Chaque année, le suivi de la cybermenace semble battre un nouveau record. Mais 2025 a représenté bien plus qu’une hausse d’incidents : c’est une année de bascule, où la menace a changé de nature, de rythme et d’impact.
Pour éclairer ces évolutions, le CERT Advens, en collaboration avec nos équipes SOC et l’audit, publie le Rapport sur l’état de la menace 2025‑2026. Une analyse unique, nourrie d’interventions réelles, de veille technique et de centaines d’enquêtes menées au plus près des attaques.
2025 : la menace change d’échelle
Si l’on a beaucoup parlé de la généralisation du ransomware ou de la multiplication des vulnérabilités, le rapport met en évidence quelques dynamiques profondes qui redéfinissent le paysage cyber :
1. Exploitation de l’IA par les attaquants : une réalité opérationnelle
Nos experts ont observé l’usage d’IA génératives pour :
- Industrialiser le phishing avec des contenus impossibles à distinguer du légitime
- Créer des malwares capables de s’adapter en temps réel
- Automatiser reconnaissance, exploitation et mouvements latéraux
- Contourner de plus en plus facilement les contrôles existants
Nous ne sommes plus dans l’anticipation : il s’agit déjà d’une réalité opérationnelle.
2. Attaques supply chain : quand un prestataire compromis expose tout un écosystème
Les attaques ne visent plus seulement une entreprise : elles visent l’ensemble de son écosystème.
2025 a été marquée par :
- Des vulnérabilités critiques sur des briques utilisées massivement
- Des compromissions de prestataires ayant entraîné des incidents en cascade
- Un basculement où un seul défaut de configuration peut exposer des milliers d’environnements
Les équipes d’audit comme du CERT constatent une même tendance : le maillon faible n’est plus interne mais souvent externalisé.
3. OT : quand la compromission de l’IT suffit à arrêter la production
À travers plusieurs incidents analysés, le rapport montre que l’OT est rarement ciblé directement, mais les systèmes IT qui pilotent, supervisent ou configurent l’OT, le sont. Et leur compromission suffit à paralyser l’ensemble de la production.
Un changement stratégique majeur pour les industriels : la sécurité de l’OT passe d’abord par la maturité de l’IT.
2025 : l’année où la géopolitique s’invite partout
Le rapport revient également sur une dimension trop peu visible :
- L’utilisation croissante de la cyberattaque comme arme d’influence, de pression ou de déstabilisation,
- Le perfectionnement du cyber‑espionnage étatique (pré‑positionnement, campagnes multilingues, cloud compromise),
- La multiplication d’opérations visant les infrastructures critiques en Europe.
Les frontières entre cybercriminalité, espionnage et sabotage n’ont jamais été aussi floues.
2026 : ce que nos experts estiment incontournable
1. Accepter l’accélération permanente
Les attaquants exploitent certaines vulnérabilités en quelques heures. Les cycles de patching traditionnels ne suffisent plus : il faut prioriser par risque réel, automatiser, et revoir la capacité de réaction.
2. Traiter la sécurité comme un périmètre sans frontières
Cloud, IA, identités, CI/CD, IoT, supply chain… Tout doit être cartographié, surveillé et segmenté. Le Zero Trust devient une nécessité, pas un concept.
3. Intégrer l’IA dans la défense
Le rapport montre comment l’IA devient un levier pour :
- Accélérer la détection
- Corréler les signaux faibles
- Réduire le bruit
- Rationaliser les investigations
4. Recentrer les efforts sur les fondamentaux
Les incidents majeurs de 2025 ont un point commun :
- Vulnérabilités connues
- Identifiants compromis
- Segmentation insuffisante
- Privilèges trop élevés
Les attaques évoluent, mais les leviers pour les arrêter restent souvent les mêmes.
Pourquoi ce rapport est précieux ?
Car il ne se contente pas d’analyser :
- Il documente comment les attaques ont réellement été menées
- Il révèle les erreurs les plus fréquentes observées sur le terrain
- Il apporte des plans d’action concrets, issus de centaines d’interventions CERT
- Il offre une vision croisée CERT – SOC – Audit, rarement disponible dans une seule publication
