L’année 2025 s’inscrit dans la continuité d’une transformation de l’écosystème de la menace, avec l’apparition de 45 nouveaux groupes cybercriminels et jusqu’à 85 collectifs de rançongiciels actifs recensés au troisième trimestre. Cette prolifération ne traduit pas seulement une augmentation quantitative du risque, mais une mutation profonde des modes opératoires.
Les observations montrent une montée en puissance des logiques de coopération entre groupes, notamment sous l’effet de la pression accrue des forces de l’ordre et de la concurrence entre acteurs. Pour comprendre les enjeux des cyberattaques en 2025, il est nécessaire d’analyser comment ces acteurs ont transformé le paysage numérique en un espace de collaboration technique et stratégique sans précédent.
Comment s’organisent les cyberattaques 2025 face au renforcement de la défense ?
L’une des évolutions les plus marquantes réside dans la mise en place d’alliances de circonstance, souvent qualifiées d’inter-franchises. Au lieu de se limiter à un seul outil ou une seule méthode, des groupes aux compétences complémentaires s’unissent pour maximiser leur efficacité. Un exemple frappant est le collectif ayant réuni Scattered Spider, LAPSUS et ShinyHunters. Cette alliance illustre la complémentarité des compétences : ingénierie sociale, contournement des mécanismes d’authentification et exfiltration de données.
Cette collaboration a permis de mener des offensives contre des géants mondiaux tels que Toyota, FedEx, UPS, Adidas, Disney ou encore McDonald’s. Parallèlement, on observe la naissance de cartels de rançongiciels, à l’image de DragonForce. Ce groupe a officialisé en mars 2025 sa mutation en cartel, fonctionnant comme une coalition d’affiliés qui conservent leur autonomie tout en bénéficiant d’une infrastructure partagée : sites de fuite, serveurs C2, outils de gestion de campagne et support technique. Ce modèle, qui a séduit des profils issus de LockBit ou Conti, a déjà frappé des entreprises de premier plan comme Toyota, FedEx, UPS, Adidas, Disney ou McDonald’s.
Le Rapport sur l’état de la menace 2025-2026 détaille l’évolution des modèles d’organisation des groupes cybercriminels, entre alliances et cartels.
Quelles sont les nouvelles techniques exploitées par les attaquants cette année ?
Si les alliances renforcent la puissance de frappe, l’évolution des méthodes d’attaque est tout aussi préoccupante. Les équipes d’intrusion observent une mutation des surfaces d’attaque : les attaquants ne se contentent plus de compromettre des comptes Windows privilégiés, ils ciblent désormais les briques d’infrastructure autrefois négligées.
Les chaînes DevOps et les pipelines CI/CD sont devenus des cibles prioritaires. Une simple vulnérabilité dans ces environnements permet souvent un accès initial avec des privilèges élevés, permettant aux attaquants d’extraire des secrets mal protégés dans le code ou les historiques de commits. De plus, les environnements Kubernetes sont largement exploités et peuvent constituer des points d’entrée significatifs lorsqu’ils sont mal sécurisés.
Une autre tendance forte des cyberattaques en 2025 est le pivot vers les systèmes Linux intégrés aux domaines Active Directory. Ces systèmes sont souvent moins surveillés que leurs homologues Windows, offrant aux attaquants des possibilités de persistance dans les environnements compromis. Des techniques comme le Kerberoasting ou le dumping du processus LSASS restent efficaces, et de nouvelles variantes exploitant le NTLM reflective relay permettent désormais d’obtenir des escalades de privilèges à grande échelle.
< Bannière téléchargement rapport >
Pourquoi les fondamentaux restent-ils le maillon faible des entreprises ?
Malgré la sophistication des nouvelles menaces, le rapport souligne que les failles exploitées restent majoritairement classiques. Les systèmes non patchés, les comptes trop privilégiés utilisés quotidiennement et les contrôles d’accès laxistes constituent toujours les principales voies d’entrée pour les cybercriminels.
La sophistication ne réside pas toujours dans l’exploit lui-même, mais dans la capacité des attaquants à personnaliser leurs implants et à masquer leurs activités de Command and Control (C2). L’utilisation de packers commerciaux s’avère également très efficace pour contourner les solutions EDR. En somme, les fondamentaux mal appliqués restent un facteur déterminant dans la réussite des attaques observées.
Conclusion : s’adapter à la nouvelle ère des menaces
L’analyse des cyberattaques 2025 révèle que l’écosystème cybercriminel continue d’évoluer vers des modèles plus organisés et techniques. Entre la formation de cartels comme DragonForce et l’exploitation systématique des environnements DevOps et cloud, les entreprises doivent impérativement renforcer leur résilience en revenant aux fondamentaux de l’hygiène informatique tout en intégrant la dimension humaine de la défense.
Cet article synthétise une partie des tendances observées. Le rapport propose une analyse détaillée des évolutions techniques et organisationnelles de la menace.
