La publication du Panorama de la cybermenace en 2025 (1) par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) permet de faire état des tendances des cybermenaces en 2025 :
- l’ANSSI a traité 3 586 événements de sécurité, soit une diminution de 18 % par rapport à l’année précédente ;
- 2 209 signalements et 1 366 incidents ont été portés à la connaissance de l’ANSSI.
128 compromissions par rançongiciel ont été portées à la connaissance de l’Agence. Si ce volume est en légère baisse, l’ANSSI observe une diversification des stratégies d’extorsion avec un recours accru à l’exfiltration de données sans chiffrement systématique.
Les établissements de santé sont toujours particulièrement ciblés. Ils représentent 8 % des attaques par rançongiciel, mais les établissements les plus touchés sont les PME/TPE/ETI.
Les opérations de déstabilisation et de sabotage se maintiennent à un niveau élevé. L’ANSSI relève la poursuite des activités de sabotage contre les infrastructures critiques, illustrée notamment par des attaques coordonnées contre des réseaux énergétiques en Europe.
En outre, des groupes hacktivistes continuent de cibler de petites installations industrielles et des services publics via des attaques par déni de service (DDoS) pour nuire à l’image des entités visées.
L’éducation et la recherche constituent les secteurs les plus représentés parmi les incidents traités par l’ANSSI, regroupant à eux seuls 34 % des cas.
Evolutions de l’outillage et sophistication des modes opératoires
Le Panorama de la cybermenace en 2025 met en exergue l’utilisation croissante de services et d’outils informatiques légitimes par les attaquants pour dissimuler leurs actions au sein de flux de données non caractérisés comme malveillants.
Ce détournement d’outils d’accès à distance ou de solutions de stockage cloud réduit le coût de maintien des infrastructures d’attaque tout en complexifiant les capacités de détection et d’imputation.
L’usage de l’intelligence artificielle générative devient également un catalyseur de capacités offensives, permettant d’améliorer la qualité et la diversité des attaques.
De plus, l’ANSSI note que les services d’intelligence artificielle générative peuvent également être la cible d’attaquants, qui cherchent à en altérer les données d’entraînement. En effet, la multiplication de contenus générés par l’intelligence artificielle sur Internet pourrait avoir un impact sur les modèles d’agent conversationnel comme ChatGPT, et participer à la diffusion de fausses informations à grande échelle.
Focus sur l’ingénierie sociale dans le panorama de la cybermenace
Le Panorama de la cybermenace en 2025 met en avant le fait que l’ingénierie sociale demeure un vecteur d’entrée privilégié, exploitant des techniques avancées telles que le détournement de carte SIM ou le bombardement de demandes d’authentification multifactorielle reçue par la victime. Ces techniques consistent à tromper un utilisateur pour l’amener à accomplir des actions qu’il considère comme légitimes alors qu’elles compromettent en réalité son système d’information.
Les attaquants font preuve d’une connaissance approfondie des processus internes des entreprises cibles grâce à des phases de reconnaissance minutieuses. L’ANSSI note également une recrudescence du ciblage des terminaux mobiles, tant personnels que professionnels, qui concentrent des informations sensibles et offrent des opportunités d’espionnage accrues pour les acteurs étatiques ou privés.
L’ANSSI observe également une augmentation de l’utilisation de la technique « Clickfix », qui consiste à déterminer une victime à exécuter elle-même des commandes pour télécharger et exécuter un programme malveillant.
Exploitation des vulnérabilités et risques liés à la sous-traitance
L’exploitation des vulnérabilités logicielles constitue toujours un levier majeur de compromission, notamment lorsqu’elles affectent les équipements de bordure de réseau et de sécurité. L’ANSSI souligne que la réactivité des défenseurs dans l’application des correctifs est déterminante, alors que le rythme de publication des vulnérabilités augmente de 18 % par an en moyenne.
Le rapport rappelle l’importance du futur cadre réglementaire européen, notamment le Cyber Resilience Act (CRA), qui imposera aux fabricants des exigences strictes en matière de gestion et de signalement des failles. En effet, à compter du 11 septembre 2026, le CRA imposera aux fournisseurs de produits numériques commercialisés en Europe, de signaler toute vulnérabilité activement exploitée et tout incident grave ayant des répercussions sur la sécurité de leurs produits. A partir du 11 décembre 2027, de nouvelles obligations s’imposerons aux fournisseurs.
Enfin, le ciblage des sous-traitants s’impose comme une méthode éprouvée pour atteindre des cibles finales de manière indirecte. La compromission d’un prestataire de services numériques ou d’un fournisseur cloud permet aux attaquants de se propager vers de nombreux réseaux clients ou d’exfiltrer massivement des données confidentielles.
Notes de bas de page :
(1) Le Panorama de la cybermenace en 2025 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
Titre
Courte description
Titre
Courte description
