2025 : l’année charnière qui a redessiné le cyber-risque

2025 en une phrase : le cybercrime est devenu une industrie centrée sur l’accès et l’identité

En 2025, on n’est plus face à “quelques gangs” : on parle d’un écosystème structuré, avec sa chaîne d’approvisionnement (malware-as-a-service, infostealers, courtiers d’accès initiaux, hébergement, blanchiment…), un peu comme des briques SaaS mais côté attaquants.

Deux marqueurs forts ressortent des tendances 2025 :

• Industrialisation : plus d’acteurs, plus d’outillage, plus d’intermédiaires.

• Basculement vers l’identité : de plus en plus d’attaques commencent par “se connecter” plutôt que “casser”. ENISA confirme l’intensification des campagnes (dont hacktivisme/DDoS) et documente la place des infostealers comme vecteur d’accès initial.

Ransomware : volume record, modèle sous tension… donc extorsion plus agressive

Le ransomware est resté le plus “bruyant” en 2025 et surtout un excellent révélateur de la maturité cyber d’une organisation, parce qu’il combine technique + crise + décisions business.

Ce que 2025 montre, chiffres à l’appui

• 4 701 incidents de ransomware enregistrés entre janvier et septembre 2025, contre 3 219 sur la même période en 2024 (+34%).

• En parallèle, l’écosystème se fragmente : Rapid7 évoque 96 groupes distincts actifs sur le premier semestre 2025, contre 68 sur la même période 2024 (+41%).

Toutefois, “plus d’attaques” ne veut pas dire “plus de revenus”.

Beaucoup d’organisations payent moins (ou plus du tout), ce qui pousse les attaquants à multiplier les cibles et à durcir l’extorsion :

• double/triple extorsion (chiffrement + vol + pression),

• ciblage des sauvegardes et de la capacité de restauration,

• pression sur partenaires/clients, fuites et “name & shame”.

Traduction opérationnelle : 2025 a normalisé le ransomware comme risque d’interruption, pas seulement comme incident IT. Et quand l’arrêt d’activité coûte cher, l’extorsion devient mécaniquement plus efficace.

2025, l’année de l’infostealer : l’identité devient le vrai périmètre

Si le ransomware fait les gros titres, le moteur du cybercrime en 2025, ce sont les vols d’identifiants et de sessions.

Le signal qui change l’échelle

Flashpoint rapporte 1,8 milliard d’identifiants compromis au premier semestre 2025, avec une hausse annoncée de 800%, à partir de millions d’hôtes infectés.

Ce “déluge” alimente ensuite tout le reste :

• revente de logs sur des marchés,

• accès initiaux “bon marché”,

• compromissions SaaS (messagerie, partage de fichiers),

• BEC/fraudes,

• et, très souvent, ransomware.

L’idée clé : “se connecter” remplace “exploiter”

ENISA documente le rôle des infostealers comme composant majeur de la chaîne criminelle, et cite Lumma comme l’un des plus prévalents en 2025 (avec une diffusion massive).

L’identité (comptes, privilèges, tokens, sessions) est devenue le nouveau périmètre de sécurité. Un MFA mal déployé ou une gestion faible des sessions peut annuler des investissements importants ailleurs.

L’IA : 2025 est le point d’inflexion “crédibilité + vitesse”

2025 marque l’entrée de l’IA dans l’outillage d’attaque au quotidien : pas forcément “plus sophistiqué” dans l’absolu, mais beaucoup plus crédible et beaucoup plus scalable.

Les usages offensifs observés (et ceux qui montent) :

• reconnaissance automatisée (priorisation de cibles, corrélation de fuites),

• phishing/social engineering ultra-localisés (sans fautes, adaptés au rôle),

• deepfakes (voix/vidéo) pour fraude et validations “urgentes”.

ENISA met aussi en avant le bruit de fond géopolitique, la montée des campagnes hacktivistes et l’évolution des modes opératoires, dans un contexte où l’IA augmente l’efficacité des opérations d’influence et de social engineering.

Le “risque de fraude” et le “risque cyber” convergent. La réponse ne peut pas être seulement technique : elle doit inclure des protocoles de validation métier.

OT / secteurs critiques : de la nuisance au risque systémique

2025 a confirmé le déplacement du risque vers les secteurs critiques (manufacturier, santé, énergie, transport…). Sur la période janvier–septembre 2025, environ 50% des incidents recensés touchent ces secteurs dans les chiffres cités par KELA via des sources relayées.

Deux effets COMEX importants :

1. Le ransomware (et plus largement l’extorsion) cherche un levier maximal : l’arrêt de production / logistique / services.

2. La convergence IT/OT et les dépendances (identité, réseau, accès distant, sauvegardes) font que l’impact “physique” peut venir d’une attaque qui commence par l’IT.

Hacktivisme & DDoS : le bruit permanent qui fatigue (et masque parfois le reste)

ENISA souligne une forte montée d’activité hacktiviste, avec une dominance des attaques DDoS dans les incidents rapportés (notamment sur administrations publiques).

Traduction COMEX :

• Cela peut être “peu destructeur” individuellement,

• mais ça sature les équipes et peut servir de diversion pendant qu’une intrusion plus silencieuse se déroule ailleurs.

Ce que 2025 impose comme priorités de pilotage

Si on devait résumer la leçon 2025 en décisions de direction, ce serait :

1. Traiter l’identité comme actif critiqueGouvernance des accès, MFA résistante au phishing sur les comptes sensibles, réduction des privilèges permanents, surveillance des sessions/tokens.

2. Mettre la résilience au même niveau que la préventionSauvegardes testées (restauration réelle), scénarios d’extorsion, plan de crise multi-fonctions (IT, légal, comms, opérations).

3. Accélérer la réduction de la fenêtre d’expositionInventaire des actifs exposés + patching priorisé par exploitabilité et criticité business (pas juste “compliance patch”).

4. Renforcer le contrôle des tiers et des accès distantsAccès nominatif, expiration, journalisation, MFA forte, segmentation.

Conclusion : pourquoi 2025 est une année charnière

2025 a solidifié un triptyque qui structure désormais la menace : (1) ransomware/extorsion, (2) infostealers/identité, (3) IA pour accélérer et crédibiliser.

Et surtout, 2025 a rendu évident que le cyber-risque est d’abord un risque business : arrêt d’activité, fraude, fuite de données, pression réglementaire et réputationnelle.