Partner Login

Monthly Threat Report Décembre 2025

Leçons tirées des incidents de novembre

Écrit par Security Lab / 11.12.2025 /
Home » Blog » Monthly Threat Report Décembre 2025

Introduction

Le Rapport mensuel sur les menaces de Hornetsecurity vous offre chaque mois un aperçu des tendances en matière de sécurité M365, des menaces véhiculées par emails ainsi que des commentaires sur l’actualité du domaine de la cybersécurité. Cette édition du Rapport mensuel sur les menaces se concentre sur les données et les évènements sectoriels du mois de novembre 2025.

Résumé exécutif

  • Les cyberattaquants exploitent de plus en plus les infrastructures légitimes cloud et SaaS pour diffuser du contenu malveillant, ce qui compromet les mécanismes de défense fondés sur la réputation et fragilise la confiance des utilisateurs.
  • La surdépendance envers les fournisseurs s’est révélée un risque opérationnel majeur en novembre, illustré par une panne importante chez Cloudflare ayant provoqué des perturbations en aval sans causer de compromissions de sécurité.
  • Des vulnérabilités exploitées depuis longtemps continuent de représenter un risque réel, comme l’a démontré la publication tardive du correctif de Microsoft pour la vulnérabilité CVE-2025-9491 après une longue période d’exploitation active.
  • L’élargissement par la CISA de son catalogue des vulnérabilités connues pour être exploitées (KEV) renforce la nécessité de prioriser les vulnérabilités en fonction de leur exploitation réelle plutôt que de leur seule côté de gravité.
  • Le délai d’application des correctifs demeure l’un des facteurs les plus constants et prévisibles contribuant aux compromissions réussies.
  • Les organisations améliorent leur capacité de reprise, mais la résilience opérationnelle et les risques liés aux dépendances envers les tiers exigent une attention accrue.

Un mot sur le Rapport annuel de cybersécurité 2026 de Hornetsecurity

Le Rapport de cybersécurité 2026 de Hornetsecurity propose une analyse exhaustive et fondée sur les données de l’évolution du paysage des menaces tout au long de 2025, ainsi que des raisons pour lesquelles les organisations doivent se préparer à une nouvelle année d’accélération plutôt que de stabilisation. Fondé sur l’analyse de plus de 72milliards de emails traités par Hornetsecurity Security Lab, le rapport confirme que les cyberattaquant accélèrent leurs opérations, automatisent davantage et exploitent la confidence à grande échelle. Les emails contenant des malwares ont augmenté de plus de 130 % d’une année à l’autre, tandis que les escroqueries et le suivaient de près, ce qui démontre que l’email demeure le moyen d’accès le plus fiable et rentable pour les attaquants dans tous les secteurs.

L’une des constatations les plus importantes du rapport est la résurgence des ransomwares, alors que 24 % des organisations déclarent un incident en 2025, reversant ainsi plusieurs années de déclin. Bien que les copies de sauvegarde immuables et l’amélioration des plans de reprise aient permis de réduire efficacement les paiements de rançon, les cyberattaquants se sont adaptés en conséquence, déplaçant leur attention vers le vol d’identifiants, la compromission des points de terminaison et les attaques visant l’intégrité des données plutôt que le simple chiffrement. Parallèlement, l’adoption rapide, et souvent non contrôlée, d’outils d’IA au sein des entreprises élargit la surface d’attaque d’une manière que de nombreuses équipes de sécurité peinent à gérer. Les responsables de la sécurité de l’information (CISO) sondés dans le cadre du rapport citent massivement le phishing automatisé par l’IA, l’usurpation d’identité par deepfake et l’abus d’identité comme des préoccupations majeures en vue de 2026.

Malgré ces tendances, le rapport offre un optimisme prudent. Les organisations améliorent de manière démontrable leur capacité de reprise, grâce à l’adoption généralisée de copie de sauvegarde immuable, de plans de reprise après sinistre et d’une authentification multifacteur résistante au phishing, qui s’imposent désormais comme des attentes de base plutôt que des objectifs ambitieux. Toutefois, le message central est clair : la résilience définira les stratégies de sécurité efficace dans l’avenir. Pour explorer pleinement les données, les perspectives et les prédictions du Security Lab qui façonneront l’année à venir, nous recommandons fortement de consulter le Rapport de cybersécurité 2026 de Hornetsecurity, lequel fournit un contexte essentiel et des lignes directrices pour naviguer dans un paysage de menaces Microsoft 365 en constante évolution.

Aperçu des menaces

Abus d’infrastructures cloud légitimes dans les attaques par email

Une technique d’attaque mise en lumière dans le Rapport de cybersécurité 2026 (et qui continue de gagner en importance) est l’abus de services cloud et d’hébergement légitime pour mener des campagnes malveillantes par emails. Plutôt que de s’appuyer sur des serveurs ou des domaines manifestement malveillants ou jetables, les cyber acteurs hébergent de plus en plus des pages de phishing, des charges malveillantes et des redirections sur des plateformes réputées, tels que des fournisseurs de stockage cloud, des services SaaS et des hébergeurs bien connus. Cette tactique permet aux courriels malveillants de se fondre dans le trafic commercial légitime, améliorant considérablement la capacité de livraison et réduisant l’efficacité de livraison et réduisant l’efficacité des filtres fondés sur la réputation. Pour un utilisateur final, les liens se résolvent vers des domaines « de confiance » et, pour une passerelle de messageries, ils ressemblent souvent à s’y méprendre au trafic normal généré par le cloud.

Ce qui rend cette technique particulièrement efficace, c’est sa durabilité. Les infrastructures légitimes sont plus difficiles à cloquer sans entrainer de dommages collatéraux, et les démantèlements sont souvent à la traine par rapport aux campagnes actives. En pratique, cela signifie que les organisations peuvent être exposées à des vagues répétées de phishing ou de tentatives de vol d’identifiants hébergées sur l’infrastructure qu’elles utilisent déjà pour leurs activités quotidiennes. Alors que les défenseurs renforcent leur contrôle contre les indicateurs évidents de compromissions, les cyberattaquants répliquent en empruntant la confiance accordée à une infrastructure réputée, plutôt qu’en tentant d’échapper à la détection. Le constat est clair : les défenses doivent aller au-delà des listes statistiques d’autorisation et miser davantage sur l’analyse comportementale, l’inspection contextuelle de liens et la sensibilisation des utilisateurs, car lorsque les cyberattaquants opèrent à l’intérieur des limites d’une infrastructure fiable, les hypothèses traditionnelles de confiance commencent à jouer contre nous plutôt que pour nous.

Incidents majeurs et événement sectoriels

Surdépendance envers les fournisseurs : Leçons tirées de la panne de Cloudflare

En novembre, une importante interruption de service chez Cloudflare a provoqué des problèmes généralisés de disponibilité à travers internet, touchant des sites Web, des API et des plateformes SaaS qui dépendent du fournisseur pour la résolution DNS, la distribution de contenu et la protection périmétrique. Heureusement, l’incident n’était pas le résultat d’une cyberattaque. Toutefois, son impact a été immédiat et très visible. Pour de nombreuses organisations, Cloudflare est passé d’un simple levier d’optimisation des performances ou de sécurité à une dépendance fondamentale, ce qui signifie que toute perturbation chez le fournisseur se traduit directement par des interruptions affectant les clients, même lorsque les systèmes internes demeuraient en bonne santé.

Ce qui a été particulièrement frappant dans cet incident est la rapidité avec laquelle une défaillance en amont s’est propagée à des organisations plus ou moins sans lien les unes avec les autres. S’appuyer sur un seul service externe pour de multiples fonctions critiques, comme l’acheminement, le filtrage, la terminaison TLS et l’accélération du trafic, crée des défaillances en cascade difficiles à atténuer en temps réel. En pratique, la « commodité » architecturale a discrètement remplacé la diversité architecturale. Cette consolidation simplifie les opérations et améliore le rendement dans des conditions normales, mais elle augmente aussi la capacité d’une organisation à se dégrader gracieusement lorsqu’un fournisseur éprouve des problèmes. Dans ces situations, la disponibilité devient un risque partagé plutôt qu’un résultat contrôlé (et espéré) par une équipe interne.

Pourquoi c’est important

  • Les défaillances de disponibilité d’un fournisseur tiers peuvent avoir un impact commercial équivalent à des incidents de sécurité, même en l’absence de compromission.
  • Le risque de concentration augmente lorsque plusieurs fonctions critiques sont déléguées à un fournisseur unique.
  • La planification de la continuité des activités doit explicitement tenir compte des pannes provenant d’un fouisseur en amont, et pas seulement des défaillances internes.
  • La véritable résilience dépend de la compréhension des points où les dépendances externes deviennent des points de défaillance uniques.

Microsoft corrige une vulnérabilité de longue date liée aux raccourcis Windows (CVE-2025-9491)

En novembre, Microsoft a discrètement publié un correctif pour (CVE-2025-9491), une vulnérabilité d’exécution de code à distance exploitant la gestion des fichiers de raccourcis Windows. (. LNK). Les chercheurs en sécurité ont noté que la faille avait été activement exploitée pendant des années, et des preuves la lient à la fois à des cyber acteurs motivés financièrement et à des groupes appuyés par des États.

La vulnérabilité permettait aux cyberattaquants de déclencher l’exécution de code malveillant lorsque les victimes interagissaient avec des fichiers de raccourcis spécialement conçus, que les attaquants livraient souvent via des médias amovibles, des pièces jointes de phishing ou des archives compressées. Bien que l’exploitation exigeait habituellement une interaction de l’utilisateur, la technique s’est avérée suffisamment fiable pour demeurer dans les trousses d’outils des attaquants pendant une longue période.

Ce qui rend ce correctif particulièrement notable n’est pas la complexité technique du bug, mais sa longévité. Malgré ; des observations répétées d’abus dans la nature, la vulnérabilité des demeurées exploitable pendant des années, devenant une avenue d’attaque discrètement fiable.

Pourquoi c’est important

  • Les vulnérabilités anciennes peuvent rester opérationnellement utiles longtemps après leur découverte.
  • L’exécution basée sur les raccourcis continue de contourner la méfiance des utilisateurs plus efficacement que les exécutables traditionnels.
  • Le délai d’application des correctifs demeure un problème systémique dans de nombreux environnements Windows.

La CISA élargit son catalogue des vulnérabilités connues pour être exploitées (KEV)

À la mi-novembre, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté une nouvelle entrée à son catalogue des vulnérabilités connes pour être exploitées (KEV), confirmant une exploitation active du logiciel affecté dans des attaques réelles.

L’inscription au catalogue KEV confère un poids opérationnel supérieur à une divulgation de vulnérabilité typique. Elle indique que l’exploitation n’est pas théorique, conceptuelle ou potentielle, mais que les cyberattaquants l’utilisent déjà, souvent à grande échelle. Alors que les agences fédérales sont légalement tenues de corriger les vulnérabilités inscrites au KEV dans les délais prescrits, de nombreuses organisations privées continuent d’accuser du retard sans le suivi et la mise en œuvre de ces mises à jour.

Pourquoi c’est important

  • Les inscriptions au KEV représentent des vecteurs d’attaque confirmés et opérationnels, et non des risques hypothétiques.
  • Les organisations qui ne suivent pas les mises à jour KEV risquent de réagir avec des semaines ou des mois de retard.
  • Les programmes de gestion des vulnérabilités doivent prioriser le statut d’exploitation, et pas seulement les cotes CVSS.

Prédiction pour les prochains mois

  • L’abus d’infrastructures fiables continuera de s’accélérer. À mesure que les défenseurs améliorent la détection des domaines et des infrastructures manifestement malveillants, les cyberattaquants s’appuieront de plus en plus sur des plateformes légitimes pour mener des campagnes de phishing et de vol d’identifiants.
  • Le délai d’application des correctifs demeura un facteur de risque dominant. L’exploitation continue de vulnérabilités connues depuis longtemps, comme la CVE-2025-9491, démontre clairement que les attaquants n’ont pas besoin de vulnérabilité inédite (« zero-days ») pour réussir.
  • La résilience opérationnelle fera l’objet d’un examen accru. Les pannes très visibles, telles que l’incident Cloudflare, pousseront davantage d’organisations à réévaluer les risques liés à la dépendance envers des tiers, non seulement du point de vue de la sécurité, mais aussi de la disponibilité.
Cybersecurity 2026 is out now!

Cybersecurity Report 2026

L’accélération des menaces mondiales sous l’impulsion de l’IA

Télécharger maintenant

Recommandations mensuelles

  • Réévaluer la dépendance et la concentration envers les fournisseurs essentiels. Identifier les domaines où un fournisseur unique assure plusieurs fonctions fondamentales (DNS, CDN, sécurité, identité) et évaluer si les stratégies de secours ou de contingence sont adéquates.
  • Renforcer les défenses contre l’abus de liens fiables. Aller au-delà des listes statistiques d’autorisation et de la réputation de domaine. Mettre en œuvre l’analyse comportementale, l’inspection au moment du clic, ainsi que la formation des utilisateurs ciblée spécifiquement sur les tentatives de phishing exploitant une infrastructure légitime.
  • Aligner les priorités de correctifs sur l’exploitation réelle. Intégrer le catalogue KEV de la CISA dans les processus de gestion des vulnérabilités pour garantir que les failles activement exploitées sont priorisées pour la correction.
  • Renforcer les contrôles de protection de l’identité. Prioriser une authentification multifacteur résistante au phishing, resserrer les stratégies OAuth consent, et surveiller les comportements anormaux de connexion indiquant une mauvaise utilisation des jetons ou des attaques de relecture de session.
  • Tester la résilience, pas seulement la prévention. Valider l’intégrité des sauvegardes, répéter les procédures de reprise après sinistre et s’assurer que les plans de continuité couvrent à la fois les incidents de sécurité et les interruptions de service en amont.

À propos d’Hornetsecurity

Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.

Vous pourriez aussi être intéressé par