Rapport CERT-Wavestone 2025 : analyse d’un an de réponses à incidents et évolutions des menaces
Publié le 7 octobre 2025
- Cybersécurité
Les grandes leçons de 2025
- Le gain financier demeure la motivation principale des attaques, avec une majorité de ransomware, mais l’espionnage continue de progresser.
- Le phishing retrouve la première place parmi les canaux d’intrusion utilisés par les cybercriminels.
- L’autre principale voie d’entrée est l’exploitation de services web ou d’accès distants vulnérables soulignant le caractère encore opportuniste de beaucoup d’attaques.
- L’IA, le SaaS et l’utilisation de package open source élargissent le terrain d’attaque.
Crises cyber en 2025 : constats, tendances et leviers d’action
En 2025, l’équipe de Réponse à Incident de Wavestone (CERT) a de nouveau été mobilisée sur plus de 20 crises significatives, touchant des organisations de tailles et de secteurs variés. Ce rapport vise à restituer les grandes tendances observées, à illustrer les scénarios les plus marquants et à mettre en lumière les défis qui attendent les organisations pour les mois à venir.
En effet, elles doivent désormais être capables de surveiller un périmètre de plus en plus hétérogène (SaaS, partenaires, open source) face à des attaquants toujours plus rapides. L’attaque la plus rapide observée par notre équipe a durée moins d’1 jour et demi entre l’entrée de l’attaquant et l’exfiltration des données.
L’objectif de ce rapport est donc double : dresser un état des lieux réaliste des attaques observées sur le terrain et analyser les tendances et cybermenaces afin de proposer des leviers d’action concrets pour renforcer la résilience des systèmes d’information.
Motivations : l’appât du gain domine, l’espionnage en hausse
L’examen des incidents révèle des motivations variées, mais des dynamiques dominent :
- La recherche de gains financiers (65 %) : rançongiciels, fraudes via boîtes mails compromises, revente de données volées. Le profit reste le moteur principal des cybercriminels, notamment via l’usage du ransomware.
- L’exploitation de données stratégiques via des campagnes d’espionnage (17 %, +7% par rapport à 2024) : certaines affaires illustrent l’intérêt croissant pour la donnée métier en tant que telle (publication sur le dark web après une injection SQL, fuite d’une base JIRA entière, ou encore suspicion de vol de propriété intellectuelle via un partenaire).
Les autres cas concernent des motivations indéterminées ou secondaires, mais ces deux dynamiques restent de loin les plus structurantes.
Le phishing, de nouveau premier canal d’intrusion sur le SI
Les attaques étudiées permettent d’identifier les principaux vecteurs d’entrée utilisés par les cybercriminels :
- Le phishing : avec 38% des incidents qui ont pour origine une campagne d’hameçonnage, le phishing est le vecteur le plus représenté. Il a permis de compromettre aussi bien des utilisateurs standards que des comptes à privilèges (administrateurs, VIP, comptes de prestataires). Son retour au premier plan (20% en 2024) est aussi dû à l’inventivité des attaquants pour renouveler cette technique d’attaque. En particulier, nous avons observé des cas de vishing, phishing utilisant les canaux téléphoniques ou l’identité est beaucoup plus complexe à vérifier.
- Les accès distants exposés : environ cinq incidents sont liés à des services RDP ou VPN vulnérables, compromis par brute force ou via des intrusions opportunistes.
- Les vulnérabilités techniques : là aussi présente dans 1 incident sur 5, l’exploitation de vulnérabilités reste un vecteur d’entrée de premier plan. Deux cas majeurs ont été observés en 2025, l’exploitation d’une CVE et l’injection SQL ont mené à l’exfiltration de données du SI visé.
Ces résultats confirment les tendances internationales : le phishing est le premier canal d’intrusion en 2025, devant l’exploitation de vulnérabilités et les accès distants (VPN, RDP).
Les principaux retours d’expérience de nos interventions
L’analyse des incidents montre aussi quatre tendances de fond déjà identifiés en 2024 et qui demeurent en 2025 :
- Les sauvegardes demeurent systématiquement visées : dans 90 % des cas de rançongiciels, elles sont supprimées ou chiffrées pour empêcher toute reconstruction et notamment augmenter la pression sur les organisations pour payer une rançon.
- La compromission des données métiers reste un objectif central : observée dans 71 % des attaques, que ce soit pour de l’espionnage ou de l’extorsion.
- La vigilance et la réactivité des entreprises sont mises à l’épreuve : avec un délai moyen de seulement 1,5 jour entre l’intrusion et l’impact de l’attaque, soulignant de nouveau le besoin de réduire les délais de détection et de réponse en s’appuyant sur l’automatisation et l’IA.
- Les partenaires et filiales demeurent une cible privilégiée : 56 % des attaques contre les grandes entreprises passent par leur filiale ou partenaire.
Les tendances émergentes de 2025
Les techniques d’ingénierie sociale deviennent multicanales et de plus en plus sophistiquées :
- Vishing (appels vocaux frauduleux) : en 2025, les appels frauduleux ont explosé, les deepfakes vocaux permettent de simuler la voix de dirigeants, rendant le message beaucoup plus convaincant. Le sentiment d’urgence ou la pression sociale est exploité pour pousser la victime à exécuter une action. Nombreux sont nos clients à avoir été visés plutôt sur des tentatives de « fraude au président » mais une telle campagne a par exemple visé les utilisateurs de Salesforce durant l’été 2025 en commençant l’attaque par du vishing sur les équipes de supports informatiques afin de récupérer des comptes à privilège permettant d’accéder ensuite aux plateformes en ligne de manière légitime.
- Quishing (QR codes piégés) : une technique émergente où l’attaquant envoie un QR code dans un email ou document, la victime le scanne, et est redirigée vers un site frauduleux. Cette méthode contourne les protections classiques sur les mails ou liens. De nombreux cas ont été observé en particulier dans la fourniture de service numérique accessible depuis l’espace public (borne de recharge électrique, de services numériques…).
Ces deux vecteurs sont de plus en plus combinés dans des campagnes multicanales, ce qui rend les défenses plus complexes. Les organisations doivent redoubler d’efforts sur leurs campagnes pour sensibiliser leurs employés mais aussi leurs clients, et faire évoluer les processus pour limiter l’impact lorsque ces techniques réussissent.
L’adoption massive du cloud dans les organisations offre de nouveaux terrains d’attaque pour les cybercriminels, avec deux canaux d’attaques dont l’utilisation est en forte progression :
- Compromission de comptes SaaS : les identifiants volés (phishing, vishing, infostealer) ou la réutilisation de mots de passe restent le point d’entrée le plus fréquent. L’absence ou la mauvaise configuration du MFA rend certains comptes vulnérables. Une fois compromis, ces comptes donnent accès à des données métiers sensibles ou à des fonctions critiques.
- On observe également de plus en plus d’abus d’API et applications tierces : Des applications connectées ou modules intégrés sont exploitées pour siphonner des mails, exfiltrer des fichiers ou manipuler des flux.
Plusieurs campagnes récentes ont ainsi montré l’intérêt des attaquants pour les CRM cloud, et notamment Salesforce. Les API mal configurées ou des comptes avec privilèges élevés sont exploités pour détourner des données clients ou lancer des fraudes.
Cette tendance rappelle que la rapidité d’adoption des SaaS dépasse souvent la maturité des mesures de sécurité mises en place.
Les dépendances logicielles et les prestataires externes constituent des maillons faibles souvent exploités par les attaquants. Deux attaques marquantes ont illustré cela récemment :
- La compromission de 18 packages npm, détectée début septembre 2025, qui avait pour objectif de voler des cryptomonnaies des utilisateurs exécutant des applications s’appuyant sur ces packages.
- L’attaque Shai-Hulud sur npm a illustré les risques sur les composants open source. En septembre 2025, cette campagne majeure a compromis plus de 500 paquets npm via un ver auto-répliquant. Le ver injectait des scripts malveillants dans des packages populaires, volait des clés (npm, GitHub, API keys), et utilisait des workflows GitHub pour exfiltrer des données. Il se propageait automatiquement aux packages appartenant aux comptes compromis, provoquant un effet cascade dans le système open source.
Cette combinaison « open source et prestataire » élargit fortement la surface d’attaque d’une organisation. Dans les deux cas, la compromission de secrets donnant des droits de modification des packages a permis à l’attaquant d’injecter du code malveillant à grande échelle en touchant des composants open source largement utilisés.
L’intelligence artificielle ne crée pas de scénarios totalement nouveaux, mais elle permet d’augmenter et de crédibiliser les menaces existantes :
- Phishing & deepfakes : l’IA permet de générer des campagnes multilingues, sur mesure, avec des messages personnalisés qui paraissent crédibles. Les deepfakes vocaux ou visuels sont utilisés pour imiter des dirigeants ou le support interne, rendant les appels frauduleux ou demandes inhabituelles plus difficiles à déceler.
- Déploiement de malware : 2025 a vu aussi l’accélération de l’utilisation de l’IA par les attaquants pour perfectionner leurs outils. En 2025, ESET a identifié PromptLock, le premier ransomware « alimenté à l’IA ». Il fonctionne via des prompts codés qui alimentent un modèle local, générant des scripts pouvant tourner sur n’importe quel système pour scanner, exfiltrer, ou chiffrer des fichiers selon une détection automatique. Ce qui le rend dangereux, c’est qu’il adapte ses actions à l’environnement, modifie son code à l’exécution, rendant la détection basée sur des signatures beaucoup plus difficile. Pour l’instant, PromptLock semble être un proof of concept plus qu’une attaque active à grande échelle, mais il montre une voie que les assaillants pourraient emprunter.
Cette logique visant à utiliser l’IA pour accélérer et automatiser des actions malveillantes, et qui permet également d’abaisser le niveau technique pour mener des attaques de grande ampleur, doit être également adoptée par les défenseurs, SOC et CSIRT/CERT, afin d’accélérer leur réponse et augmenter leur capacité de détection en s’appuyant sur l’IA.
Conclusion
L’année 2025 confirme que les cyberattaques sont avant tout opportunistes, rapides et dans certains cas amplifiés par l’IA. Les motivations financières dominent, les sauvegardes et données métiers sont systématiquement visées, et les environnements SaaS ou tiers deviennent des portes d’entrée critiques.
Face à ces menaces, les organisations doivent non seulement renforcer leurs défenses classiques, en s’appuyant sur l’automatisation et notamment le recours à l’IA pour accélérer la détection et la réponse, mais aussi élargir leur vigilance aux environnements SaaS et aux prestataires.
Victime d’une attaque ?
Contactez notre équipe CERT-Wavestone :
- +33 1 49 03 27 26 (Service 24/7/365)
- cert@wavestone.com (heures ouvrées CET)