Table des matières
L’année 2025 restera gravée dans les bilans de cybersécurité comme une période où les attaques ont évolué en complexité, en fréquence et en impact. Alors que les entreprises, administrations et organisations renforçaient leurs défenses, des techniques d’intrusion plus sophistiquées ont continué de faire surface, ciblant des vulnérabilités jusque-là peu exploitées. Threat intelligence, ou renseignement sur les menaces, consiste à analyser ces attaques pour aider à prévoir les prochains mouvements des cybercriminels et à définir des stratégies correctives efficaces.
Ce tour d’horizon des attaques qui ont marqué 2025 montre non seulement ce qui s’est passé, mais aussi comment les cyberattaques ont transformé certaines pratiques de défense et de réaction. En identifiant les tendances dominantes de l’année, il devient possible de mieux anticiper les risques potentiels et de comprendre ce que les organisations doivent surveiller de près.
En 2025, les attaques par ransomware ont non seulement persisté, mais elles ont aussi visé des secteurs jusque-là relativement épargnés. Les industries de l’énergie, des transports et des services publics ont été frappées à plusieurs reprises, entraînant des perturbations majeures.
Les rançongiciels modernes n’agissent plus simplement en chiffrant des fichiers : ils combinent des méthodes d’exfiltration de données, de double extorsion (menace de publication des données volées) et de propagation latérale dans les réseaux. Dans certains cas, les attaques ont été revendiquées avec des preuves de fuite de données sensibles, ce qui a accru la pression sur les victimes pour qu’elles paient rapidement.
Selon plusieurs rapports internationaux, le volume de demandes de rançon en monnaies numériques a augmenté de plus de 45 % en 2025 par rapport à 2024. Cette tendance a encouragé les acteurs malveillants à perfectionner leurs outils, notamment en automatisant certaines phases d’attaque pour réduire le temps nécessaire à l’infiltration complète d’un réseau.
Le ciblage d’infrastructures critiques a également mis en lumière la nécessité de revoir les stratégies de segmentation des réseaux, de renforcer les sauvegardes hors ligne et de multiplier les simulations d’incidents pour tester la résilience des systèmes.
Le phishing est loin d’être une menace nouvelle, mais en 2025, les campagnes ont gagné en sophistication. Les pirates n’utilisent plus des emails génériques envoyés en masse : ils exploitent des données publiques, des profils professionnels visibles sur les réseaux sociaux et des échanges antérieurs pour créer des messages hyper personnalisés.
Ces attaques dites spear phishing ou phishing ciblé atteignent un degré de crédibilité tel que des employés, même formés, ont parfois été trompés. Les courriels ou messages imitent fidèlement l’apparence de communications internes, de notifications de fournisseurs légitimes ou de services courants. Dans certains cas, l’attaquant simule une conversation déjà engagée pour obtenir des actions spécifiques, comme l’ouverture d’une pièce jointe piégée ou la saisie d’identifiants de connexion.
Des études menées par des laboratoires indépendants ont observé que plus de 30 % des attaques réussies en 2025 ont commencé par un message apparemment anodin, suivi d’une escalade rapide vers un accès non autorisé ou un déploiement de logiciel malveillant.
Les entreprises ont donc dû renforcer la formation de leurs collaborateurs, mais aussi intégrer des mécanismes techniques comme l’analyse comportementale des messages, l’authentification multifacteur obligatoire et l’isolation des environnements de messagerie pour limiter les impacts potentiels de ce type d’intrusion.
Une autre tendance marquante de 2025 a été l’explosion des attaques basées sur des vulnérabilités zero-day. Ces failles, non documentées ou non corrigées au moment de leur exploitation, ont été utilisées pour pénétrer des systèmes réputés sûrs.
Les secteurs technologiques, en particulier ceux utilisant des solutions populaires de gestion de contenu, des plateformes cloud ou des applications collaboratives, ont dû faire face à des campagnes coordonnées exploitant des failles encore non patchées. Ces attaques ont été particulièrement dommageables car elles ont permis une escalade de privilèges, l’installation discrète de portes dérobées et la persistance dans des réseaux ciblés pendant des semaines, voire des mois, avant d’être détectées.
Les laboratoires de cybersécurité ont répertorié des centaines de nouvelles vulnérabilités zero-day activement exploitées en 2025. Cela a poussé certains éditeurs à modifier leurs cycles de réponse aux alertes, à intensifier les programmes de récompense pour la découverte de failles et à collaborer davantage avec des équipes de threat intelligence pour accélérer la publication de correctifs.
Pour les organisations, cela a signifié un double défi : maintenir des processus de mise à jour rapides et fiables, tout en établissant des systèmes de détection capables d’identifier des comportements suspects même avant qu’un patch soit disponible.
Une des tendances les plus perturbatrices de 2025 a été l’augmentation des attaques ciblant les chaînes d’approvisionnement logicielle. Ces attaques consistent à compromettre un composant ou un service utilisé par de nombreux clients pour étendre l’impact d’une seule intrusion.
En exploitant une dépendance commune à un logiciel ou à un service de développement, des groupes malveillants ont réussi à injecter du code nuisible dans des mises à jour ou des bibliothèques partagées. Une fois déployées, ces modifications ont permis de déclencher un large déploiement de logiciels malveillants dans des environnements variés.
Ces incidents ont montré que la sécurité ne peut plus être confinée à un seul périmètre : la confiance accordée à un fournisseur se transforme en un point de vulnérabilité potentiel. Le résultat a été une réévaluation des stratégies de gestion des dépendances, une surveillance accrue des processus de build et de déploiement, ainsi que l’intégration de contrôles automatisés pour vérifier l’intégrité des composants tiers.
Si l’intelligence artificielle offre des possibilités considérables pour la défense, elle a aussi été largement exploitée par les acteurs malveillants en 2025. Deux usages se sont particulièrement démarqués : l’automatisation offensive et les deepfakes opérationnels.
L’automatisation offensive consiste à utiliser des algorithmes pour scaler des attaques répétitives, comme l’identification automatique de vecteurs d’intrusion ou l’adaptation en temps réel des charges malveillantes pour contourner des outils de détection classique. Cela a permis à des attaques ciblées de s’adapter rapidement à des systèmes de défense, rendant leur blocage plus difficile.
Le second usage, les deepfakes opérationnels, a été observé dans des contextes de compromission de comptes ou de manipulation d’individus. Des vidéos ou messages vocaux falsifiés ont été utilisés pour imiter des dirigeants, obtenir des validations d’opérations sensibles ou influencer des décisions internes. Ces incidents ont montré que la confiance humaine peut devenir un vecteur d’accès si l’authenticité du signal n’est pas rigoureusement vérifiée.
Les attaques par déni de service distribué (DDoS) ont continué d’évoluer en 2025, non seulement en termes de volume, mais aussi en termes de tactiques. Plutôt que de simples saturations de bande passante, des attaques hybrides ont émergé, combinant DDoS avec des charges complémentaires visant des ports spécifiques ou des services critiques, rendant la mitigation plus complexe.
Ces attaques ont perturbé des services en ligne à grande échelle, entraînant des indisponibilités temporaires pour des plateformes de commerce, des services publics, voire des applications de santé. Leur caractère multivecteur a exigé des réponses coordonnées intégrant des filtrages dynamiques, des redirections intelligentes et des coopérations avec des fournisseurs de protection cloud spécialisés.