Monthly Threat Report Octobre 2025
Attaques plus intelligentes, leçons plus dures
Introduction
Notre Rapport mensuel sur les menaces présente chaque mois des analyses sur les tendances en matière de sécurité de Microsoft 365, les menaces transmises par email et des commentaires sur les évènements récents dans le domaine de la cybersécurité. Cette édition du rapport se concentre sur les données du troisième trimestre 2025 (comparativement au deuxième trimestre) et couvre les incidents survenus jusqu’à fin septembre 2025.
Résumé exécutif
- Les ransomwares sont de nouveau en hausse après trois années de déclin, portés par l’automatisation basée sur l’intelligence artificielle et par des chaînes d’intrusion multistades de plus en plus complexes.
- Le Rapport sur l’impact des ransomwares 2025 de Hornetsecurity indique que 24 % des organisations ont été touchées cette année, contre 18,6 % en 2024.
- Moins d’entreprises paient les rançons (13 %), ce qui traduit une meilleure maturité en cybersécurité et une plus grande confiance dans leurs capacités de reprise après incident.
- Les malwares diffusés par email ont augmenté de 39,5 % d’un trimestre à l’autre, signe d’une évolution vers des charges persistantes plutôt que de simples tentatives de phishing.
- Le format PDF reste le type de fichier le plus utilisé pour les pièces jointes malveillantes, tandis que les fichiers de calendrier ICS apparaissent comme un nouveau vecteur d’ingénierie sociale.
- L’usurpation d’adresse email (emails contrefaits) continue de dominer les techniques d’attaque, avec une hausse de 54 % par rapport au deuxième trimestre.
- Le phishing généré par intelligence artificielle est désormais cité par 77 % des responsables de la sécurité des systèmes d’information (CISO) comme la principale menace émergente.
- Parmi les incidents majeurs du mois, on note l’attaque par ransomware contre Jaguar Land Rover, qui a paralysé ses opérations mondiales, ainsi que la faille CVE-2025-32463, une vulnérabilité critique d’escalade de privilèges actuellement exploitée.
Aperçu des menaces
Emails indésirables par catégorie
Le tableau suivant montre la répartition des emails indésirables par catégorie pour le deuxième trimestre de 2025, comparativement au troisième trimestre.
| Catégorie | Variation | Pourcentage |
|---|---|---|
| Hameçonnage | Diminution | -46,38 % |
| Arnaque | Diminution | -10,95 % |
| Ransomware | Augmentation | 39,56 % |
| Spear Phishing | Diminution | -4,42 % |
Alors que les volumes d’hameçonnage ont chuté de façon marquée au troisième trimestre, la forte hausse des campagnes fondées sur les logiciels malveillants se démarquent. Ce changement suggère que les acteurs de la menace déplacent leur attention du vol d’identifiants et la fraude rapide vers la persistance et le contrôle. Lorsqu’on observe une baisse des tentatives d’hameçonnage de près de 40 %, cela signifie généralement que les attaquants privilégient la qualité à la quantité. Plutôt que de diffuser des leurres génériques en grand nombre, ils conçoivent désormais des charges utiles plus sophistiquées capables de contourner les filtres et de pénétrer plus profondément dans les systèmes.
Il convient également de noter la légère diminution de Spear Phishing. Ce n’est pas nécessairement une bonne nouvelle. De nombreuses campagnes avancées ont évolué au-delà des emails ciblés traditionnels et s’appuient maintenant sur des techniques d’hameçonnage à l’aide de plateformes légitimes de collaboration et de messagerie. La baisse apparente pourrait simplement refléter une migration des attaquants vers d’autres vecteurs d’accès que le courriel, plutôt qu’une véritable réduction de l’activité.
Types de fichiers malveillants utilisés dans les attaques par courriel
Le tableau suivant présente les types de fichiers les plus utilisés dans les attaques par email au cours de la période d’analyse.
Principaux types de fichiers malveillants — T2 2025
| Type de fichier | Classement |
|---|---|
| 1 | |
| DOC | 2 |
| TXT | 3 |
| DOCX | 4 |
| ZIP | 5 |
Principaux types de fichiers malveillants — T3 2025
| Type de fichier | Classement |
|---|---|
| 1 | |
| DOCX | 2 |
| ICS | 3 |
| ZIP | 4 |
| TXT | 5 |
Les fichiers PDF continuent de dominer le haut du classement occupant la première place trimestre après trimestre. Les fichiers PDF sont le cheval de Troie parfaits pour l’ingénierie sociale. Ils semblent inoffensifs, se déplacent facilement à travers les filtres et peuvent intégrer des liens ou des scripts qui redirigent vers des collecteurs d’identifiants ou des téléchargeurs malveillants.
L’évolution la plus intéressante est la montée des fichiers de calendrier ICS à la troisième place au troisième trimestre. Les cybercriminels exploitent la confiance que les utilisateurs accordent aux invitations de calendrier. Une pièce jointe ICS malveillante peut créer automatiquement des évènements de calendrier contenant des liens d’hameçonnage ou déclenchant des contenus externes lorsqu’elle est ouverte. C’est une méthode subtile, efficace et souvent capable de contourner les vérifications de pièces jointes de base. Les acteurs malveillants explorent sans cesse de nouvelles méthodes et des mécanismes de livraison à faible bruit qui reposent sur la confiance envers les outils de travail plutôt que des leurres évidents. Ces méthodes peuvent malheureusement s’avérer efficaces.
Types d’attaques par email
Le paysage des attaques par email continue d’évoluer, tant en ampleur qu’en sophistications. Même si les tactiques de base demeurent familières, les mécanismes de diffusion et les infrastructures de soutien deviennent plus adaptatifs. Chacune des techniques répertoriées ci-dessous illustre une itération supplémentaire de l’ingénierie sociale et de l’évasion technique, plutôt qu’une méthode entièrement nouvelle. Pour le dire simplement : si ça fonctionne. Pourquoi le changer ?
Principaux types d’attaques par courriel — T2
| Type d’attaque | Classement |
|---|---|
| Usurpation d’adresse email | 1 |
| Utilisation de domaines de premier niveau exotiques | 2 |
| Raccourcissement d’URL | 3 |
| Déguisement d’URL avec des caractères non-ASCII | 4 |
| Campagne d’attaque via une plateforme d’hébergement légitime | 5 |
Principaux types d’attaques par courriel — T3
| Type d’attaque | Classement |
|---|---|
| Usurpation d’adresse email | 1 |
| Campagne d’attaque via une plateforme d’hébergement légitime | 2 |
| Emails multi-formats | 3 |
| Technique d’obfuscation | 4 |
| Utilisation de domaines de premier niveau exotiques | 5 |
Notable Changes Between Quarters in Preferred Attack Types
- L’utilisation de domaines de premier niveau exotiques (TLD) a diminué de 70,7 % entre le deuxième et le troisième trimestre.
- Les campagnes d’attaques utilisant des plateformes d’hébergement légitime ont augmenté légèrement de 0,6 %.
- L’utilisation des techniques d’usurpation d’email a augmenté de 54,8 %
Description of Email Attack Types
| Type d’attaque | Description |
|---|---|
| Usurpation d’adresse email | Les attaquants falsifient le nom, le domaine ou l’adresse de l’expéditeur afin d’imiter des personnes ou des organisations de confiance. Cette méthode est souvent utilisée dans les campagnes d’hameçonnage et les fraudes par compromission d’emails d’entreprise. |
| Utilisation de domaines de premier niveau exotiques | Les acteurs malveillants enregistrent des domaines avec des extensions de premier niveau inhabituels ou suspects (par ex. : .xyz, .zip, .top) pour contourner les filtres et éviter d’être repérés. |
| Raccourcissement d’URL | Les attaquants masquent la véritable destination d’un lien malveillant derrière une URL raccourcie (par ex.bit.ly), ce qui complique l’évaluation du risque par les utilisateurs et les systèmes d’analyse. |
| Déguisement d’URL avec des caractères non-ASCII | Les URL sont créées avec des caractères Unicode ou des caractères ressemblants (homographes) pour imiter des domaines légitimes, trompant ainsi les utilisateurs et les systèmes automatisés. |
| Campagne d’attaque via une plateforme d’hébergement légitime | Les acteurs malveillants utilisent des services d’hébergement ou de cloud légitimes (par ex. : Google Drive, Dropbox, SharePoint) pour diffuser du contenu d’hameçonnage ou des logiciels malveillants sous le couvert d’une infrastructure de confiance. |
| Emails multi-formats | Les attaquants divisent la charge utile malveillante en plusieurs sections ou pièces jointes MIME, ce qui rend la détection plus difficile pour les passerelles de sécurité du courrier électronique. |
| Technique d’obfuscation | Le code ou les liens malveillants sont dissimulés dans des structures HTML complexes, codées ou fragmentées, afin de contourner l’inspection du contenu et tromper les destinataires. |
Analyse des types d’attaques par email
La résurgence de l’usurpation de l’email comme principale méthode d’attaque n’est pas surprenante. À mesure que les cadres d’authentification du mail tels que SPF, DKIM et DMARC deviennent la norme, les attaquants s’adaptent avec des domaines ressemblants plus sophistiqués et une usurpation ciblée du nom d’affichage. Plusieurs de ces campagnes contournent désormais les vérifications techniques en exploitant la confiance humaine plutôt que la logique des systèmes. Il est important de se rappeler que les protocoles d’authentification du mail réduisent les risques, mais ne les éliminent pas complètement.
Le déclin graduel de l’utilisation des domaines de premier niveau exotiques (TLD) indique que les filtres ont fini par contrer cette tendance, forçant ainsi les acteurs malveillants à se tourner vers d’autres méthodes. Parallèlement, la légère augmentation de l’abus des plateformes d’hébergement légitimes mérite l’attention, c’est un phénomène que le secteur doit surveiller de près de près. Lorsqu’une page d’hameçonnage est hébergée sur Google Drive ou sur l’infrastructure de Microsoft, par exemple, elle gagne instantanément en crédibilité. Les équipes de sécurité comprennent maintenant que le champ de bataille s’est déplacé en amont. Le nouveau périmètre de sécurité n’est plus votre pare-feu, mais la propension de vos utilisateurs à cliquer sur ce qui semble légitime.
Rapport 2025 sur l’impact des ransomwares de Hornetsecurity
Les ransomwares sont de nouveau en hausse après trois années de déclins. Le rapport 2025 dresse un portrait clair d’un paysage de menaces en évolution, alimenté par l’intelligence artificielle. Les cybercriminels exploitent l’automatisation et l’IA générative pour accroitre leurs opérations, cibler les environnements hybrides et contourner les défenses traditionnelles, tandis que les organisations renforcent leur résilience à l’aide de sauvegardes immuables et de plans de reprise après sinistre. Les résultats montrent les deux facettes du problème les rançongiciels deviennent plus sophistiqués, mais les défenseurs commencent à rattraper leur retard.
Hornetsecurity Ransomware Survey Key Findings
- 24 % des organisations ont subi une attaque par rançongiciel en 2025, en hausse par rapport à 18,6 % en 2024.
- Seulement 13 % des victimes ont payé la rançon, ce qui indique une meilleure préparation à la reprise.
- 46 % des incidents ont encore débuté par de l’hameçonnage, mais les terminaux compromis et le vol d’identifiants gagnent du terrain.
- 74 % des organisations offrent une formation sur les ransomwares, mais 42 % jugent ces formations insuffisantes, soulignant un déficit persistant de sensibilisation.
- 62 % utilisent des sauvegardes immuables et 82 % ont des plans de reprise après sinistre, ce qui démontre une évolution vers une défense plus proactive.
- 77 % des responsables de la sécurité de l’information (CISO) considèrent l’hameçonnage généré par l’IA comme une préoccupation croissante, les attaquants exploitant de plus en plus les outils génératifs à des fins malveillantes.
Read the full Hornetsecurity 2025 Ransomware Impact Report for detailed insights, data breakdowns, and guidance on strengthening your organization’s ransomware resilience.
Pour consulter le rapport complet, incluant les analyses de données détaillées et les recommandations pour renforcer la résilience de votre organisation face aux rançongiciels, veuillez vous référer à la publication officielle de Hornetsecurity.
Enquête sur les ransomwares 2025
Les attaques par ransomware sont en hausse pour la première fois en 3 ans. Elles constituent l’une des menaces les plus persistantes pour les entreprises en 2025.
Découvrez comment les organisations s’adaptent, quelles sont les nouvelles tendances et où se situent les nouveaux risques.
Principaux incidents et événement de l’industrie
Cyberattaque contre Jaguar Land Rover
L’attaque visant Jaguar Land Rover (JLR) début septembre 2025 figure parmi les incidents de cybersécurité d’entreprises les plus graves de l’histoire récente du Royaume-Uni. Le constructeur automobile a été contraint d’arrêter la production dans plusieurs usines, laissant des milliers d’employés en arrêt forcé et perturbant gravement les chaines d’approvisionnement. Ce qui avait commencé comme une simple perturbation locale des TI s’est rapidement transformé en crise opérationnelle majeure, l’entreprise se retrouvant incapable d’accéder à ses systèmes critiques de fabrication et de logistique. Les rapports indiquent que l’attaque a été menée par un groupe criminel financièrement motivé, probablement lié à Scattered Spider ou ShinyHunters, ayant utilisé une combinaison d’ingénierie sociale et technique d’escalade de privilèges pour infiltrer les réseaux internes de JLR.
D’un point de vue plus global, cet incident révèle à quel point les écosystèmes industriels modernes sont fragiles. Les opérations numériques de JLR sont intimement liées à ses fournisseurs, à ses réseaux de distribution et à ses systèmes de productions automatisés. Une fois ces systèmes compromis, les répercussions se sont propagées à l’ensemble de la chaine d’approvisionnement automobile mondiale. La gravité de la situation a forcé le gouvernement du Royaume-Uni à intervenir, accordant une garantie de prêt de 1,5 milliard £ pour stabiliser les opérations. Avec des pertes hebdomadaires estimées entre 50 millions de pounds et l’absence d’assurance contre les cyberattaques de cette ampleur, l’impact financier pour JLR est colossal. Cet évènement illustre une vérité fondamentale en matière de cybersécurité : la résilience n’est plus un luxe, mais une nécessité vitale. Dans un contexte où les groupes de ransomwares sont de plus en plus actifs, la résilience demeure la seule barrière maintenant debout l’infrastructure industrielle moderne.
Sudo Privilege Escalation Vulnerability (CVE-2025-32463)
Peu d’outils sont aussi essentiels aux systèmes Unix que sudo, ce qui rend la vulnérabilité CVE-2025-32463 particulièrement préoccupante. Cette faille, découverte à la fin de septembre et confirmée par l’ajout du bug au catalogue KEV (Known Exploited Vulnerabilities), permet à un attaquant d’obtenir des privilèges d’administrateur locaux en manipulant l’option — R (chroot). Des preuves d’exploitation active ont été observées dans la nature, ciblant les versions 1.9.17p1 et antérieure. Étant donné que sudo est présent dans la quasi-totalité des distributions Linux, la correction de cette faille représente une priorité mondiale urgente.
Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est sa facilité d’exploitation. Contrairement aux attaques à distance qui nécessitent une préparation complexe ou des chaines d’hameçonnage, celle-ci peut être exploitée dès qu’un attaquant obtient un accès local minimal. Sur les systèmes renforcés comme les hôtes bastion, les runners CI/CD ou les charges de travail infonuagiques les conséquences peuvent être grave. Les équipes de sécurité doivent se rappeler que les voies locales d’escalade de privilèges demeurent une composante critique de toute attaque moderne. Les outils de détection et de réponse aux menaces (EDR) peuvent facilement manquer l’exploitation d’un binaire mal configuré comme sudo. En résumé, la leçon est simple, mais essentielle : même les utilitaires les plus fiables peuvent devenir des failles majeures lorsqu’ils ne sont pas corrigés.
Prévisions pour les prochains mois
- Prévoir une intensification de l’hameçonnage et de l’ingénierie sociale alimentés par l’intelligence artificielle, les cybercriminels perfectionnant les deepfakes et les leurres générés par des modèles de langage (LLM) pour cibler les dirigeants et les utilisateurs privilégiés.
- Les opérations de ransomware en tant que service (RaaS — Ransomware-as-a-Service) continueront de s’industrialiser, exploitant l’automatisation pour accroitre le volume des attaques et prolonger la durée d’intrusion avant détection.
- Le nombre d’exploits d’escalade locale de privilèges (comme la vulnérabilité liée à sudo) continuera d’augmenter, les attaquants recherchant des méthodes discrètes pour obtenir des privilèges accrus dans des environnements renforcés.
- Les attaques ciblant les systèmes industriels (ICS) et les livraisons de charges utiles via des calendriers deviendront plus courantes, les acteurs malveillants profitant de la confiance accordée aux outils de productivité d’entreprise.
- À mesure que les assureurs resserrent leur couverture, de plus en plus d’entreprises délaisseront l’assurance cybersécurité au profit de plans autonomes de reprise après sinistre basés sur la résilience opérationnelle.
Recommandation mensuelle
- Corrigez immédiatement la vulnérabilité CVE-2025-32463 et validez les versions de sudo sur l’ensemble des systèmes Linux et Unix.
- Renforcez la sécurité du courriel en filtrant et en isolant les pièces jointes PDF, DOCX et ICS à l’aide d’un fournisseur de sécurité de courriel de nouvelle génération, puisque ces fichiers demeurent des vecteurs d’attaque privilégiés.
- Menez des simulations d’hameçonnage réalistes intégrant des leurres crédibles et des formations de sensibilisions à la cybersécurité, afin de familiariser le personnel avec les tactiques d’attaque avancées.
- Examinez et testez votre stratégie de sauvegarde. Assurez-vous que les sauvegardes immuables sont activées et effectuez régulièrement des tests de restauration pour confirmer l’intégrité des données.
- Mettez en œuvre une gouvernance stricte des identités. Appliquez l’authentification multifactorielle (AMD) à tous les niveaux, fait une rotation régulière des identifiants administratifs et réduisez au minimum les accès privilégies persistants.
- Surveillez les plateformes cloud légitimes (ex. : Google Drive, SharePoint) afin de détecter tout usage abusif dans les chaînes de phishing ou de diffusion de données.
- Sensibiliser la direction aux risques émergents liés à l’intelligence artificielle et veiller à ce que les plans de communication de crise tiennent compte des scénarios impliquant des deepfakes ou de la désinformation.
- Téléchargez le rapport complet Hornetsecurity 2025 sur l’impact des ransomwares afin de rester à l’avant-garde des tendances d’attaque en évolution et de renforcer la posture défensive de votre organisation.
À propos d’Hornetsecurity
Hornetsecurity est l’un des principaux fournisseurs mondiaux de solutions de sécurité, de conformité, de sauvegarde et de sensibilisation à la sécurité basées sur le cloud de nouvelle génération, qui aident les entreprises et les organisations de toutes tailles dans le monde entier. Son produit phare, 365 Total Protection, est la solution de sécurité en cloud pour Microsoft 365 la plus complète du marché. Poussée par l’innovation et l’excellence en matière de cybersécurité, Hornetsecurity construit un avenir numérique plus sûr et des cultures de sécurité durables grâce à son portefeuille primé. Hornetsecurity est présent dans plus de 120 pays grâce à son réseau de distribution international, de plus de 12 000 partenaires de distribution et MSP. Ses services haut de gamme sont utilisés par plus de 125 000 clients. Pour plus d’informations, visitez le site www.hornetsecurity.com.
About Hornetsecurity
Hornetsecurity is a leading global provider of next-generation cloud-based security, compliance, backup, and security awareness solutions that help companies and organisations of all sizes around the world. Its flagship product, 365 Total Protection, is the most comprehensive cloud security solution for Microsoft 365 on the market. Driven by innovation and cybersecurity excellence, Hornetsecurity is building a safer digital future and sustainable security cultures with its award-winning portfolio. Hornetsecurity operates in more than 120 countries through its international distribution network of 12,000+ channel partners and MSPs. Its premium services are used by more than 125,000 customers.
