MtoM Mag - Le journal de l'MtoM.

En 2025, bien que les principaux vecteurs d’attaque restent similaires à ceux de 2024, leur part combinée a augmenté pour dépasser les 80 %. Les applications accessibles depuis Internet (public-facing) représentent 43,7 %, tandis que l’abus de relations de confiance a progressé, passant de 12,7 % à 15,5 %. Enfin, l’utilisation de comptes valides s’élève quant à elle à 25,4 %. Ces données sont issues du dernier rapport mondial de Kaspersky Security Services.

Le rapport « Anatomy of a Cyber World » est une étude mondiale approfondie basée sur les données d’incidents recueillies en 2025 par les services Kaspersky Managed Detection and Response, Kaspersky Incident Response, Kaspersky Compromise Assessment et Kaspersky SOC Consulting. Cette étude met en lumière les tactiques, techniques et outils les plus courants utilisés par les cyber criminels, ainsi que les spécificités des incidents détectés et leur répartition par région et par secteur d’activité.

D’après les données issues de Kaspersky Incident Response, les trois principaux vecteurs d’attaque sont restés relativement stables au cours des sept dernières années. Les comptes valides et les failles d’applications accessibles au public constituent systématiquement les points d’entrée les plus courants. La troisième place a changé périodiquement : les e-mails malveillants, qui constituaient autrefois un vecteur d’attaque courant, ont été remplacés par les relations de confiance, apparues pour la première fois en 2021 et entrées dans le TOP 3 en 2023. En 2025, la répartition des principaux vecteurs se présentait comme suit :

Ces différents vecteurs d’attaque s’inscrivent fréquemment dans une même chaîne d’interdépendance. À titre d’exemple, l’exploitation d’applications publiques sert souvent de point d’entrée initial pour compromettre ensuite des organisations via leurs relations de confiance. Des observations récentes montrent que les cybercriminels s’attaquent de plus en plus aux intégrateurs informatiques et aux prestataires de services pour atteindre, par ricochet, leurs clients finaux. Cette vulnérabilité est renforcée par le manque de ressources et d’expertise en cybersécurité chez de nombreux petits prestataires. Puisqu’ils sont responsables de la gestion de sites web ou de solutions comptables, la moindre faille de sécurité chez ces prestataires peut exposer les systèmes de leurs clients à des accès à distance frauduleux.

L’analyse de la durée et des conséquences des cyberattaques révèle trois profils distincts. Les offensives dites « rapides » sont les plus fréquentes (50,9 %) : elles s’étendent généralement sur moins de 24 heures et visent principalement le chiffrement des données. À l’opposé, les attaques de longue durée représentent un tiers des incidents (33 %) ; avec une moyenne de 108 heures, elles permettent aux cybercriminels de multiplier les actions malveillantes, comme l’exfiltration de données, la compromission de l’Active Directory ou l’installation d’accès persistants. Enfin, 16,1 % des cas adoptent un modèle hybride : après une intrusion initiale fulgurante, une période de latence précède le déploiement de la charge finale, portant la durée totale de l’opération à environ 19 jours.

« Étant donné que les cybers criminels orchestrent de plus en plus d’attaques coordonnées et multi-étapes, les organisations ne peuvent plus se permettre de s’appuyer sur une approche réactive de "pompier". Pour contrer cela, une posture de sécurité proactive est essentielle, intégrant la surveillance des menaces en temps réel et la détection continue dans les opérations quotidiennes. Cette approche offre aux équipes de défense la possibilité d’intervenir promptement face aux agissements des cyber criminels, prévenant ainsi toute escalade. Pour sécuriser les ressources numériques contre les tentatives d’intrusion éclair ou les infiltrations durables, plusieurs leviers fondamentaux doivent être activés : l’installation systématique et rapide des correctifs de sécurité (patching), la généralisation de l’authentification multifacteur (MFA), ainsi qu’une surveillance rigoureuse des accès accordés aux tiers », commente Konstantin Sapronov, responsable du Global Emergency Response Team chez Kaspersky.