TTPs 2025 : les 5 techniques d’attaque qui ont marqué l’année 

23 Juin, 2026 min de lecture
TTPs 2025

Si 2024 avait posé des questions sur l’évolution des cybermenaces, 2025 y a répondu sans ambiguïté. Les cyberattaques n’ont pas seulement confirmé les tendances observées : elles les ont amplifiées, accélérées, systématisées. Plus rapides, plus ciblées, plus difficiles à contrer avec les approches traditionnelles.

Les TTPs ne sont pas propres à un acteur particulier : elles traversent les frontières entre groupes étatiques, cybercriminels organisés et opportunistes. C’est à travers leur analyse que les équipes d’Advens, SOC, CERT, audit et architecture de sécurité, ont identifié cinq grandes familles de techniques d’attaque informatique qui ont particulièrement marqué 2025. Voici leur analyse, issue du Rapport sur l’état de la menace 2025-2026.

1. Les rançongiciels ciblent les systèmes critiques avec une précision inédite

Le ransomware n’est pas mort. Loin de là. Selon le Rapport sur l’état de la menace 2025-2026 d’Advens, les attaques par rançongiciel ont progressé de 33 % par rapport à 2024, atteignant plus de 8 150 victimes revendiquées dans le monde, avec un pic de plus de 1 000 incidents enregistrés sur le seul mois de février. Ces chiffres viennent clore définitivement le débat sur un hypothétique déclin de cette forme d’attaque.

Ce qui a changé cette année, ce n’est pas seulement le volume : c’est la méthode. Les groupes de rançongiciel ont intensifié l’exploitation de vulnérabilités critiques zero-day, notamment sur SharePoint (vulnérabilité ToolShell), pour déployer des charges utiles comme Warlock. Les techniques observées s’appuient largement sur l’exécution de commandes via PowerShell (T1059) et sur le chiffrement des données pour impact nuisible (T1486). L’objectif est clair : paralyser les opérations le plus rapidement possible et maximiser la pression sur la victime.

Parmi les indicateurs de compromission régulièrement relevés par les équipes Advens : des scripts encodés, l’utilisation détournée de l’outil légitime certutil et la présence de webshells dans les environnements compromis. La recommandation clé reste l’application des correctifs dès leur publication, le cloisonnement des interfaces de gestion et le renforcement de l’authentification multifacteur (MFA).

L’attaque contre Jaguar Land Rover illustre ce que peut représenter une intrusion réussie à grande échelle : plus de 1,9 milliard de livres sterling d’impact économique total, six semaines d’arrêt de production, 39 000 employés mis en chômage technique. Les équipes d’intervention d’Advens ont d’ailleurs observé cette tendance de fond : lorsqu’une attaque aboutit contre une organisation mature, la crise qui en découle s’inscrit dans la durée et mobilise des ressources humaines et financières considérables. Ce n’est plus un risque IT. C’est un risque systémique.

2. Le phishing avancé et les attaques de type adversaire au milieu

Les campagnes de phishing avancé ont profondément évolué en 2025. Loin des emails bourrés de fautes d’orthographe, elles intègrent désormais des faux CAPTCHA, des techniques d’ingénierie sociale élaborées et une personnalisation rendue possible par l’IA générative. Des attaques comme ClickFix ciblent les utilisateurs via des pages frauduleuses imitant des services légitimes, les incitant à exécuter des commandes via Mshta ou PowerShell.

Ces techniques (T1566.002, T1204.002) permettent de contourner les protections traditionnelles et d’obtenir un accès initial sans déclencher d’alerte. Les campagnes mobiles, notamment via WhatsApp, exploitent la propagation automatique pour distribuer des malwares bancaires.

Le cas Black Basta, analysé par le CERT Advens, illustre la rupture opérationnelle en cours. Le mode opératoire ne passe plus par l’envoi massif d’emails non personnalisés : il s’appuie sur un contact direct avec la victime via Teams, depuis un compte externe à l’organisation. L’attaquant prend ensuite prétexte d’opérations IT pour prendre la main sur le poste, effectue une phase de reconnaissance, installe des implants via des clés de registre, puis amorce une latéralisation. La quasi-totalité des actions repose sur des outils légitimes, ce qui réduit considérablement la surface de détection.

Les données du rapport Advens sont éloquentes : dans 80 % des incidents traités par le CERT en 2025, l’accès initial provenait de l’utilisation de données d’authentification compromises, que ce soit pour des collaborateurs ou des prestataires. Un indicateur persistant des lacunes dans la gestion des identités et des accès.

Le Rapport sur l’état de la menace 2025-2026 d’Advens vous aide à comprendre comment les attaquants ont fait évoluer leurs campagnes de phishing et quelles contre-mesures adopter.

3. Les infostealers et le vol massif d’identifiants

Les infostealers maintiennent leur position de menace structurelle en 2025. Distribués via des cracks de logiciels, des installateurs frauduleux ou des jeux piégés sur des plateformes comme Steam, ils ciblent principalement les identifiants stockés dans les navigateurs (T1555), les cookies de session, les portefeuilles crypto et les extensions d’authentification à deux facteurs.

Les trois malwares dominants de 2025

Selon l’analyse des équipes Advens, trois malwares ont dominé le classement cette année. SocGholish, associé au gang Evil Corp, a généré plus de 1,5 million d’interactions en une seule semaine lors d’un pic d’activité en mars 2025, facilitant notamment la distribution du rançongiciel RansomHub. Lumma Stealer, opérant en mode Malware-as-a-Service à partir de 250 dollars sur des forums underground, a connu une forte résurgence malgré un démantèlement partiel en mai, avec un impact documenté sur la santé, la banque et les télécoms. Agent Tesla a quant à lui progressé de 22 % entre 2024 et 2025, ciblant principalement les secteurs de l’énergie, de la logistique et de la finance via des campagnes de spear-phishing.

La France, deuxième cible mondiale des vols de données

Les répercussions de cette activité intense se mesurent aussi à l’échelle nationale. Le rapport Advens, citant le bilan annuel de Surfshark, fait état de 40,3 millions de comptes français compromis en 2025, plaçant la France au deuxième rang mondial derrière les États-Unis. Quelque 27 millions d’ordinateurs ont été infectés au cours de l’année, et 80 millions d’adresses postales françaises ont été rendues publiques sur le dark web. La CNIL a prononcé 83 sanctions pour un montant total de près de 487 millions d’euros.

Les contre-mesures recommandées par Advens couvrent l’interdiction du stockage des mots de passe dans les navigateurs, la mise en place de politiques strictes sur les extensions, le déploiement d’EDR pour détecter les comportements anormaux et le cloisonnement des usages personnels et professionnels.

Pour aller plus loin, le Rapport sur l’état de la menace 2025-2026 d’Advens apporte plus d’informations sur la protection contre le vol d’identifiants et les bonnes pratiques associées.

4. La compromission des chaînes d’approvisionnement logicielles

Les attaques visant la chaîne d’approvisionnement logicielle ont marqué 2025 avec une intensité particulière. Les campagnes observées par Advens ont ciblé des acteurs aussi majeurs qu’Oracle E-Business Suite, Salesforce, Ingram Micro et le gestionnaire de paquets NPM. Ces intrusions exploitent des failles permettant le chargement de fichiers arbitraires et l’installation de webshells (T1505.003), suivies de l’exécution de commandes à distance (T1059).

Ce vecteur tire sa dangerosité de son effet multiplicateur. Certaines victimes, comme dans le secteur de l’édition de logiciel avec le cas Harvest, détenaient le quasi-monopole de solutions sur lesquelles repose tout un secteur d’activité. Une compromission de cette ampleur fait peser un risque sur des pans entiers de l’économie.

La logique est celle du rebond : on n’attaque plus directement la cible finale, on compromet son prestataire, son éditeur, son fournisseur d’infrastructure. Le même schéma s’est reproduit chez Marks & Spencer en avril 2025 : l’entrée s’est faite via un prestataire externe gérant les services d’assistance, avant qu’un rançongiciel ne chiffre des machines virtuelles hébergeant des données clients. L’impact financier a été estimé à 355 millions d’euros. Quelques jours plus tard, Coop et Harrods subissaient des attaques similaires, avec le même groupe et le même mode opératoire.

Les mesures préventives recommandées comprennent la mise en place de pare-feux applicatifs (WAF), l’application rapide des correctifs et la chasse proactive aux webshells dans les environnements exposés. La gestion des risques liés aux tiers figure parmi les chantiers prioritaires identifiés par Advens pour 2026.

Rapport sur l'état de la menace 2025-2026

5. L’exploitation des équipements périmétriques et des accès distants

Les équipements de bordure sont devenus l’une des surfaces d’attaque les plus exploitées dans le cadre des cyberattaques de 2025. Les campagnes ont ciblé des solutions très largement déployées : Citrix Netscaler (Citrix Bleed 2), FortiWeb (CVE-2025-64446), Ivanti EPMM (CVE-2025-4427) et SharePoint (ToolShell). Ces attaques reposent sur des vulnérabilités critiques permettant un accès initial sans authentification ou un contournement des mécanismes de contrôle existants.

Les techniques documentées incluent l’exploitation d’applications exposées (T1190), l’élévation de privilèges (T1068) et l’utilisation de comptes valides (T1078). Une fois en place, les attaquants déploient des implants et s’appuient sur des tunnels chiffrés via des outils légitimes pour masquer leurs activités, ouvrant la voie à des mouvements latéraux rapides et à une persistance durable.

Les chiffres du rapport Advens donnent la mesure du phénomène : en 2025, 48 185 CVEs ont été publiées, soit une hausse de 20 % par rapport à 2024, avec une moyenne de plus de 130 nouvelles vulnérabilités critiques recensées chaque jour. Le catalogue KEV du CISA a enregistré 245 ajouts sur l’année, en progression de 32 %, avec un focus marqué sur les appliances réseau et les produits Microsoft, Cisco et Fortinet.

Face à ce rythme, la fenêtre d’exposition se réduit mécaniquement. Advens recommande l’application des correctifs en moins de 72 heures pour les équipements exposés, des scans réguliers de configuration et le durcissement systématique des composants du système d’information.

Ce que ces tendances révèlent sur l’état de la cybermenace en 2025

Ces cinq familles de techniques d’attaque informatique ne fonctionnent pas en silos : elles convergent et se renforcent mutuellement. Un infostealer exfiltre les identifiants qui serviront à s’authentifier sur un équipement VPN non patché. Une compromission de la chaîne d’approvisionnement ouvre la voie au déploiement d’un ransomware. Une campagne de phishing avancé, rendue crédible par l’IA générative, contourne les protections et ancre un implant persistant dans l’environnement.

L’analyse du SOC d’Advens révèle que 63 % des tickets de priorité maximale traités en 2025 étaient la conséquence d’actions offensives, et que le pourcentage d’alertes liées à des attaques a progressé de 7 points par rapport à l’année précédente. La détection s’améliore, mais la menace cyber s’intensifie au même rythme.

Sur le terrain, le CERT Advens a émis plus de 2 000 recommandations liées à des incidents ou des investigations en 2025. Près de la moitié concernaient la gestion des identités et des accès, indicateur persistant des retards structurels dans ce domaine. L’enjeu pour 2026 n’est pas de réagir plus vite aux mêmes attaques, mais d’anticiper les prochaines en comprenant les modes opératoires qui les sous-tendent.

C’est précisément l’objet du Rapport sur l’état de la menace 2025-2026 d’Advens : une analyse complète fondée sur les retours terrain des équipes CERT, SOC, Audit et Architecture & Intégration, pour permettre aux organisations de calibrer leur stratégie de cyberdéfense en fonction de la réalité des menaces actuelles.