darknet, quels risques concrets en découlent et pourquoi un monitoring Darknet systématique est désormais indispensable pour les CISO et les conseils d’administration.
📑 Sommaire
Qu’est-ce que le Darknet et pourquoi les entreprises suisses sont-elles concernées? · Comment les données d’entreprises suisses arrivent sur le Darknet · Situation des menaces en Suisse: chiffres et incidents · Comment le monitoring Darknet fonctionne · Pourquoi les mesures de protection classiques ne suffisent plus · Recommandations pour les CISO et les conseils d’administration · Questions fréquentes
Qu’est-ce que le Darknet et pourquoi les entreprises suisses sont-elles concernées?
On peut distinguer trois couches de l’internet. Le Clear Web regroupe tout ce qui est indexé par les moteurs de recherche. Le Deep Web, lui, désigne des contenus derrière des logins et des paywalls, par exemple des intranets, des bases de données et des portails protégés. Le Darknet, enfin, est une partie délibérément anonymisée de l’internet. On y accède via des réseaux spécialisés comme Tor, et un écosystème prospère y organise le commerce de données volées, d’identifiants et d’outils d’attaque.
Pour les entreprises, le Darknet n’est pas pertinent par son existence, mais par les menaces concrètes qui y prennent forme. Sur des places de marché criminelles, des millions d’identifiants volés se négocient chaque jour, des accès réseau à des entreprises sont mis aux enchères, et des attaques Ransomware sont préparées. Sans monitoring Darknet, ces activités restent invisibles pour les organisations, jusqu’à ce que le dommage soit déjà réalisé.
Des données d’entreprise volées sont mises en vente sur des places de marché du Darknet en l’espace de quelques heures
Pourquoi le monitoring Darknet concerne chaque entreprise suisse
La Suisse, place économique fortement interconnectée, avec une puissante industrie financière, pharmaceutique et technologique, constitue donc une cible attrayante pour les cybercriminels. En 2024, 175 cyberincidents confirmés en Suisse ont pu être retracés via des leak sites du Darknet et des forums clandestins. Selon Check Point, la Suisse a enregistré au premier trimestre 2025 la plus forte hausse mondiale en pourcentage des cyberattaques, soit +113 % sur un an.
Le constat est clair: des données d’entreprises suisses se trouvent déjà sur le Darknet. La question n’est pas de savoir si, mais dans quelle mesure. Un monitoring Darknet systématique rend cette exposition visible et, par conséquent, donne aux entreprises la possibilité d’agir avant que des attaquants n’exploitent les données volées.
Comment les données d’entreprises suisses arrivent sur le Darknet: de l’Infostealer à la place de marché
Le chemin des données d’entreprise vers le Darknet suit un processus de plus en plus industrialisé. Trois acteurs et mécanismes jouent un rôle central. Leur interaction explique pourquoi un monitoring Darknet continu fait désormais partie des fondamentaux d’une gestion du cyber-risque efficace.
Infostealer‑Malware: le vecteur d’attaque dominant
Les Infostealer sont des programmes malveillants spécialisés. Ils extraient des mots de passe enregistrés dans le navigateur, des cookies, des données d’autoremplissage, des informations de carte de crédit, des identifiants VPN et des sauvegardes d’authentificateur. Leur logique est «smash and grab». Les données sont volées en quelques secondes, puis transmises, sous forme de «Stealer Logs», à des serveurs de commande et contrôle, à des bots Telegram ou à des stockages cloud. En 2024, 2,1 milliards d’identifiants ont été volés dans le monde via des Infostealer. Cela représente près de deux tiers des 3,2 milliards de credentials compromis globalement. IBM X‑Force a observé une hausse de 84 % des infections Infostealer via Phishing, et, ensuite, un triplement supplémentaire début 2025. Point particulièrement préoccupant: 54 % des appareils infectés avaient déjà des solutions Antivirus ou Endpoint Detection and Response. Les familles les plus actives sont actuellement Lumma Stealer, RedLine et StealC.
Initial Access Broker: des ouvreurs de portes professionnels pour des groupes Ransomware
Les Initial Access Broker (IAB) se sont imposés comme une branche autonome au sein de l’écosystème criminel. Ils se spécialisent dans l’intrusion initiale dans des réseaux d’entreprise, puis revendent l’accès à des groupes Ransomware ou à d’autres Threat Actor. Le marché des IAB a reçu en 2025 au moins 14 millions USD de paiements on-chain. Le prix moyen d’un accès à une entreprise atteint 2’700 USD, et 71 % des offres incluent des identifiants privilégiés, souvent des droits de type Domain Admin. Par conséquent, l’enchaînement est rapide: entre la vente d’un accès par un IAB et l’apparition de la victime sur une Ransomware leak site, il s’écoule généralement 23 à 36 jours.
Places de marché du Darknet: là où les données volées deviennent une marchandise
Le Russian Market est, en 2025, la place de marché dominante pour les identifiants volés. Des données récentes y apparaissent en quelques heures après le vol. La structure des prix est différenciée: de simples données de compte coûtent 1 à 15 USD, des accès Corporate‑VPN ou RDP 50 à 500 USD, des Stealer Logs récents avec des session cookies 10 à 100 USD, et des accès bancaires 500 à 2’000 USD. Les session cookies sont particulièrement dangereux. En effet, ils permettent de prendre le contrôle de sessions actives, tout en contournant entièrement l’authentification multifacteur. Pour les entreprises sans monitoring Darknet, ces offres restent invisibles. Pendant ce temps, des attaquants utilisent les identifiants achetés pour s’introduire dans les réseaux.
Situation des menaces en Suisse: pourquoi le monitoring Darknet doit devenir prioritaire
La Suisse se trouve au centre de l’attention de cybercriminels internationaux, et de plus en plus aussi d’acteurs soutenus par des Etats. Les chiffres et incidents suivants montrent donc pourquoi c’est maintenant le bon moment d’intégrer le monitoring Darknet à la stratégie de sécurité.
2,9 milliards de Credential‑Sets compromis ont été identifiés en 2024 dans la criminalité clandestine. Ce chiffre inclut des identifiants d’entreprises et de particuliers dans le monde entier, y compris d’organisations suisses.
54 % des victimes de Ransomware avaient, selon le Verizon DBIR 2025, des dumps de credentials Infostealer dans leurs domaines avant l’attaque. Le lien entre des identifiants exposés sur le Darknet et des attaques Ransomware ultérieures est établi statistiquement.
49 % des entreprises ont déjà découvert des données liées à l’entreprise ou des credentials sur le Darknet. Les coûts annuels liés aux incidents internes, souvent déclenchés par des identifiants compromis, atteignent en moyenne 17,4 millions USD par entreprise.
26 milliards de tentatives de Credential Stuffing par mois ont été enregistrées par Akamai en 2024. IBM chiffre le dommage moyen par breach dû au Credential Stuffing à 4,81 millions USD.
La réaction en chaîne, des identifiants volés jusqu’aux attaques réelles, est illustrée de manière frappante par le Snowflake‑Breach 2024. Le Threat Actor UNC5537 a exploité des identifiants Infostealer, parfois datés de 2020, afin de compromettre 165 environnements clients Snowflake. Parmi les victimes figuraient notamment AT&T, avec des enregistrements portant sur quasiment tous les clients mobiles américains, et Ticketmaster, avec 590 millions d’entrées. Plus de 80 % des comptes compromis avaient déjà été exposés dans des dumps Infostealer. Aucun n’avait activé l’authentification multifacteur.
En Suisse, l’incident Xplain de 2023 reste l’avertissement le plus marquant. Chez ce prestataire informatique bernois au service d’autorités fédérales, le groupe Play a volé 1,3 million de fichiers. Parmi eux figuraient 5’182 fichiers contenant des données personnelles et 121 documents classifiés. En 2024 et 2025, des attaques ont ensuite visé BERNINA International via ALPHV/BlackCat, avec 200 GB de données volées, ainsi que TAG Aviation via Black Basta, avec 1,5 TB. Parallèlement, le groupe NoName057(16) a mené d’importantes campagnes DDoS contre des sites fédéraux, les CFF, des banques et 318 communes. Au total, 58 organisations suisses ont déjà été confirmées en 2025 comme victimes de Ransomware. Akira, Qilin et Play figurent parmi les groupes les plus actifs dans le pays.
Comment le monitoring Darknet fonctionne: de la couverture des sources à la réaction
Un monitoring Darknet professionnel s’appuie sur quatre phases qui se renforcent mutuellement. Ensemble, elles forment un cycle continu. Ainsi, les menaces issues de la criminalité clandestine deviennent visibles, évaluables et actionnables.
Phase 1, couverture des sources: Une solution efficace de monitoring Darknet surveille un large éventail de sources criminelles: forums clandestins ouverts et fermés, communautés sur invitation, canaux Telegram, places de marché de Stealer Logs, Ransomware leak sites et paste sites. Des plateformes de référence comme BitSight couvrent plus de 1’000 forums et places de marché clandestins et collectent chaque jour 7 millions d’éléments d’Intelligence issus de l’underground criminel.
Phase 2, collecte et analyse des données: Les données brutes collectées sont filtrées et dédupliquées automatiquement, puis attribuées à l’entreprise surveillée. En outre, l’analyse ne se limite pas aux paires nom d’utilisateur-mot de passe. Elle détecte aussi des expositions de session tokens, des mots de passe hachés, idéalement convertis en clair, ainsi que des informations contextuelles, comme l’origine des données et la date de compromission.
Phase 3, alerting et priorisation: Toutes les informations exposées ne présentent pas le même niveau de risque. Un monitoring Darknet professionnel priorise donc les trouvailles selon le contexte. Un accès VPN récent avec des session cookies actifs exige une action immédiate. En revanche, un mot de passe vieux de trois ans pour un compte inactif obtient une priorité plus faible. Avec les meilleures solutions, le délai entre l’apparition des données sur des marchés criminels et l’alerte se situe entre quelques minutes et quelques heures.
Phase 4, réaction et remédiation: Le monitoring Darknet fournit la base de décision, mais pas la réponse complète. En pratique, la réaction inclut le reset forcé des identifiants compromis, l’invalidation des session tokens exposés, la vérification des systèmes concernés pour détecter des accès non autorisés, ainsi que l’intégration des enseignements dans l’Incident Response et la défense contre les menaces.
La valeur du monitoring Darknet réside dans l’alerte précoce. Il ne montre pas comment vous percevez votre propre IT. Il révèle plutôt ce que des attaquants savent déjà de votre entreprise. Par conséquent, cette perspective peut faire la différence entre une attaque évitée et une attaque réussie.
Pourquoi les mesures de protection classiques face au Darknet ne suffisent plus
De nombreuses entreprises s’appuient sur des mesures éprouvées: firewalls, Endpoint Detection and Response, politiques de mots de passe régulières et authentification multifacteur. Ces instruments restent indispensables. Toutefois, ils présentent un angle mort structurel: ils protègent l’infrastructure, mais ne surveillent pas ce qui se passe, hors périmètre, avec des données d’entreprise volées.
Sécurité classique vs monitoring Darknet: quatre différences décisives
Champ de vision: Les outils de sécurité classiques protègent l’infrastructure connue au sein du réseau d’entreprise. Le monitoring Darknet observe l’écosystème criminel hors périmètre et détecte des données exposées qui y sont échangées.
Temporalité: Les firewalls et l’EDR réagissent à des attaques déjà en cours. Le monitoring Darknet identifie, en amont, la préparation d’une attaque. Il le fait, par exemple, lorsque des identifiants ou des accès réseau sont mis en vente. Ainsi, il permet une intervention préventive.
Couverture: Les politiques de mots de passe et la MFA protègent seulement des comptes connus et activement gérés. Or, les Stealer Logs contiennent souvent des identifiants de comptes oubliés, d’environnements de test ou d’appareils personnels de collaborateurs, dès lors qu’ils ont été connectés à des ressources de l’entreprise.
Contexte: Les systèmes de sécurité classiques connaissent l’infrastructure interne, mais pas les intentions de Threat Actor externes. Le monitoring Darknet apporte une Threat Intelligence sur des attaques ciblées, des négociations Ransomware et du Supply‑Chain‑Targeting. Par conséquent, il peut concerner votre entreprise ou ses fournisseurs.
Cela ne signifie pas que le monitoring Darknet remplace les instruments classiques. Au contraire, il les complète par une dimension déterminante: la visibilité sur ce qui se passe, hors de votre réseau, avec vos données. En effet, seule une organisation qui sait quels identifiants sont compromis, et où ils circulent, peut agir de manière ciblée avant le début de l’attaque.
Recommandations pour les CISO et les conseils d’administration
La surveillance du Darknet n’est pas une tâche purement technique. Elle touche à la gouvernance, aux obligations réglementaires et à la manière dont une entreprise pilote son cyberrisque. Les mesures suivantes doivent donc être priorisées dès maintenant.
Mesures recommandées: de l’analyse initiale à l’intégration stratégique
1) Évaluer l’exposition initiale au Darknet: Lancez une première analyse de votre exposition au Darknet. Des fournisseurs de premier plan peuvent, en quelques jours, indiquer si des identifiants, des documents ou des accès réseau de votre entreprise circulent dans l’underground criminel, et dans quelle mesure. Ces résultats constituent ensuite le point de départ des actions suivantes.
2) Traiter immédiatement les identifiants compromis: Les credentials exposés identifiés doivent être réinitialisés sans délai. Priorisez les comptes à privilèges, les accès VPN et RDP, ainsi que les identifiants avec des session cookies actifs. Vérifiez, en parallèle, si des accès non autorisés ont déjà eu lieu via ces comptes.
3) Mettre en place un monitoring Darknet continu: Une analyse ponctuelle ne suffit pas. Des Stealer Logs apparaissent en quelques heures sur des places de marché, et de nouvelles données sont publiées chaque jour. Investissez donc dans une solution qui surveille le Darknet en continu et alerte en temps réel. Lors du choix du fournisseur, examinez la largeur de la couverture des sources, la vitesse d’alerte et la capacité à détecter des expositions de session tokens.
4) Intégrer la Darknet‑Intelligence dans les processus existants: Le monitoring Darknet déploie toute sa valeur lorsque ses enseignements alimentent les workflows d’Incident Response, de SIEM/SOAR et de Third‑Party‑Risk‑Management. Les alertes automatisées devraient, par conséquent, créer directement des tickets au Security Operations Center et alimenter l’évaluation des risques fournisseurs.
5) Sensibiliser les collaborateurs: Les Infostealer arrivent souvent via Phishing, des téléchargements logiciels compromis et des publicités infectées. Formez donc les collaborateurs spécifiquement à ces vecteurs. Établissez des règles claires pour l’usage de password managers et interdisez l’enregistrement d’identifiants d’entreprise dans le navigateur.
6) Se préparer aux obligations réglementaires: La LPD révisée impose la notification sans délai des violations de la protection des données au PFPDT. De plus, l’obligation de déclaration BACS exige des exploitants d’infrastructures critiques une annonce dans les 24 heures. Le monitoring Darknet fournit l’alerte précoce, ce qui peut s’avérer décisif pour respecter ces délais.
Conclusion
Le Darknet n’est pas un phénomène abstrait en marge de l’internet. C’est un écosystème hautement efficace. Des données d’entreprises suisses y sont activement échangées et préparées pour des attaques. Les Infostealer volent des identifiants en quelques secondes. Ensuite, des Initial Access Broker monétisent l’accès aux réseaux en quelques jours, et des groupes Ransomware exploitent ce travail préparatoire pour des attaques qui peuvent coûter des millions.
Dans une Suisse qui, en 2025, enregistre la plus forte hausse mondiale des cyberattaques, durcit ses exigences réglementaires et attire davantage l’attention de Threat Actor internationaux, le monitoring Darknet n’est pas un supplément optionnel. Il constitue un pilier de la cyberdéfense. En effet, il fournit une alerte précoce que les outils classiques ne peuvent pas offrir, et il permet des décisions solides au niveau du CISO et du conseil d’administration.
Comprendre votre exposition au Darknet
Vous souhaitez savoir si des identifiants, des documents ou des accès réseau de votre entreprise sont déjà négociés sur le Darknet? En tant que partenaire de conseil en cyber‑risk intelligence, nous vous accompagnons lors de la première analyse du Darknet, de l’évaluation de votre exposition et de la mise en place d’une stratégie durable de monitoring Darknet.
🎯 Points clés pour les décideurs
Résumé pour conseil d’administration, direction et CISO:
✓ Des données d’entreprises suisses sont déjà sur le Darknet: en 2024, 2,9 milliards de Credential‑Sets compromis ont été identifiés dans l’underground criminel. De plus, 49 % des entreprises ont découvert leurs propres données sur le Darknet.
✓ Les Infostealer constituent le vecteur d’attaque dominant: 2,1 milliards d’identifiants ont été volés en 2024 via des Infostealer. Par ailleurs, 54 % des appareils infectés avaient des solutions Antivirus ou EDR.
✓ Des credentials volés mènent à des attaques Ransomware: 54 % des victimes de Ransomware avaient, au préalable, des dumps de credentials dans leurs domaines. En outre, entre la vente IAB et l’attaque Ransomware, il ne s’écoule généralement que 23 à 36 jours.
✓ Le monitoring Darknet est une alerte précoce: il détecte des identifiants exposés, des session tokens et des accès réseau avant leur exploitation par des attaquants. Ainsi, il complète les outils classiques par une dimension déterminante.
✓ La pression réglementaire augmente: la LPD révisée, les circulaires FINMA et l’obligation de déclaration BACS exigent une détection et une réaction rapides. Le monitoring Darknet fournit la base nécessaire.
Questions fréquentes: FAQ sur le monitoring Darknet
Qu’est-ce que le monitoring Darknet?
Le monitoring Darknet est la surveillance systématique et continue de forums criminels, de places de marché, de canaux Telegram et de leak sites sur le Darknet, afin d’y détecter des données d’entreprise. L’objectif consiste à identifier tôt des identifiants volés, des documents exposés et des accès réseau mis en vente. Ainsi, les entreprises peuvent réagir avant que des attaquants n’exploitent ces données.
Comment des données d’entreprises suisses arrivent-elles sur le Darknet?
Le chemin le plus fréquent passe par Infostealer‑Malware, qui vole des identifiants depuis des navigateurs, des clients VPN et des systèmes d’authentification. Ces données sont vendues sous forme de Stealer Logs sur des places de marché du Darknet. Des Initial Access Broker exploitent les identifiants volés pour pénétrer les réseaux d’entreprise, puis revendent l’accès à des groupes Ransomware. Souvent, seules quelques heures s’écoulent entre le vol et la revente.
Pourquoi Antivirus et firewall ne suffisent-ils pas pour se protéger face au Darknet?
Les outils de sécurité classiques protègent l’infrastructure interne. Cependant, ils ne surveillent pas ce qui se passe, hors de l’entreprise, avec des données volées. Les chiffres le confirment: 54 % des appareils infectés par des Infostealer avaient des solutions Antivirus ou EDR. Le monitoring Darknet complète la protection du périmètre par une perspective externe et détecte des données exposées dans l’underground criminel, avant qu’elles ne soient utilisées pour des attaques.
Le monitoring Darknet est-il pertinent aussi pour les PME suisses?
Oui. Les Infostealer ne distinguent pas entre grandes entreprises et PME. Or, les petites organisations disposent souvent de moins de ressources pour surveiller des identifiants compromis, et elles sont donc particulièrement exposées. Les PME suisses sont de plus en plus ciblées par des attaques Ransomware, car les attaquants y attendent des mesures de protection plus faibles. Le monitoring Darknet permet d’identifier les expositions majeures avec un effort proportionné, puis de les traiter de manière ciblée.
Quel est le lien entre le monitoring Darknet et l’obligation de déclaration en Suisse?
Depuis le 1er avril 2025, les exploitants d’infrastructures critiques doivent déclarer les cyberattaques au BACS dans les 24 heures. La LPD révisée impose la notification sans délai des violations de la protection des données au PFPDT. Le monitoring Darknet permet une détection précoce des compromissions et crée ainsi les conditions pour identifier des incidents à temps et les déclarer dans les délais. Sans cette surveillance, il manque souvent la base nécessaire à une Incident Detection efficace.
