Insight

Rapport CERT-Wavestone 2025 : analyse d’un an de réponses à incidents et évolutions des menaces

Publié le 7 octobre 2025

  • Cybersécurité

Les grandes leçons de 2025

  • Le gain financier demeure la motivation principale des attaques, avec une majorité de ransomware, mais l’espionnage continue de progresser.
  • Le phishing retrouve la première place parmi les canaux d’intrusion utilisés par les cybercriminels.
  • L’autre principale voie d’entrée est l’exploitation de services web ou d’accès distants vulnérables soulignant le caractère encore opportuniste de beaucoup d’attaques.
  • L’IA, le SaaS et l’utilisation de package open source élargissent le terrain d’attaque.

Crises cyber en 2025 : constats, tendances et leviers d’action

En 2025, l’équipe de Réponse à Incident de Wavestone (CERT) a de nouveau été mobilisée sur plus de 20 crises significatives, touchant des organisations de tailles et de secteurs variés. Ce rapport vise à restituer les grandes tendances observées, à illustrer les scénarios les plus marquants et à mettre en lumière les défis qui attendent les organisations pour les mois à venir.

En effet, elles doivent désormais être capables de surveiller un périmètre de plus en plus hétérogène (SaaS, partenaires, open source) face à des attaquants toujours plus rapides. L’attaque la plus rapide observée par notre équipe a durée moins d’1 jour et demi entre l’entrée de l’attaquant et l’exfiltration des données.

L’objectif de ce rapport est donc double : dresser un état des lieux réaliste des attaques observées sur le terrain et analyser les tendances et cybermenaces afin de proposer des leviers d’action concrets pour renforcer la résilience des systèmes d’information.

  • Cybersécurité

Découvrez le rapport CERT-Wavestone 2025

pdf · 1134KO

Télécharger le rapport

Motivations : l’appât du gain domine, l’espionnage en hausse

L’examen des incidents révèle des motivations variées, mais des dynamiques dominent :

  • La recherche de gains financiers (65 %) : rançongiciels, fraudes via boîtes mails compromises, revente de données volées. Le profit reste le moteur principal des cybercriminels, notamment via l’usage du ransomware.
  • L’exploitation de données stratégiques via des campagnes d’espionnage (17 %, +7% par rapport à 2024) : certaines affaires illustrent l’intérêt croissant pour la donnée métier en tant que telle (publication sur le dark web après une injection SQL, fuite d’une base JIRA entière, ou encore suspicion de vol de propriété intellectuelle via un partenaire).

Les autres cas concernent des motivations indéterminées ou secondaires, mais ces deux dynamiques restent de loin les plus structurantes.

Le phishing, de nouveau premier canal d’intrusion sur le SI

Les attaques étudiées permettent d’identifier les principaux vecteurs d’entrée utilisés par les cybercriminels :

  • Le phishing : avec 38% des incidents qui ont pour origine une campagne d’hameçonnage, le phishing est le vecteur le plus représenté. Il a permis de compromettre aussi bien des utilisateurs standards que des comptes à privilèges (administrateurs, VIP, comptes de prestataires). Son retour au premier plan (20% en 2024) est aussi dû à l’inventivité des attaquants pour renouveler cette technique d’attaque. En particulier, nous avons observé des cas de vishing, phishing utilisant les canaux téléphoniques ou l’identité est beaucoup plus complexe à vérifier.
  • Les accès distants exposés : environ cinq incidents sont liés à des services RDP ou VPN vulnérables, compromis par brute force ou via des intrusions opportunistes.
  • Les vulnérabilités techniques : là aussi présente dans 1 incident sur 5, l’exploitation de vulnérabilités reste un vecteur d’entrée de premier plan. Deux cas majeurs ont été observés en 2025, l’exploitation d’une CVE et l’injection SQL ont mené à l’exfiltration de données du SI visé.

Ces résultats confirment les tendances internationales : le phishing est le premier canal d’intrusion en 2025, devant l’exploitation de vulnérabilités et les accès distants (VPN, RDP).

Les principaux retours d’expérience de nos interventions

L’analyse des incidents montre aussi quatre tendances de fond déjà identifiés en 2024 et qui demeurent en 2025 :

  • Les sauvegardes demeurent systématiquement visées : dans 90 % des cas de rançongiciels, elles sont supprimées ou chiffrées pour empêcher toute reconstruction et notamment augmenter la pression sur les organisations pour payer une rançon.
  • La compromission des données métiers reste un objectif central : observée dans 71 % des attaques, que ce soit pour de l’espionnage ou de l’extorsion.
  • La vigilance et la réactivité des entreprises sont mises à l’épreuve : avec un délai moyen de seulement 1,5 jour entre l’intrusion et l’impact de l’attaque, soulignant de nouveau le besoin de réduire les délais de détection et de réponse en s’appuyant sur l’automatisation et l’IA.
  • Les partenaires et filiales demeurent une cible privilégiée : 56 % des attaques contre les grandes entreprises passent par leur filiale ou partenaire.

Les tendances émergentes de 2025

Les techniques d’ingénierie sociale deviennent multicanales et de plus en plus sophistiquées :

  • Vishing (appels vocaux frauduleux) : en 2025, les appels frauduleux ont explosé, les deepfakes vocaux permettent de simuler la voix de dirigeants, rendant le message beaucoup plus convaincant. Le sentiment d’urgence ou la pression sociale est exploité pour pousser la victime à exécuter une action. Nombreux sont nos clients à avoir été visés plutôt sur des tentatives de « fraude au président » mais une telle campagne a par exemple visé les utilisateurs de Salesforce durant l’été 2025 en commençant l’attaque par du vishing sur les équipes de supports informatiques afin de récupérer des comptes à privilège permettant d’accéder ensuite aux plateformes en ligne de manière légitime.
  • Quishing (QR codes piégés) : une technique émergente où l’attaquant envoie un QR code dans un email ou document, la victime le scanne, et est redirigée vers un site frauduleux. Cette méthode contourne les protections classiques sur les mails ou liens. De nombreux cas ont été observé en particulier dans la fourniture de service numérique accessible depuis l’espace public (borne de recharge électrique, de services numériques…).

Ces deux vecteurs sont de plus en plus combinés dans des campagnes multicanales, ce qui rend les défenses plus complexes. Les organisations doivent redoubler d’efforts sur leurs campagnes pour sensibiliser leurs employés mais aussi leurs clients, et faire évoluer les processus pour limiter l’impact lorsque ces techniques réussissent.

Conclusion

L’année 2025 confirme que les cyberattaques sont avant tout opportunistes, rapides et dans certains cas amplifiés par l’IA. Les motivations financières dominent, les sauvegardes et données métiers sont systématiquement visées, et les environnements SaaS ou tiers deviennent des portes d’entrée critiques.

Face à ces menaces, les organisations doivent non seulement renforcer leurs défenses classiques, en s’appuyant sur l’automatisation et notamment le recours à l’IA pour accélérer la détection et la réponse, mais aussi élargir leur vigilance aux environnements SaaS et aux prestataires.

  • Cybersécurité

Découvrez le rapport CERT-Wavestone 2025

pdf · 1134KO

Télécharger le rapport

Victime d’une attaque ?

Contactez notre équipe CERT-Wavestone :

Auteurs

  • Gérôme Billois

    Partner – France, Paris

    Wavestone

    LinkedIn
  • Quentin Perceval

    Senior Manager – France, Paris

    Wavestone

    LinkedIn
  • Alexis Coupechoux

    Manager

    Wavestone

    LinkedIn
  • Hadrien Plassard

    Consultant

    Wavestone