Bilan 2025 de l’ANSSI : ransomware, APT russes et IA générative au cœur des menaces

4 386 événements de sécurité traités, dont 1 361 incidents. La hausse est nette, +15 % sur un an, et le pic du printemps-été 2024 colle trop bien avec la période des JO de Paris pour que ça soit un hasard. Si tu cherchais un baromètre concret de la pression cyber en France, tu l’as. Pas une impression, des dossiers ouverts, des équipes mobilisées, des systèmes à remettre sur pied.

Le panorama 2025 de l’ANSSI raconte surtout une histoire simple, et un peu ingrate, le quotidien se complique plus vite que les budgets. Les mêmes grosses familles d’attaquants restent au menu, cybercriminels, acteurs liés à la Russie et à la Chine. Sauf que les modes opératoires se modernisent, la chaîne d’approvisionnement prend cher, et l’IA générative rajoute une couche, côté attaques, mais aussi côté nouveaux systèmes à protéger.

4 386 événements: l’ANSSI sous pression en 2024

Quand l’ANSSI dit qu’elle a traité 4 386 événements, ça veut dire des heures d’astreinte, des analyses de journaux, des échanges tendus avec des DSI qui découvrent qu’ils n’avaient pas de plan B. Dans le détail, on parle de 3 004 signalements et 1 361 incidents. La frontière est importante, un signalement, c’est le doute, un incident, c’est déjà la casse, ou au moins la compromission avérée.

La hausse de 15 % par rapport à 2023 n’est pas juste un chiffre pour faire peur. Elle colle à une réalité opérationnelle, plus de tentatives, plus d’outils automatisés, plus d’obligations de déclarer, parfois aussi une meilleure détection. Mais si tu as déjà vécu une crise, tu sais ce que ça implique, même un « petit » incident te bloque une équipe pendant des jours, et tu repousses tout le reste.

Le passage des Jeux olympiques a joué comme un aimant. Pas forcément parce que « les JO ont été piratés », mais parce que l’écosystème a été plus surveillé, plus sollicité, plus exposé. Entre mai et août, l’ANSSI voit un pic. Dans les faits, ça peut être des prestataires, des collectivités, des boîtes de transport, des sous-traitants, bref tout ce qui tourne autour d’un événement mondial.

Petit bémol, et c’est mon côté vieux briscard, une hausse d’activité côté défense, ça ne dit pas tout du niveau réel de compromission. Il y a ce que tu vois, et ce qui passe sous le radar. Le truc c’est que le panorama donne surtout des tendances solides, pas un recensement exhaustif. Résultat, si tu te dis « ça va, on n’est pas dans les stats », tu joues à pile ou face avec ta prod.

VPN et pare-feu: la bordure du réseau craque

Le point qui revient fort, c’est le ciblage des équipements en bordure, VPN, pare-feux, passerelles d’accès distant. L’ANSSI explique que ces vulnérabilités sur des équipements de sécurité sont à l’origine de plus de la moitié de ses opérations de cyberdéfense en 2024. Tu lis bien, plus d’une sur deux. Ça veut dire que l’attaquant ne cherche même plus la porte de service, il tape directement sur la serrure principale.

Pourquoi c’est si rentable pour eux? Parce que ces boîtiers sont partout, exposés sur Internet, et qu’ils donnent un accès « légitime » au réseau interne. Un VPN compromis, c’est souvent un accès au SI sans lever d’alerte immédiate. Et dans la vraie vie, les mises à jour de firmware, les correctifs, les redémarrages planifiés, ça se repousse, surtout quand l’outil est critique pour le télétravail.

Tu veux un exemple concret? Une entreprise qui a externalisé son support, des techniciens qui se connectent via VPN, et un équipement qui traîne avec une version non corrigée. L’attaquant récupère un accès, se balade, trouve un serveur de fichiers, puis commence l’exfiltration. Ce n’est pas « Hollywood », c’est le scénario banal. Et après, tu passes la semaine à répondre aux questions, « depuis quand ils sont là? », « qu’est-ce qu’ils ont pris? ».

La nuance, c’est que blâmer uniquement « les admins qui patchent mal » est trop facile. Il y a un problème structurel de dépendance à des briques de sécurité périmétrique, parfois mal inventoriées, parfois gérées par un prestataire, parfois sans supervision fine. Le résultat, c’est un talon d’Achille. Si tu veux réduire le risque, il faut traiter ces équipements comme des actifs critiques, pas comme des boîtes noires.

Rançongiciels: impact stable, dégâts bien réels

Les rançongiciels restent un classique, et l’ANSSI les décrit comme stables par rapport à 2023. Stable ne veut pas dire faible. Ça veut dire que la vague ne retombe pas. Dans les crises que j’ai vues de près, le vrai coût n’est pas juste la rançon, c’est l’arrêt de production, la perte de confiance, les semaines de reconstruction, et les arbitrages moches, payer ou ne pas payer, communiquer ou temporiser.

Ce qui change, c’est la professionnalisation. Les groupes cybercriminels fonctionnent comme des PME, avec support « client », négociation, et parfois des affiliés qui louent l’outillage. Tu te retrouves face à une chaîne quasi industrielle. Et plus tu as de dépendances numériques, plus tu as de points d’entrée. Un compte compromis, un accès VPN, un serveur exposé, et le domino tombe.

La pression se voit aussi dans la montée des attaques sur la chaîne d’approvisionnement. Tu sécurises ton SI, mais ton prestataire de maintenance, ton éditeur, ou ton infogéreur se fait ouvrir, et tu récupères la crise en bout de course. C’est le genre de scénario qui rend fou, parce que tu as l’impression d’avoir « fait le job », et c’est l’écosystème qui te rattrape.

Et puis il y a le volet « anonymisation ». Le panorama parle d’un usage croissant de réseaux d’anonymisation par les cybercriminels. Pour toi, côté défense, ça complique l’attribution et la remédiation, et ça rallonge les investigations. Le truc c’est que l’objectif n’est pas toujours de rester invisibles pour toujours, c’est de gagner du temps, assez pour chiffrer, exfiltrer, et te mettre au pied du mur.

APT russes et chinois: espionnage et télécoms dans le viseur

Dans le trio de tête des menaces, l’ANSSI cite les attaquants liés à l’écosystème cybercriminel, et ceux affiliés à la Chine et à la Russie. Là, on bascule sur des logiques différentes. Le cybercriminel veut du cash. L’acteur étatique veut de l’info, de l’influence, de l’accès durable. Et quand il veut du cash, parfois il passe par des proxies, ce qui brouille les pistes.

Le panorama insiste sur les dommages des opérations de cyberespionnage, surtout celles qui s’appuient sur le ciblage soutenu d’équipements et d’infrastructures de télécommunication. C’est un point clé. Les télécoms, c’est le nerf de la guerre numérique, ça transporte tout, les mails, la voix, les flux industriels, les accès distants. Si tu contrôles ou surveilles une brique télécom, tu changes d’échelle.

Du côté du CERT-FR, les publications CTI montrent aussi des campagnes attribuées publiquement à des opérateurs comme APT28, rattachés par différentes sources à la Russie, observées entre 2021 et 2024 contre des entités françaises. Ce n’est pas un épisode isolé. C’est une persistance. Le genre d’adversaire qui revient, qui ajuste, qui attend qu’un correctif soit oublié ou qu’un compte dormant traîne.

La critique que j’ai envie de poser, c’est qu’on sous-estime encore l’aspect « temps long ». Beaucoup d’organisations pensent en trimestre budgétaire, en projet, en roadmap. Les APT pensent en années. Résultat, si tu fais un gros effort de sécurité pendant six mois puis que tu relâches, tu redeviens une cible facile. La défense, c’est chiant, c’est répétitif, et c’est exactement pour ça que ça casse.

IA générative: l’attaque s’automatise, et l’IA devient une cible

L’IA générative n’est pas un gadget dans le paysage 2025. L’ANSSI décrit deux axes, l’utilisation de l’IA comme outil offensif, et le ciblage des systèmes d’IA eux-mêmes comme surfaces d’attaque. Côté offensif, tu peux accélérer la production de contenus, de scripts, de variantes, et industrialiser des approches qui demandaient avant du temps humain. Tu gagnes en volume, donc tu augmentes les chances de tomber sur la bonne faille.

Ce qui fait peur, c’est l’idée, jugée plausible, d’une automatisation complète ou quasi complète d’une chaîne d’attaque à court ou moyen terme. Pas besoin d’imaginer un « robot hacker » magique, juste des briques qui s’enchaînent, reconnaissance, exploitation, mouvement latéral, exfiltration, extorsion. Si tu mets ça dans les mains d’un groupe déjà structuré, tu passes un cap, surtout contre des cibles qui n’ont pas les moyens de surveiller 24/7.

L’autre volet, c’est l’attaque des systèmes d’IA. On parle de détournement d’objectifs, d’abus d’outils, d’abus d’identités et privilèges, de vulnérabilités dans la chaîne d’approvisionnement « agentique », ou d’empoisonnement du contexte et de la mémoire. Traduisons en concret, tu déploies un assistant interne connecté à des outils métiers, et quelqu’un le pousse à faire n’importe quoi, ou à révéler des infos, ou à déclencher une action non prévue.

Et là, je nuance. Le risque, ce n’est pas « l’IA va tout casser toute seule », c’est qu’on la branche trop vite sur des données sensibles, des outils d’administration, ou des workflows, sans garde-fous. Le résultat, c’est une nouvelle surface d’attaque, souvent mal comprise par les équipes classiques. Si tu veux en tirer de la valeur sans te tirer une balle dans le pied, il faut traiter ces systèmes comme des composants critiques, avec contrôle d’accès, journalisation, et tests d’abus.