Au premier semestre 2025, les données de Microsoft ont révélé que la France :
- se classait au 12ᵉ rang mondial et au 4e rang européen parmi les pays où les clients étaient le plus fréquemment touchés par une activité cyber
- comptait pour environ 6,1 % des clients touchés par une activité cyber en Europe.
Dans 80 % des incidents cyber analysés par les équipes de sécurité de Microsoft l’année dernière, les attaquants cherchaient à voler des données, une tendance motivée davantage par le gain financier que par la collecte de renseignements. Selon le dernier Microsoft Digital Defense Report, établi avec Igor Tsyganskiy, Chief Information Security Officer chez Microsoft, plus de la moitié des cyberattaques, dont les motivations sont connues, étaient liées à l’extorsion ou aux rançongiciels. Au moins 52 % des incidents étaient motivés par des gains financiers, tandis que les attaques uniquement axées sur l’espionnage ne représentaient que 4 %. Les menaces émanant d’États-nations restent sérieuses et persistantes, mais la plupart des attaques immédiates auxquelles les organisations sont confrontées aujourd’hui proviennent de criminels opportunistes en quête de profit.
Chaque jour, Microsoft traite plus de 100 000 milliards de signaux, bloque environ 4,5 millions de nouvelles tentatives de logiciels malveillants, analyse 38 millions de détections de risques liés à l’identité et filtre 5 milliards d’emails afin de détecter les logiciels malveillants et les tentatives d’hameçonnage. Les progrès en matière d’automatisation et la disponibilité d’outils prêts à l’emploi ont permis aux cybercriminels – même ceux ayant des compétences techniques limitées – d’étendre considérablement leurs opérations. L’utilisation de l’intelligence artificielle a encore accentué cette tendance, les cybercriminels accélérant le développement de logiciels malveillants et créant des contenus synthétiques plus réalistes, améliorant l’efficacité d’activités telles que l’hameçonnage et les attaques par rançongiciel. En conséquence, les acteurs malveillants opportunistes ciblent désormais tout le monde – grands ou petits – faisant de la cybercriminalité une menace universelle et omniprésente qui s’immisce dans notre quotidien.
Dans cet environnement, les dirigeants d’organisations doivent considérer la cybersécurité comme une priorité stratégique essentielle – et non simplement comme une question IT – et intégrer la résilience dans leurs technologies et leurs opérations dès le départ. Dans notre sixième édition du Microsoft Digital Defense Report, qui couvre les tendances de juillet 2024 à juin 2025, nous soulignons que les mesures de sécurité traditionnelles ne suffisent plus : nous avons besoin de défenses modernes tirant parti de l’IA et d’une collaboration étroite entre les acteurs privés de tous les secteurs d’activité et les gouvernements pour suivre le rythme des menaces. Pour les individus, des gestes simples comme l’utilisation d’outils de sécurité robustes – en particulier l’authentification multifacteur (MFA) résistante à l’hameçonnage – font une réelle différence, car le MFA peut bloquer plus de 99 % des attaques basées sur l’identité. Ci-dessous sont listées quelques-unes des principales conclusions du rapport.
Les infrastructures critiques sont des cibles privilégiées avec des impacts concrets
Les acteurs malveillants continuent de concentrer leurs attaques sur les services publics critiques – des cibles qui, une fois compromises, peuvent avoir un impact direct et immédiat sur la vie des personnes. Les hôpitaux et les collectivités locales, par exemple, sont tous des cibles car ils stockent des données sensibles ou disposent de budgets de cybersécurité restreints avec des capacités limitées de réponse aux incidents, ce qui entraîne souvent l’utilisation de logiciels dépassés. Au cours de l’année écoulée, les cyberattaques contre ces secteurs ont eu des conséquences concrètes : de soins médicaux d’urgence retardés, des services d’urgence perturbés, des activités scolaires annulées et des systèmes de transport interrompus.
Les acteurs des rançongiciels ciblent particulièrement ces infrastructures critiques en raison du peu d’alternatives disponibles. Par exemple, un hôpital doit rapidement restaurer ses systèmes chiffrés sous peine de mettre en danger la vie des patients, ce qui peut ne laisser d’autre choix que de payer. De plus, les gouvernements, hôpitaux et instituts de recherche stockent des données sensibles que les criminels peuvent voler et monétiser via des marchés illicites sur le dark web, alimentant ainsi des activités criminelles en aval. Les gouvernements et le privé peuvent travailler ensemble pour renforcer la cybersécurité dans ces secteurs – en particulier pour les plus vulnérables. Ces efforts sont essentiels pour protéger les communautés et garantir la continuité des soins, de l’éducation et des services d’urgence.
Les acteurs affiliés à des Etats étendent leurs opérations
Bien que les cybercriminels représentent la plus grande menace cyber en termes de volume, les acteurs affiliés à des Etats continuent de cibler des secteurs et des régions clés, en élargissant leur champ d’action à l’espionnage et, dans certains cas, au gain financier. Les objectifs géopolitiques continuent d’alimenter la recrudescence des activités cyber soutenues par les États, avec une augmentation significative des attaques visant les communications, la recherche et le monde universitaire.
Principaux enseignements :
- La Chine poursuit ses efforts à grande échelle dans tous les secteurs d’activité en vue de mener des activités d’espionnage et de voler des données sensibles. Les acteurs affiliés à l’État attaquent de plus en plus les organisations non gouvernementales (ONG) pour élargir leurs connaissances et utilisent des réseaux clandestins ainsi que des appareils vulnérables connectés à Internet pour s’introduire et éviter la détection. Ils sont également devenus plus rapides dans l’exploitation des vulnérabilités nouvellement révélées.
- L’Iran cible un éventail de cibles plus large que jamais, du Moyen-Orient à l’Amérique du Nord, dans le cadre de ses opérations d’espionnage étendues. Récemment, trois acteurs affiliés à l’État iranien ont attaqué des entreprises de transport maritime et de logistique en Europe et dans le Golfe Persique afin d’obtenir un accès continu à des données commerciales sensibles, laissant entrevoir la possibilité que l’Iran se prépare à interférer avec les opérations maritimes commerciales.
- La Russie, bien qu’encore focalisée sur la guerre en Ukraine, a élargi ses cibles. Par exemple, Microsoft a observé des acteurs russes affiliés à l’État s’en prendre à de petites entreprises dans les pays soutenant l’Ukraine. En dehors de l’Ukraine, les dix pays les plus touchés par l’activité cyber russe appartiennent tous à l’Organisation du Traité de l’Atlantique Nord (OTAN) – soit une augmentation de 25 % par rapport à l’année précédente. Les acteurs russes considèrent ces petites entreprises comme des points d’entrée potentiellement moins coûteux qu’ils peuvent utiliser pour accéder à de plus grandes organisations. Ces acteurs s’appuient également de plus en plus sur l’écosystème cybercriminel pour leurs attaques.
- La Corée du Nord reste concentrée sur la génération de revenus et l’espionnage. Dans le cadre d’une tendance qui a retenu l’attention, des milliers de travailleurs informatiques nord-coréens affiliés à l’État ont postulé à des emplois dans des entreprises du monde entier, envoyant leurs salaires au gouvernement sous forme de transferts de fonds. Une fois découverts, certains de ces travailleurs se sont tournés vers l’extorsion comme autre moyen de rapporter de l’argent au régime.
Les menaces cyber posées par les acteurs affiliés à des Etats deviennent plus vastes et imprévisibles. De plus, le recours accru d’au moins quelques acteurs étatiques à l’écosystème cybercriminel rendra l’attribution des attaques encore plus complexe. Cela souligne la nécessité pour les organisations de rester informées des menaces qui pèsent sur leur secteur et de travailler avec leurs pairs du même secteur d’activité ainsi qu’avec les gouvernements pour faire face aux menaces posées par les acteurs étatiques.
En 2025, l’utilisation de l’IA s’est intensifiée tant chez les attaquants que chez les défenseurs
Au cours de l’année écoulée, les attaquants et les défenseurs ont tiré parti de la puissance de l’IA générative. Les acteurs malveillants l’utilisent pour renforcer leurs attaques en automatisant l’hameçonnage, en amplifiant l’ingénierie sociale, en créant des contenus synthétiques, en identifiant plus rapidement les vulnérabilités et en développant des logiciels malveillants capables de s’adapter. Les acteurs affiliés aux Etats ont également continué d’intégrer l’IA dans leurs opérations d’influence cyber. Cette activité s’est intensifiée au cours des six derniers mois, des acteurs cyber utilisant la technologie pour rendre leurs efforts plus avancés, évolutifs et ciblés.
Pour les défenseurs, l’IA s’avère également être un outil précieux. Microsoft, par exemple, utilise l’IA pour détecter les menaces, combler les lacunes de détection, intercepter les tentatives d’hameçonnage et protéger les utilisateurs vulnérables. Alors que les risques et les opportunités liés à l’IA évoluent rapidement, les organisations doivent prioriser la sécurisation de leurs outils d’IA et la formation de leurs équipes. Tout le monde – de l’industrie aux gouvernements – doit être proactif pour suivre le rythme des attaquants de plus en plus sophistiqués et pour s’assurer que les défenseurs gardent une longueur d’avance sur leurs adversaires.
Les adversaires ne forcent pas l’accès, ils se connectent
Face à la sophistication croissante des menaces cyber, une statistique ressort particulièrement : plus de 97 % des attaques sur l’identité sont des attaques par mot de passe. Au premier semestre 2025 seulement, les attaques basées sur l’identité ont augmenté de 32 %. Cela signifie que la grande majorité des tentatives de connexion malveillantes qu’une organisation peut recevoir provient de tentatives massives de deviner des mots de passe. Les attaquants obtiennent les noms d’utilisateur et mots de passe (« identifiants ») pour ces attaques en masse principalement à partir de fuites d’identifiants.
Cependant, les fuites d’identifiants ne sont pas la seule source d’accès pour les attaquants. Cette année, nous avons observé une forte augmentation de l’utilisation de logiciel malveillants voleurs d’informations (« infostealers ») par les cybercriminels. Les infostealers peuvent collecter secrètement des identifiants et des informations sur vos comptes en ligne, comme les tokens de session de navigateur, à grande échelle. Les cybercriminels peuvent ensuite acheter ces informations volées sur des forums spécialisés dans la cybercriminalité, ce qui facilite l’accès aux comptes pour des attaques telles que les rançongiciels.
Heureusement, la solution à la compromission d’identité est simple. La mise en œuvre d’une authentification multifacteur résistante à l’hameçonnage (MFA) peut bloquer plus de 99 % de ce type d’attaque, même si l’attaquant dispose de la bonne combinaison nom d’utilisateur/mot de passe.
Pour s’attaquer à cette chaîne d’approvisionnement malveillante, la Microsoft Digital Crimes Unit (DCU) a riposté contre l’utilisation des infostealers par les cybercriminels. En mai, la DCU a démantelé l’infostealer le plus populaire – Lumma Stealer – en collaboration avec le Département de la Justice des États-Unis et Europol.
A l’avenir, la cybersécurité doit être une priorité défensive partagée
À mesure que les acteurs malveillants deviennent plus sophistiqués, persistants et opportunistes, les organisations doivent rester vigilantes, mettre continuellement à jour leurs défenses et partager les renseignements. Microsoft reste engagé à jouer son rôle dans le renforcement de ses produits et services via la Secure Future Initiative. Nous continuons également à travailler avec d’autres acteurs pour suivre les menaces, alerter les clients ciblés et partager des informations avec le grand public lorsque cela est approprié.
Cependant, la sécurité n’est pas seulement un défi technique, c’est aussi une exigence de gouvernance. Les mesures défensives seules ne suffisent pas à dissuader les adversaires affiliés à des Etats. Les gouvernements doivent établir des cadres qui prévoient des répercussions crédibles et proportionnées pour les activités malveillantes qui enfreignent les règles internationales. Il est encourageant de constater que les gouvernements attribuent de plus en plus les cyberattaques à des acteurs étrangers et imposent des mesures telles que des inculpations judiciaires et des sanctions. Cette transparence et cette responsabilité croissantes sont des étapes importantes vers la construction d’une dissuasion collective. À mesure que la transformation numérique s’accélère – amplifiée par la montée de l’IA – les menaces cyber posent des risques pour la stabilité économique, la gouvernance et la sécurité personnelle. Relever ces défis nécessite non seulement une innovation technique mais aussi une action sociétale coordonnée.