Bilan de fin d’année sur le paysage des menaces : Ce qui s’est réellement passé en 2025

L’année 2025 a été marquée par un clivage très net entre les gros titres et la réalité en matière de cybersécurité.

Alors que les conversations dans le secteur étaient remplies de prévisions spectaculaires, telles que les méga-attaques induites par l’IA, l' »effondrement » des ransomwares, la perturbation quantique et la fin du phishing tel que nous le connaissons, le paysage réel des menaces a évolué de manière moins théâtrale, mais beaucoup plus conséquente.

Les attaquants ont exploité les vulnérabilités plus rapidement que les organisations n’ont pu les corriger. Les groupes de ransomware n’ont pas disparu, ils se sont réorganisés. Et l’ingénierie sociale est devenue discrètement plus adaptative, plus consciente du contexte et beaucoup plus efficace que ne le prévoyait la plupart des programmes de sensibilisation.

Ce bilan de fin d’année passe outre le battage médiatique et se concentre sur les faits : les comportements, les modèles d’attaque et les tendances en matière d’exploitation qui ont véritablement marqué 2025.

Ce qui s’est passé en 2025

1. Les vulnérabilités ont été exploitées plus rapidement que les organisations ne pouvaient réagir

La vitesse d’exploitation s’est encore accélérée en 2025. Dans plusieurs cas très graves, le code de démonstration et l’exploitation active sont apparus dans les heures qui ont suivi la divulgation, et non pas dans les jours ou les semaines qui ont suivi.

Tendances clés :

• Les attaquants surveillent de plus en plus les avis des fournisseurs et les référentiels de preuves de concept pour exploiter les vulnérabilités dès la publication des correctifs.
• Les « journées zéro » ont fait les gros titres, mais les « anciennes » vulnérabilités largement connues ont été à l’origine d’une part importante des intrusions réussies.
• Les services à distance (VPN, pare-feu, hyperviseurs et fournisseurs d’identité) sont restés les cibles les plus lucratives en raison de leur accès direct aux réseaux internes.

Pour de nombreuses organisations, ce n’est pas la complexité des vulnérabilités qui a posé problème, mais le décalage opérationnel entre la disponibilité des correctifs et leur application.

Pourquoi c’est important : Il n’est pas possible d’appliquer le principe « patcher plus vite » si l’organisation n’a pas de visibilité, de renseignements sur les actifs et de capacité opérationnelle. 2025 a clairement indiqué que la vitesse d’exploitation dépasse désormais les cycles de correctifs traditionnels, obligeant les équipes à donner la priorité aux correctifs basés sur les risques, à la surveillance continue et à l’hygiène de la configuration.

2. Les rançongiciels n’ont pas décliné, ils ont évolué

Les prédictions d’un déclin des ransomwares ne se sont pas concrétisées. Au contraire, la menace a changé de forme.

2025 a vu :

• Un rebond des incidents confirmés de ransomware (≈34% d’augmentation d’une année sur l’autre).
• Une évolution vers le vol de données comme principal mécanisme d’extorsion
• Campagnes où le chiffrement était facultatif ou entièrement ignoré
• Augmentation de l’accès initial par l’exploitation d’une vulnérabilité combinée à un vol de données d’identification

Au lieu d’un « big bang » du chiffrement, de nombreux incidents ont commencé discrètement : les attaquants récoltaient des données, cartographiaient les systèmes internes et ce n’est que plus tard qu’ils déclenchaient l’extorsion. Plusieurs affaires très médiatisées ont montré que même lorsque le cryptage échouait, la menace de divulgation suffisait à forcer les négociations.

Pourquoi cela est-il important ? Les sauvegardes ne sont plus qu’une couche de défense. La détection et la réponse doivent couvrir l’ensemble du cycle de vie des ransomwares, de l’accès initial à l’exfiltration en passant par les mouvements latéraux.

3. L’ingénierie sociale est devenue consciente du contexte et plus difficile à repérer

Le plus grand changement dans l’ingénierie sociale n’a pas été le volume, mais la précision.

Les attaquants utilisent de plus en plus souvent :

• Leurres contextuels imitant les flux de travail internes, les approbations, les communications avec les fournisseurs et les alertes système.
• Outils assistés par l’IA pour générer des variantes qui contournent le filtrage statique des courriels
• « Phishing polymorphe » : les noms des expéditeurs, les métadonnées, l’image de marque et le style d’écriture changent d’une tentative à l’autre.

Dans de nombreux cas, les utilisateurs ne tombaient pas dans le piège de courriels manifestement suspects ; ils répondaient à des imitations presque parfaites de messages opérationnels quotidiens.

L’essor du travail à distance et l’omniprésence des logiciels d’accès à distance (VPN, RDP, outils de bureau à distance) ont ajouté des points de pression supplémentaires. Les comptes Bastion et les comptes d’administration ont été fortement ciblés, souvent en utilisant une combinaison d’ingénierie sociale et de collecte d’informations d’identification.

Pourquoi c’est important : La sensibilisation basée sur les « anciens » modèles de phishing ne correspond plus à la réalité de l’ingénierie sociale adaptative, façonnée par l’IA. Une défense efficace exige désormais une formation comportementale qui reflète la tromperie moderne, et non des exemples hérités du passé.

4. L’identité est devenue la nouvelle surface d’attaque principale

2025 a renforcé une dure vérité : les attaquants préfèrent de plus en plus l’intrusion basée sur l’identité à la compromission basée sur les logiciels malveillants.

Les facteurs les plus courants des violations :

• Utilisation abusive des données d’identification
• La pulvérisation de mots de passe (une petite liste de mots de passe probables tentés sur de nombreux comptes).
• Vol de jetons et détournement de session
• L’épuisement du MAE: un appel à la générosité
• Comptes surprivilégiés avec des autorisations larges ou anciennes

La compromission de l’identité a été à l’origine de plusieurs incidents dans les secteurs de la fabrication, de la logistique, de l’éducation et du secteur public. Une fois à l’intérieur, les attaquants se sont souvent heurtés à une segmentation minimale, ce qui leur a permis d’accéder latéralement à l’entreprise sans trop de difficultés.

Pourquoi c’est important : L’identité a dépassé les points d’extrémité en tant que point d’entrée le plus fiable. Le moindre privilège, une gouvernance d’accès solide et un MFA résistant au phishing sont désormais des contrôles de sécurité fondamentaux, et non plus des améliorations optionnelles.

5. Les perturbations opérationnelles sont dues à d’anciens problèmes, pas à de nouveaux.

Les gros titres se sont concentrés sur les menaces alimentées par l’IA, mais la plupart des impacts opérationnels en 2025 provenaient de problèmes beaucoup plus familiers :

• Interfaces de gestion exposées
• Actifs en nuage mal configurés
• Systèmes non corrigés ou en fin de vie
• Faible segmentation entre les environnements critiques et non critiques
• Points de défaillance uniques dans les services tiers

Plusieurs pannes de service à fort impact qui ont dominé le cycle de l’information sont dues à des lacunes dans l’hygiène de base, et non à des acteurs de la menace avancée.

Pourquoi c’est important : La différence entre un petit incident et une panne majeure se résume souvent à des éléments fondamentaux. L’étude 2025 a réaffirmé qu’un outillage avancé ne peut compenser des bases opérationnelles faibles.

Principales vulnérabilités et expositions communes (CVE) exploitées

Plusieurs tendances se dégagent de l’ensemble des rapports mondiaux :

1. L‘exploitation s’est concentrée sur les systèmes publics
   Les appliances VPN, les pare-feu, les passerelles de messagerie et les fournisseurs d’identité en nuage ont continué d’être des cibles privilégiées.
2. Les vulnérabilités largement connues figuraient toujours parmi les plus exploitées
   . Les anciens CVE pour lesquels des correctifs étaient disponibles restaient très répandus en raison des longs délais de correction, des systèmes existants ou des déploiements incomplets de correctifs.
3. Les attaquants ont exploité les possibilités de chaînage
   Plutôt que de s’appuyer sur une seule faille, les acteurs de la menace ont souvent combiné une vulnérabilité connue d’exécution de code à distance, une faille d’escalade des privilèges et une mauvaise configuration ou un justificatif d’identité non sécurisé. Cette approche de chaînage a permis un mouvement latéral rapide après l’accès initial.
4. Les délais d’armement se sont considérablement accélérés
   Plusieurs vulnérabilités critiques ont fait l’objet d’une exploitation active le jour même de la publication des avis des fournisseurs.

Ce que cela nous apprend : La menace ne concerne pas seulement les nouvelles vulnérabilités, mais aussi la visibilité, la hiérarchisation et la rapidité. Les attaquants se concentrent sur la voie d’accès la plus facile, et non sur la plus sophistiquée.

Tactiques, techniques et procédures en matière de ransomware

• L’activité des ransomwares a rebondi en 2025 : une analyse estime une augmentation d’environ 34 % des incidents de ransomwares confirmés par rapport à 2024.
• De nombreux attaquants privilégient désormais la double extorsion: ils exfiltrent d’abord les données, puis les chiffrent ou menacent de les divulguer.
• L’économie des ransomwares est en train de changer. Selon une étude mondiale, le montant moyen des rançons payées en 2025 est resté élevé (≈ 1,0 million de dollars américains), mais seule une minorité d’organisations a payé.
• Les acteurs du ransomware combinent de plus en plus l’exploitation des vulnérabilités (par exemple, les VPN/firewalls non corrigés) avec le vol d’informations d’identification ou l’hameçonnage/l’ingénierie sociale pour obtenir l’accès initial.

Pourquoi c’est important : L’évolution vers une tactique d’exfiltration d’abord, de cryptage ensuite, signifie que les défenseurs ne peuvent pas compter uniquement sur les sauvegardes de fichiers. La détection et la prévention doivent désormais couvrir l’ensemble du cycle de vie de l’intrusion, de l’accès à l’exfiltration, et suivre le rythme des attaques basées sur les exploits.

Évolution de l’ingénierie sociale : Ce qui a surpris (et réussi)

• L’ingénierie sociale reste l’un des principaux moteurs des campagnes de ransomware et d’intrusion en 2025. En particulier, le phishing en tant que point d’accès initial a fait un bond significatif.
• L’essor du phishing alimenté par l’IA: les attaquants utilisent fréquemment des outils automatisés ou assistés par l’IA pour créer des courriels de phishing convaincants et hautement personnalisés qui échappent à la détection traditionnelle.
• De nombreux courriels d’hameçonnage utilisent désormais des caractéristiques « polymorphes » variant les noms d’expéditeur, les métadonnées, les sujets et les logos afin de déjouer les filtres basés sur les signatures et d’éviter la détection de modèles.
• Le passage au travail hybride, les environnements distants et l’utilisation généralisée de logiciels d’accès à distance (VPN, RDP, outils de bureau à distance) ont encore accru l’efficacité des tactiques de vol d’informations d’identification et d’ingénierie sociale.

Pourquoi c’est important : La sensibilisation à la sécurité ne suffit plus. Alors que les attaquants utilisent l’IA pour développer et adapter l’ingénierie sociale, les organisations doivent investir dans des défenses à plusieurs niveaux (contrôles techniques + formation humaine + détection d’anomalies), en particulier en ce qui concerne le courrier électronique et l’accès à l’identité.

Où les prévisions ont échoué, et pourquoi

De nombreuses prévisions antérieures partaient du principe que les ransomwares continueraient à être dominés par des attaques de chiffrement à fort impact et que les cycles de correctifs suivraient le même rythme. Ce point de vue était sous-estimé :

1. L’explosion du volume des vulnérabilités et leur mise en œuvre rapide: en 2025, les divulgations de CVE ont été beaucoup plus nombreuses que ne le prévoyaient les prévisions, et les attaquants ont exploité un grand nombre d’entre elles en l’espace de quelques heures.
2. Le passage à des modèles commerciaux fondés sur la double extorsion et la fuite de données: Le cryptage seul perd de sa valeur lorsque les cibles disposent de bonnes sauvegardes ; le vol de données et l’extorsion donnent plus de poids.
3. Le pouvoir de l’ingénierie sociale et de l’IA: les prévisions qui se concentraient uniquement sur les vulnérabilités techniques ne tenaient pas compte de l’efficacité du phishing assisté par l’IA et des attaques basées sur les informations d’identification.

Cela signifie que les défenseurs et les modèles de risque qui s’appuyaient principalement sur les cycles de correctifs, la résilience des sauvegardes ou les mesures d’atténuation basées sur le chiffrement devaient être réévalués. La véritable menace, en particulier pour de nombreuses organisations, est désormais plus large : elle couvre l’identité, l’accès initial, l’exfiltration des données et l’ingénierie sociale.

Ce que les organisations doivent retenir de 2025 et sur quoi elles doivent se concentrer en 2026

Les plus grands enseignements de 2025 :

• L’identité est la principale surface d’attaque.
• L’application des correctifs doit passer d’une approche basée sur le calendrier à une approche basée sur le risque.
• La défense contre les ransomwares porte désormais sur la protection des données, et non plus seulement sur la récupération du chiffrement.
• Les modèles de sensibilisation doivent refléter les techniques modernes de déception.

Découvrez comment la plateforme de gestion des risques humains de MetaCompliance peut aider votre organisation à gérer de manière proactive les cyber-risques liés à l’activité humaine en 2026. De la réduction des menaces de phishing et d’ingénierie sociale au renforcement de la protection de l’identité et à la garantie de la conformité, notre plateforme transforme la prise de conscience en résultats mesurables en matière de sécurité, faisant de votre personnel votre ligne de défense la plus solide.