Réalisée à partir de la télémétrie générée par les solutions de sécurité Elastic entre juin 2024 et juillet 2025, l’édition 2025 du Global Threat Report de l’éditeur fait apparaître une rupture : la montée en puissance d’attaques relativement peu élaborées, mais en grand volume.
« Nous arrivons dans une nouvelle ère, avec des adversaires dont les pratiques ont changé. En 2024, la tendance était aux attaques très abouties, très travaillées, qui demandaient du temps à se mettre en place, et qui mettaient parfois des mois avant de se déclencher », explique Yannick Fhima, responsable Solutions Architecture pour la zone Europe du sud d’Elastic.
« L’IA génère maintenant de manière très facile du code malveillant. »
Yannick FhimaResponsable Solutions Architecture, Europe du Sud, Elastic
L’expert estime qu’aujourd’hui les nouvelles attaques sont de plus en plus souvent issues de l’IA générative : « l’IA génère maintenant de manière très facile du code malveillant. Cela peut être des malwares, des scripts d’attaque, ou des messages extrêmement bien faits pour mener des attaques de type phishing. Nous avons aussi remarqué un accroissement du volume d’attaques : l’attaquant a besoin de moins de temps pour les créer et va en générer beaucoup plus. On passe dans une ère avec des attaques en volume et beaucoup plus rapides, plutôt que des attaques extrêmement sophistiquées comme nous en observions par le passé ».
Une démocratisation des techniques d’attaque, grâce à l’IA générative mise en œuvre à la fois par des attaquants moins expérimentés, mais aussi par toute cette industrie parallèle du logiciel qui produit les maliciels.
Windows reste la cible numéro 1 des malwares
Outre cette tendance forte, l’étude enfonce quelques portes ouvertes. Windows reste la plateforme la plus visée par les logiciels malveillants, et de loin. Elle représente 89,97 % des occurrences, contre 9 % pour Linux et seulement 1,03 % pour macOS, un chiffre qui baisse encore pour Apple.
De même, le cheval de Troie reste le malware le plus fréquent (près de 65 % des malwares décomptés). Le nouvel arrivant, c’est l’attaque générique qui a atteint 23,53 %, soit une progression de 15,5 % en un an : « de plus en plus d’attaques génériques sont générées grâce aux outils LLM qui sont disponibles de manière publique. On voit de plus en plus ce type d’attaques émerger depuis l’année dernière ». Enfin, les rootkits Linux ont connu une augmentation importante cette année.
La cartographie des attaques réalisées sur Windows, sur le framework ATT&CK du Mitre, montre que, si en 2024 la technique dite Defense Evasion était la plus repérée par les entreprises, cette année, c’est la technique Exécution qui est la plus populaire chez les attaquants (c’est-à-dire tenter d’exécuter un code malicieux sur la cible). Cette tactique a doublé en un an… À lui seul, GhostPulse représente 12 % des malwares repérés par les entreprises, un cheval de Troie qui joue le rôle de loader pour pousser des cleptogiciels comme RedLine et Lumma dans les systèmes de la victime.
Azure, la cible privilégiée des attaques sur le cloud
L’adoption du cloud est de plus en plus importante et les attaquants accompagnent les victimes dans cette adoption. Azure a focalisé 54,06 % des attaques, soit plus que sa part de marché mondial. Amazon Web Services a été visé par 36,8 % des attaques, mais la firme de Jeff Bezos n’a pas matière à pavoiser, car AWS ne focalisait que 26,34 % des attaques cloud l’an dernier. La surprise de 2025 vient de chez GCP, avec un taux qui passe de 10,13 % à 9,11 %…
« Lorsque le cloud est arrivé, les entreprises ont pris la sécurité de ces infrastructures un peu à la légère et les cyberattaquants ne se sont pas gênés. »
Yannick FhimaResponsable Solutions Architecture, Europe du Sud, Elastic
Yannick Fhima explique ce focus sur Azure par le savoir-faire des attaquants sur les infrastructures Microsoft on-premise, qu’ils mettent désormais en œuvre sur le cloud Microsoft. Et, de fait, si l’annuaire Active Directory est une cible de haute valeur pour un attaquant dans le on-premise, c’est aussi le cas sur Azure. Elastic a constaté que si 54 % des signaux anormaux provenaient des journaux d’audit d’Azure, ce chiffre atteint près de 90 % si l’on prend en compte l’ensemble des données télémétriques d’Entra ID.
L’étude souligne que, de manière plus générale, pour 60 % des incidents liés à la sécurité sur le cloud, les attaquants avaient trois objectifs : l’accès initial, la persistance et l’accès aux identifiants. « L’accès aux identifiants, c’est vraiment quelque chose qui a été relativement facile pendant des années. Les attaquants étaient en mesure de voler des jetons pour les rejouer. Lorsque le cloud est arrivé, les entreprises ont pris la sécurité de ces infrastructures un peu à la légère et les cyberattaquants ne se sont pas gênés », relève Yannick Fhima.
Le navigateur de plus en plus ciblé
Le responsable d’Elastic pointe une autre tendance majeure relevée dans les données 2025 : le vol de données via le navigateur. « Le navigateur refait surface comme étant un moyen, une cible d’attaque importante, puisque c’est un moyen de rentrer rapidement pour attaquer des actifs d’entreprise », selon l’expert.
Un maliciel sur 8 est désormais conçu pour extraire les données du navigateur, essentiellement du vol d’identifiant. Tous les navigateurs bâtis sur le moteur Chromium sont devenus une cible privilégiée pour les cleptogiciels.
Le navigateur alimente l’économie criminelle et l’arrivée de nouveaux navigateurs boostés à l’IA générative risque d’amplifier ce mouvement. Qu’il s’agisse d’Edge couplé à Copilot, de Chrome boosté à Gemini AI, de Comet de Perplexity ou d’Atlas d’OpenAI, ces nouveaux navigateurs illustrent aussi la montée en puissance de l’agentique. Des IA directement connectées aux ressources IT de l’entreprise pourraient beaucoup intéresser les attaquants.
