2025 Tendances en matière de cyberincidents : Ce que les entreprises doivent savoir

Le paysage de la cybersécurité continue d'évoluer à un rythme alarmant, les acteurs malveillants exploitant des techniques de plus en plus sophistiquées pour perturber les organisations de tous les secteurs. Des intrusions alimentées par l'intelligence artificielle aux campagnes intensifiées des États-nations, les entreprises sont confrontées à des défis sans précédent pour protéger leurs actifs numériques et maintenir leur résilience opérationnelle. La compréhension de ces menaces émergentes et la mise en œuvre de stratégies défensives solides sont devenues essentielles à la survie des organisations dans l'écosystème numérique interconnecté d'aujourd'hui.

L'intelligence artificielle transforme les méthodes de cyberattaque

L'intelligence artificielle a fondamentalement changé la manière dont les acteurs de la menace mènent leurs cyber-opérations. Des données récentes révèlent qu'environ seize pour cent des cyberincidents signalés impliquent désormais des attaquants utilisant des outils d'IA, en particulier des modèles de génération d'images et de langage, pour exécuter des campagnes d'ingénierie sociale sophistiquées. L'IA générative a considérablement augmenté l'efficacité des attaques en créant des tromperies plus convaincantes et en permettant une automatisation généralisée des outils d'intrusion.

Les acteurs de la menace déploient la technologie de l'IA de plusieurs manières dangereuses. La technologie Deepfake permet aux criminels de créer des imitations audio et vidéo réalistes de cadres et de personnel d'assistance, qu'ils utilisent pour autoriser des virements bancaires frauduleux, voler des informations d'identification d'utilisateur et compromettre des comptes. Lors d'un incident particulièrement dévastateur, des pirates ont utilisé des images accessibles au public pour créer de fausses vidéos convaincantes du directeur financier et des employés d'une entreprise, réussissant à tromper une victime et à lui faire virer plus de vingt-cinq millions de dollars.

Le phishing vocal, ou "vishing", est un autre vecteur de menace renforcé par l'IA. Les attaquants utilisent des scripts et des clones vocaux générés par l'IA dans le cadre de campagnes téléphoniques ciblées visant à persuader les victimes de télécharger des charges utiles malveillantes, d'établir des sessions d'assistance à distance ou de divulguer leurs identifiants de connexion. En outre, les acteurs de la menace utilisent des outils d'IA générative pour produire des courriels et des messages textuels de phishing hautement personnalisés qui incluent des détails contextuels et des modèles de langage naturel, augmentant considérablement la probabilité que les victimes cliquent sur des liens malveillants et divulguent leurs informations d'identification.

Les attaques par ransomware sont de plus en plus agressives et coûteuses

Lesransomwares continuent de frapper les organisations dans tous les secteurs d'activité. Des rapports récents font état d'une augmentation de 12 % d'une année sur l'autre des brèches liées aux ransomwares. Les attaquants ont adopté des techniques d'extorsion de plus en plus agressives et déployé des outils plus sophistiqués pour maximiser la pression sur les victimes. Les campagnes de ransomware modernes combinent le cryptage traditionnel des données avec des tactiques perturbatrices, notamment le harcèlement des employés et la menace d'opérations critiques, ce qui entraîne des temps d'arrêt prolongés et des coûts de récupération nettement plus élevés.

Plusieurs groupes de ransomwares ont récemment fait la une des journaux. Le groupe de menaces Scattered Spider a refait surface en employant des techniques d 'ingénierie sociale avancées pour obtenir un accès initial à des organisations de divers secteurs. Quant au ransomware LockBit, il a refait surface au début de l'année 2025 avec sa nouvelle boîte à outils, LockBit 4.0, et a lancé des campagnes d'extorsion agressives ciblant en particulier le secteur privé dans l'ensemble des États-Unis.

Il est intéressant de noter que les réponses des organisations aux attaques de ransomware semblent évoluer. Une étude récente du secteur indique qu'environ 63 % des organisations interrogées ont refusé de payer des rançons au cours de l'année écoulée, ce qui représente une augmentation par rapport aux 59 % enregistrés en 2024. Cette tendance suggère une résistance croissante aux demandes d'extorsion des criminels, bien qu'elle souligne également la nécessité de disposer de capacités de sauvegarde et de récupération robustes qui permettent aux organisations de restaurer leurs opérations sans capituler devant les attaquants.

Les menaces des États-nations s'intensifient dans un contexte de tensions géopolitiques

Les acteurs étatiques ont considérablement intensifié leurs opérations cybernétiques, ciblant les infrastructures de télécommunications, les systèmes critiques et les fournisseurs de services tiers stratégiques. Ces campagnes sophistiquées font généralement appel à des techniques de cyberespionnage et à des tactiques de tromperie avancées pour voler les informations d'identification des utilisateurs et obtenir un accès non autorisé à des réseaux et à des données sensibles.

Les groupes d'acteurs de la menace basés en Chine ont considérablement intensifié leurs activités au cours de l'année écoulée, certains secteurs ciblés ayant connu une augmentation de 200 à 300 % des attaques par rapport à l'année précédente. Deux campagnes d'intrusion très médiatisées ont attiré l'attention du monde entier : Salt Typhoon et Volt Typhoon. L'opération Salt Typhoon a réussi à infiltrer d'importants réseaux de télécommunications dans le cadre d'une campagne de cyberespionnage de grande envergure, tandis que Volt Typhoon a consisté à prépositionner des codes malveillants dans des systèmes d'infrastructures critiques, ce qui a suscité de vives inquiétudes quant à la possibilité d'une escalade vers des dommages physiques ou des perturbations à grande échelle.

Des acteurs affiliés à des États-nations ont également exploité des tactiques d'ingénierie sociale au-delà des intrusions techniques. Des acteurs affiliés à la Corée du Nord ont infiltré des entreprises américaines en fabriquant des documents et en créant des profils de candidats convaincants pour obtenir un emploi dans le domaine de l'assistance informatique, postes qu'ils ont ensuite exploités pour récupérer les informations d'identification des utilisateurs et effectuer des transactions financières frauduleuses. Les acteurs liés à l'Iran ont notamment adopté des outils d'IA générative, et un groupe aurait amplifié des informations divulguées par le biais de chatbots d'IA à la suite d'une campagne de piratage et de fuite ciblant les données sensibles de journalistes en juillet 2025.

Les attaques de la chaîne d'approvisionnement par des tiers présentent des risques croissants

Les attaques de tiers se produisent lorsque des acteurs menaçants compromettent des partenaires de la chaîne d'approvisionnement, des vendeurs ou des fournisseurs de logiciels et tirent parti de cet accès pour infiltrer les réseaux des organisations cibles. Ces attaques se répercutent souvent en cascade sur des systèmes interconnectés, touchant de multiples entités en aval et des clients qui dépendent des logiciels ou des services compromis. Les données récentes sur les menaces mettent en évidence une augmentation de la cybercriminalité motivée par des considérations financières et ciblant les fournisseurs de logiciels comme points d'entrée dans les écosystèmes d'entreprise plus larges.

En pénétrant chez des fournisseurs tiers, les attaquants peuvent contourner les défenses périmétriques traditionnelles et obtenir un accès privilégié à des environnements professionnels sensibles. Ces acteurs de la menace exploitent fréquemment les environnements hébergés tels que les plateformes en nuage et les écosystèmes de logiciels en tant que service, se déplaçant latéralement à travers les instances des clients, récoltant des informations d'identification et exfiltrant des données propriétaires à grande échelle. Cette tactique permet d'avoir un impact à grande échelle, en particulier lorsque les fournisseurs servent plusieurs clients dans différents secteurs d'activité.

Les atteintes à la chaîne d'approvisionnement de tiers sont devenues l'un des vecteurs de cybermenaces les plus coûteux et les plus persistants auxquels les entreprises sont confrontées aujourd'hui. Des données récentes indiquent que ces violations entraînent un coût moyen de près de cinq millions de dollars et qu'il faut plus de temps pour les identifier et les contenir que pour toute autre forme de cyberintrusion. La complexité des relations avec les fournisseurs et les temps d'attente prolongés contribuent à retarder les efforts de réponse et à accroître l'exposition des organisations touchées.

Recommandations essentielles pour la cyber-résilience

Le maintien d'un programme de cybersécurité complet et basé sur les risques reste la défense la plus efficace contre l'évolution des cybermenaces. Les organisations devraient donner la priorité à la préparation à la réponse aux incidents en organisant des exercices sur table impliquant les principaux dirigeants, les représentants du conseil d'administration et les chefs de service afin de valider les rôles, les procédures d'escalade et les cadres de prise de décision. Ces exercices devraient intégrer les menaces émergentes telles que l'utilisation malveillante de l'IA générative afin de s'assurer que les équipes sont préparées à des scénarios réalistes.

La gestion des politiques nécessite une attention permanente. Les organisations doivent régulièrement revoir et mettre à jour les plans de réponse aux incidents, les procédures de continuité des activités et les processus d'approbation des communications pour s'assurer qu'ils reflètent les menaces actuelles et qu'ils sont conformes aux exigences de notification rapide, telles que l'exigence de notification initiale dans les vingt-quatre heures de la directive NIS2 de l'Union européenne et la règle de divulgation dans les quatre jours ouvrables de la SEC pour les incidents importants. Les politiques mises à jour doivent être diffusées aux parties prenantes concernées et doivent tenir compte de la tolérance au risque pour les technologies émergentes telles que l'IA générative.

L'atténuation des risques liés aux tiers exige un contrôle préalable rigoureux des fournisseurs et des garanties contractuelles. Les organisations devraient effectuer des analyses de criticité pour identifier les fournisseurs et les composants dont la compromission aurait le plus grand impact opérationnel. Les principales mesures de protection consistent à exiger des fournisseurs qu'ils attestent de leurs pratiques de développement de logiciels sécurisés, à mettre en œuvre des protections contractuelles solides avec des exigences de notification rapide des incidents et des droits d'audit, à procéder à des évaluations régulières des pratiques de sécurité des fournisseurs et à tester les efforts de réponse au moyen d'exercices de simulation impliquant des scénarios de fournisseurs tiers.

Les processus de gestion des vulnérabilités doivent être rapides et systématiques compte tenu de la fréquence des correctifs de sécurité et de l'évolution des exploits. Les organisations devraient maintenir des processus documentés pour identifier, évaluer, hiérarchiser, corriger et suivre les vulnérabilités, tout en attribuant clairement les responsabilités et les délais pour les activités de correction. La mise en œuvre d'une surveillance continue et d'outils de gestion proactive des correctifs qui produisent des journaux vérifiables permet aux organisations de remédier aux vulnérabilités avant que les acteurs de la menace ne puissent les exploiter.

Enfin, le fait de s'engager auprès de groupes industriels et de se tenir au courant des mises à jour des réglementations et de l'application de la loi renforce la posture de sécurité de l'organisation. Malgré l'incertitude juridique qui a entouré récemment le partage d'informations sur la cybersécurité à la suite de l'expiration de certaines dispositions légales, un partage d'informations coordonné et en temps opportun reste vital. Les organisations devraient adhérer à des groupes de cybersécurité sectoriels pour se tenir informées des menaces et des meilleures pratiques propres à leur secteur, tout en surveillant les mises à jour des agences gouvernementales et en s'abonnant aux bulletins de renseignements sur les menaces des forces de l'ordre.

Bien qu'il soit impossible d'éliminer totalement le risque cybernétique, le fait de donner la priorité à la préparation à la réponse aux incidents et à la conformité réglementaire renforce la résilience technique et place les organisations dans une position plus favorable du point de vue opérationnel et juridique lorsqu'elles deviennent inévitablement la cible de cyberattaques.

Source : https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know