NicoElNino - stock.adobe.com
Cybermenaces 2025 : érosion des frontières et marée haute persistante
L'année 2025 s'est soldée par un constat paradoxal : une baisse de 18 % du nombre de signalements, mais une stabilité préoccupante des incidents confirmés. Et surtout des lignes qui se brouillent plus que jamais.
L'année 2025 se solde par un constat paradoxal : une baisse de 18 % du nombre de signalements, mais une stabilité préoccupante des incidents confirmés.
Un relâchement de la pression après les Jeux Olympiques de 2024 ? Il n'en est rien, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi) : nous ne sommes pas face à une explosion quantitative, mais à une transformation tactique profonde.
Cet équilibre a été couronné par un événement catalyseur sans précédent en Europe de l'Ouest : l'attaque destructive coordonnée visant les infrastructures électriques polonaises. Cette opération marque le passage d'une cybermenace théorique à une réalité de déstabilisation physique, confirmant le scénario décrit dans la Revue nationale stratégique.
Le défi pour les RSSI est d'adapter l'architecture de sécurité face à la fusion des motivations et à l'érosation du « Zero-Day Window ».
L'hybridation des adversaires : convergence des modes opératoires
La frontière traditionnelle entre acteurs étatiques et cybercriminels s'est dissoute. L'Anssi documente une inversion des rôles : les APT étatiques (RUS, CHN, Corée du Nord) adoptent désormais le modèle économique RaaS. Le groupe Moonstone Sleet a été identifié déployant le RaaS Qilin, tandis que des acteurs chinois utilisent des familles de ransomware comme NailaoLocker pour des extorsions financières.
Parallèlement, les groupes criminels intègrent des techniques de renseignement étatique. Cette convergence rend l'imputation classique par TTP obsolète. Les SOC doivent surveiller l'ensemble du spectre, du vol de données pur au sabotage, sans a priori sur l'origine de la menace. L'enseignement est clair : adopter une doctrine de défense intégrée où les plans de gestion de crise sont agnostiques du vecteur initial. Tout incident critique doit être traité comme une menace systémique potentielle.
La chaîne logistique comme vecteur de contamination systémique
La latéralisation massive via les tiers constitue un risque d'amplification majeur. L'ANSSI rapporte qu'« un attaquant a compromis et exfiltré des ressources clientes chez un prestataire [...] se latéralisant sur le système d'information de plusieurs clients ».
Les attaquants détournent également massivement des services légitimes (RMM, Cloud, outils de développement, LOLBins) pour masquer leur trafic de Command & Control (C2). Le détournement d'outils comme AnyDesk ou des services de stockage cloud par des APT28 illustre cette tendance. Pour les RSSI, la responsabilité de la sécurité ne s'externalise pas.
Les contrats de sous-traitance doivent intégrer des clauses de conformité au Cyber Resilience Act et exiger des audits de sécurité actifs, notamment une visibilité totale sur les interconnexions réseaux.
Vulnérabilités critiques et ingénierie sociale : la fin du « patching » réactif
Un court délai entre la publication d'une vulnérabilité et son exploitation est devenu la nouvelle norme. En 2025, environ 29 % des vulnérabilités ont été exploitées le jour même de leur publication, voire avant. L'Anssi signale l'exploitation de vulnérabilités Ivanti et Fortinet dès leur sortie, rendant les correctifs réactifs inefficaces sur les actifs critiques.
Parallèlement, les vecteurs humains se sophistiquent. Les techniques d'ingénierie sociale comme le SIM-swapping, le MFA Fatigue et le « Clickfix » contournent les contrôles techniques. Le groupe Scattered Spider a ainsi réussi à compromettre des entreprises du secteur du luxe en usurpant le service informatique.
L'enseignement technique est impératif : prioriser la segmentation réseau (Zero Trust) et le durcissement des interfaces d'administration. Déployer une approche proactive de gestion des risques basée sur l'exposition réelle des actifs.
Gestion de crise : distinguer le bluff des menaces réelles
Une part importante des menaces actuelles est psychologique. L'Agence révèle que 60 % des revendications d'exfiltration de données se sont révélées être des « bluffs », utilisant des données déjà publiques. Cette statistique impose une méthodologie de validation rigoureuse avant l'engagement de la réponse de crise. Il faut distinguer l'alerte de la réalité.
De plus, les mesures d'endiguement précipitées peuvent aggraver la situation. L'Anssi note que « les dispositions hâtives prises [...] notamment le débranchement électrique de son data center, ont entraîné un arrêt total et une perturbation de ses activités sur le long cours », tout en effaçant les traces de l'attaque.
Les plans de continuité (PCA/PRA) doivent donc être testés non seulement contre le chiffrement, mais surtout contre les scénarios de destruction de données (Wipers).
La menace de 2025 n'est pas le volume, mais la systémicité. La « marée haute » actuelle est le prélude à un possible scénario du « raz de marée » futur. Pour les décideurs, l'objectif doit changer : passer de la protection périmétrique à la résilience opérationnelle. Cela implique de prioriser la visibilité des données critiques, la gestion des identités (IAM) renforcée et l'isolement des environnements de développement.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
Change Healthcare victime d'une intrusion via un portail Citrix sans MFA
Par: Arielle Waldman
-
![]()
Vincent Strubel, Anssi : « Les JO vont être un test de notre cybersécurité collective »
Par: Alain Clapaud
-
![]()
Cyberattaques : en quoi consiste le déplacement latéral ?
Par: Valéry Rieß-Marchive
-
![]()
Vulnérabilités et ESN : deux points noirs pour l’Anssi contre les cyberattaques
Par: Valéry Rieß-Marchive
