Le rapport 2025 suit les tendances et les modèles d’attaque nouveaux et existants, en s’appuyant sur les réponse aux incidents, le dark web et d’autres sources de renseignements sur les menaces.

Voici quelques-unes des principales conclusions du rapport 2025 :

• Les organisations ayant des infrastructures critiques ont représenté 70 % de toutes les attaques auxquelles IBM X-Force a répondu l’année dernière, plus d’un quart de ces attaques ayant été causées par l’exploitation de vulnérabilités.

• Les cybercriminels sont plus nombreux à choisir de voler les données (18 %) plutôt que de les chiffrer (11 %), car les technologies de détection de pointe et les efforts accrus des forces de l’ordre les poussent à adopter des tactiques permettant de s’échapper plus rapidement.

• Près d’un incident observé en 2024 sur trois a entraîné un vol d’identifiants, les attaquants investissant dans de multiples voies pour accéder rapidement aux informations de connexion, les exfiltrer et les monétiser.

« Les cybercriminels s’introduisent le plus souvent sans rien compromettre - en exploitant les failles d’identité qui se cachent dans les environnements Cloud hybrides complexes qui offrent aux attaquants de multiples points d’accès », a déclaré Mark Hughes, Global Managing Partner of Cybersecurity Services chez IBM. « Les entreprises doivent abandonner l’idée d’une prévention ad hoc et privilégier des mesures proactives telles que la modernisation de la gestion de l’authentification, la correction des failles d’authentification multifactorielle et la recherche de menaces en temps réel pour détecter les menaces cachées avant qu’elles n’exposent des données sensibles. »

Les défis liés à l’application de correctifs logiciels exposent les secteurs d’infrastructures critiques à des menaces sophistiquées

La dépendance à l’égard des technologies obsolescentes et la lenteur des cycles de mise à jour des correctifs s’avèrent être un défi permanent pour les organisations ayant des infrastructures critiques car les cybercriminels ont exploité des vulnérabilités dans plus d’un quart des incidents auxquels IBM X-Force a répondu dans ce secteur l’année dernière.

En examinant les vulnérabilités (les CVEs : Common Vulnerabilities and Exposures) les plus mentionnées sur les forums du dark web, IBM X-Force a constaté que quatre des dix principales étaient liées à des groupes de cyberattaquants sophistiqués, incluant des attaquants d’États-nations, ce qui augmente le risque de perturbation, d’espionnage et d’extorsion financière. Les codes d’exploitation de ces CVEs ont été ouvertement échangés sur de nombreux forums, alimentant ainsi un marché en pleine expansion d’attaques contre les réseaux électriques, les réseaux de santé et les systèmes industriels. Ce partage d’informations entre des adversaires motivés par des intérêts financiers et des attaquants d’États-nations met en évidence le besoin croissant de superviser le dark web afin d’élaborer les stratégies de gestion des correctifs et de détecter les menaces potentielles avant qu’elles ne soient exploitées.

Le vol automatisé d’identifiants déclenche une réaction en chaîne

En 2024, IBM X-Force a observé une hausse des emails de phishing délivrant des « infostealers » et les premières données pour 2025 révèlent une augmentation encore plus importante de 180% par rapport à 2023. Cette tendance à la hausse, qui alimente les piratages et usurpations de comptes, peut être attribuée à des attaquants qui utilisent l’IA pour créer des emails de phishing à grande échelle.

Le phishing d’identifiants et les infostealers ont rendu les attaques d’identité peu coûteuses, évolutives et très rentables pour les cyberattaquants. Les infostealers permettent d’exfiltrer rapidement des données, réduisant ainsi le temps passé sur la cible et laissant peu d’indices derrière eux. En 2024, les cinq principaux infostealers comptaient à eux seuls plus de huit millions d’annonces sur le dark web et chaque annonce pouvait contenir des centaines d’identifiants. Les cyberattaquants vendent également des kits de phishing et des services d’attaque de type AITM (adversary-in-the-middle[2]) personnalisés sur le dark web pour contourner l’authentification multifactorielle (MFA). La disponibilité généralisée d’identifiants compromis et de méthodes de contournement du MFA indique une forte demande d’accès non autorisés, qui ne montre aucun signe de ralentissement.

Les opérateurs de ransomware se tournent vers des modèles moins risqués

Alors que les ransomwares représentaient la plus grande part des cas de logiciels malveillants en 2024 (28 %), IBM X-Force a observé une réduction des incidents dus à des ransomwares dans l’ensemble par rapport à l’année précédente, les attaques liées à l’identité ayant fortement augmenté et pris leur place.

Les efforts internationaux de démantèlement poussent les acteurs du ransomware à restructurer leurs modèles opératoires à haut risque pour les orienter vers des opérations plus distribuées et moins risquées. Par exemple, IBM X-Force a observé que des familles de logiciels malveillants précédemment bien établies, notamment ITG23 (alias Wizard Spider, Trickbot Group) et ITG26 (QakBot, Pikabot), ont soit complètement cessé leurs activités, soit se sont tournées vers d’autres logiciels malveillants, y compris l’utilisation de nouvelles familles éphémères, alors que les groupes de cybercriminels tentent de remplacer les botnets démantelés l’année dernière.

Parmi les autres conclusions du rapport 2025, on peut citer :

• L’évolution des menaces liées à l’IA. Alors que les attaques à grande échelle contre les technologies d’IA ne se sont pas matérialisées en 2024, les chercheurs en sécurité s’empressent d’identifier et de corriger les vulnérabilités avant que les cybercriminels ne les exploitent. Des problèmes tels que la vulnérabilité d’exécution de code à distance qu’IBM X-Force a découverte dans un framework de création d’agents d’IA deviendront plus fréquents. L’adoption de l’IA étant appelée à croître en 2025, les adversaires seront également incités à développer des outils d’attaque spécialisés ciblant l’IA, d’où la nécessité pour les entreprises de sécuriser le pipeline de l’IA dès le départ, y compris les données, le modèle, l’utilisation et l’infrastructure nécessaire aux modèles.

• L’Asie et l’Amérique du Nord sont les régions les plus attaquées. Représentant collectivement près de 60 % de toutes les attaques auxquelles IBM X-Force a répondu à l’échelle mondiale, l’Asie (34 %) et l’Amérique du Nord (24 %) ont subi plus de cyberattaques que toute autre région en 2024.

• L’industrie manufacturière a été fortement touchée par les attaques par ransomware. Pour la quatrième année consécutive, elle a été l’industrie la plus attaquée. Confronté au plus grand nombre de cas de ransomware l’année dernière, le retour sur investissement du chiffrement reste élevé pour les attaquants dans ce secteur en raison de sa tolérance extrêmement faible aux temps d’arrêt.

• Les menaces Linux. En collaboration avec Red Hat Insights, IBM X-Force a constaté que plus de la moitié des environnements des clients de Linux Red Hat Enterprise présentaient au moins une CVE critique non corrigée, et que 18 % d’entre eux étaient confrontés à cinq vulnérabilités ou plus. Parallèlement, IBM X-Force a constaté que les familles de ransomware les plus actives (par exemple, Akira, Clop, Lockbit et RansomHub) prennent désormais en charge les versions Windows et Linux de leurs ransomwares.