Le marché connaît une mutation rapide et inquiétante des menaces touchant les terminaux mobiles, les appareils IoT et les environnements OT. Les secteurs de l’énergie, des transports et de l’industrie deviennent des cibles privilégiées, tandis que les plateformes légitimes accueillent encore des applications infiltrées. L’écosystème Android concentre des volumes d’attaques qui déstabilisent les chaînes opérationnelles et les environnements hybrides.
Le constat s’impose sans détour. Les interactions numériques quotidiennes, du mobile à l’IoT, deviennent un terrain privilégié pour des menaces qui s’infiltrent dans des usages parfaitement installés. Le rapport ThreatLabz 2025 de Zscaler ThreatLabz décrit une cybercriminalité qui exploite simultanément les failles des terminaux personnels, des infrastructures industrielles et des chaînes d’approvisionnement logicielles.
Publiée à partir d’une télémétrie mondiale recueillie entre juin 2024 et mai 2025, l’étude apporte une lecture structurante des nouveaux risques. Les détections explosent sur Android, les applications malicieuses prolifèrent sur des plateformes officielles et les attaques IoT/OT frappent plus largement qu’en 2024. Les entreprises, les administrations et les fournisseurs de services doivent désormais gérer un flux continu de menaces où mobile, IoT et OT sont les principales cibles.
Un écosystème Android fragilisé par les usages en mobilité
Le rapport décrit une situation sans équivoque. Les cybercriminels ciblent en priorité les appareils mobiles, en particulier ceux fonctionnant sous Android, désormais au cœur des usages professionnels liés au travail en mode hybride. L’étude recense une hausse annuelle de 67 % des attaques contre les terminaux Android, dynamisée par la diffusion massive d’applications malicieuses se faisant passer pour des outils de productivité. Ces applications, souvent pensées pour organiser son temps ou gérer des tâches quotidiennes, constituent un vecteur d’entrée discret et particulièrement efficace. Les équipes de ThreatLabz en identifient 239 sur Google Play Store, totalisant 42 millions de téléchargements, ce qui illustre la profondeur du problème.
Dans cette dynamique, les attaquants jouent sur un levier central, la confiance accordée à des boutiques applicatives légitimes. Cette confiance se révèle suffisamment forte pour masquer les tentatives d’intrusion, y compris dans les organisations les plus sensibilisées. Le rapport décrit également la prévalence accrue d’adwares, qui représentent désormais 69 % des détections mobiles. Le paysage de la cyber se recompose autour de menaces plus persistantes, plus rentables et plus adaptées aux usages du quotidien. Cette tendance touche directement les chaînes de travail hybride, qui reposent de plus en plus sur la mobilité et sur des outils de coordination en temps réel.
Des infrastructures critiques sous une pression offensive inédite
Le secteur de l’énergie concentre l’un des signaux les plus forts du rapport ThreatLabz. Il enregistre une intensification spectaculaire des attaques IoT et OT, avec une progression de 387 % en un an. Cette valeur marque un basculement net dans la manière dont les cybercriminels exploitent les systèmes industriels connectés, souvent ancrés dans des environnements hérités où coexistent équipements modernes, protocoles anciens et chaînes opérationnelles complexes. Selon les analystes, la concentration d’infrastructures critiques au sein de ce secteur agit comme un effet d’appel, attirant des acteurs opportunistes autant que des groupes organisés, chacun cherchant à perturber ou infiltrer des environnements vitaux pour les territoires.
Cette intensification ne se limite pas au domaine énergétique. L’industrie et les transports demeurent parmi les cibles les plus sollicitées, représentant ensemble plus de 40 % des attaques IoT observées. Le rapport souligne une évolution structurelle, avec un déplacement des menaces d’un secteur dominant vers plusieurs secteurs interdépendants. Cette diversification complique les stratégies de défense, car elle dilue les volumes d’attaques et multiplie les surfaces exposées. Les organisations se retrouvent confrontées à une situation où les systèmes industriels, les réseaux logistiques, les appareils connectés sur site et les infrastructures cellulaires forment un écosystème vulnérable sur toute sa longueur.
Un paysage IoT saturé par Mirai, Mozi et Gafgyt
Les environnements IoT continuent d’être fortement marqués par la domination de trois familles de maliciels historiques. Mirai reste la menace la plus active, responsable de près de 40 % des transactions malveillantes détectées. Mozi dépasse cette année Gafgyt et s’impose comme la deuxième famille la plus répandue. À eux trois, ces maliciels représentent environ 75 % de l’ensemble des charges malveillantes dans l’IoT. Leur persistance illustre la difficulté à sécuriser des appareils souvent déployés sur de longues durées, peu mis à jour, parfois dépourvus de mécanismes d’authentification modernes et rarement contrôlés en continu. Le rapport décrit un environnement où les appareils IoT constituent une cible de choix, non seulement pour infecter, mais aussi pour structurer des botnets résistants et distribués.
Les données consolidées par ThreatLabz révèlent également un rééquilibrage géographique des attaques, avec une concentration importante aux États-Unis, en Inde, en Allemagne, en Chine et à Hong Kong. Les États-Unis reçoivent 54 % du trafic malveillant lié à l’IoT, confirmant leur statut d’épicentre du phénomène. Cette concentration s’explique par la densité des appareils connectés, par la présence d’infrastructures critiques massives et par l’interconnexion profonde des réseaux industriels. Les organisations doivent composer avec des menaces capables de se déplacer rapidement entre appareils et de contourner les outils de surveillance classiques.
De nouveaux chevaux de Troie ciblant les appareils domestiques et professionnels
Au-delà des grandes familles de maliciels étudiées, l’édition 2025 du rapport ThreatLabz met en lumière de nouvelles menaces particulièrement actives. Android Void enregistre une propagation notable, avec 1,6 million d’infections sur des box TV Android, principalement en Inde et au Brésil. Cette dynamique montre que les chaînes de consommation numérique et les appareils grand public deviennent eux aussi des vecteurs d’attaque majeurs. L’étude relève également un nouveau cheval de Troie d’accès à distance nommé Xnotice, ciblant les chercheurs d’emploi dans le secteur pétrolier et gazier, avec une concentration d’attaques en Afrique du Nord et au Moyen-Orient. Ce glissement vers des attaques plus ciblées reflète une stratégie où le profil de la victime devient un paramètre central de la chaîne offensive.
Cette diversification vers des appareils domestiques et des populations professionnelles marque une tendance lourde, où les frontières entre sphères personnelle et organisationnelle s’effacent. Les environnements de travail hybride amplifient ce phénomène, car les appareils personnels reliés à des applications professionnelles ou utilisés pour accéder à des systèmes métiers deviennent des relais d’infection. Le rapport insiste sur l’évolution des modèles économiques des cybercriminels, qui s’orientent vers des systèmes de paiement mobile au détriment des fraudes par carte bancaire. Cette bascule renforce l’intérêt pour les maliciels s’installant sur les appareils privés, car ils offrent une capacité d’exploitation plus discrète et plus rentable.
Une réponse technologique qui se structure autour du Zero Trust et de la sécurité cellulaire
L’étude consacre une partie importante à l’analyse des solutions de réduction du risque, notamment celles relevant de la sécurité Zero Trust. Les experts soulignent l’importance d’une vérification continue et contextuelle des accès, indépendamment de l’emplacement des utilisateurs et de la nature des appareils. Zscaler met en avant un modèle cloud-native où l’ensemble du trafic, qu’il provienne d’un appareil mobile, d’un équipement IoT ou d’un système OT, fait l’objet d’un contrôle systématique. Cette approche repose sur une analyse permanente des comportements, sur une segmentation stricte des flux et sur l’élimination des zones plates réseau, souvent exploitées pour faciliter les mouvements latéraux.
Une autre tendance structurante concerne les environnements cellulaires IoT, qui constituent un nouveau terrain d’exposition. Le rapport met en avant une plateforme dédiée, Zscaler Cellular, conçue pour sécuriser les appareils connectés via des réseaux mobiles, particulièrement difficiles à intégrer dans les architectures de défense traditionnelles. Cette solution combine segmentation, visibilité centralisée et politiques granulaires afin d’isoler les appareils vulnérables, de limiter les surfaces d’attaque et d’améliorer la résilience opérationnelle. Cette stratégie vise à accompagner le déploiement massif des appareils IoT, tout en prévenant leur exploitation par des botnets ou des maliciels persistants.
Dans l’ensemble, le rapport ThreatLabz 2025 souligne un changement d’échelle. Les organisations doivent gérer des risques amplifiés par la densité des appareils, la sophistication des chaînes d’attaque et la diffusion de malwares parfaitement intégrés dans les usages. La sécurité de l’IoT et du mobile n’est plus un enjeu périphérique. Elle devient un pilier de la sécurité opérationnelle, au même titre que les environnements serveur ou les réseaux industriels. Les entreprises, les administrations et les fournisseurs de services doivent intégrer ces tendances dans leur stratégie de protection, en privilégiant les architectures distribuées, les politiques basées sur la vérification continue et les modèles Zero Trust adaptés aux environnements hybrides.
