D’attaque opportuniste, la cybermenace s’est transformée en 2025 en une chaîne industrielle articulant cloud public, équipements réseau, applications Web et systèmes OT. Le rapport Forescout « 2025 Threat Roundup » met en évidence un basculement vers l’exploitation automatisée des vulnérabilités, une dilution géographique des infrastructures d’attaque et une exposition croissante des environnements industriels et de santé.
Le rapport analyse plus de 900 millions d’événements collectés via des pots de miel spécialisés, des milliers d’échantillons de maliciels analysés, ainsi qu’une base de près de 900 groupes de menace. Les données sont issues d’environnements hybrides – IT, OT, IoT, IoMT – reproduisant la diversité des actifs exposés dans les organisations. Ce périmètre large permet de suivre l’évolution des chaînes d’attaque, du scan initial aux mouvements latéraux, et d’identifier les nouvelles pratiques des attaquants dans la durée.
La répartition des flux malveillants illustre la dilution géographique du risque : les dix principaux pays d’origine ne concentrent plus que 61 % du trafic en 2025, contre 73 % trois ans plus tôt. Mais le véritable changement réside dans l’exploitation des infrastructures : 24 % des attaques sont aujourd’hui lancées depuis des hébergeurs ou des clouds publics, contre seulement 10 % un an auparavant. Amazon, Google, DigitalOcean ou Contabo représentent ensemble plus de 15 % du trafic observé. Le rapport précise : « Le contexte du système autonome reste un indicateur de risque plus fort que le pays d’origine », soulignant que l’identification de l’opérateur réseau (ASN) est désormais prioritaire pour filtrer et qualifier les alertes SOC.
L’exploitation des vulnérabilités supplante le vol d’identifiants
Le mode d’accès initial aux systèmes évolue. Les applications Web deviennent la cible principale, concentrant 61 % du trafic d’attaque, soit vingt points de plus en un an. Cette évolution traduit la montée en puissance des campagnes automatisées visant des vulnérabilités connues ou récemment publiées. Les protocoles d’administration distante (RDP, SSH, VNC, Telnet) ne représentent plus que 15 % des attaques, alors qu’ils en totalisaient 33 % en 2024.
L’année 2025 se distingue également par un volume inédit de vulnérabilités recensées : 46 636 failles publiées (+16 %), 107 zero-days, et une multiplication par plus de deux des vulnérabilités intégrées dans le catalogue KEV de Vedere Labs. Les équipements réseau, pare-feu, routeurs et VPN concentrent 19 % des vulnérabilités activement exploitées, contre seulement 3 % en 2022. Les applications Web demeurent en tête à 49 %, mais voient leur part baisser au profit de l’infrastructure périmétrique. Le rapport recommande explicitement de « prioriser la preuve d’exploitation active en complément de la sévérité CVSS », précisant que 71 % des failles exploitées échappent encore au radar des catalogues officiels.
Cloud public, pare-feu, OT, chaîne industrielle de l’attaque
Les chaînes d’attaque intègrent désormais toutes les couches techniques des entreprises. Les attaques ciblant les protocoles industriels (OT) augmentent de 84 %, avec Modbus à 57 % du total, et l’automatisation industrielle représentant 86 % des cas observés. Les équipements IoT et les caméras connectées jouent un rôle croissant de relais technique. Les analystes insistent : « Surveiller les flux des actifs OT est devenu aussi critique que pour les actifs IT » — une alerte sur la nécessité de visibilité complète, quelle que soit la nature de l’infrastructure.
Après l’intrusion initiale, la phase de reconnaissance occupe une place centrale : 91 % des commandes exécutées concernent l’exploration du système (CPU, mémoire, utilisateurs, processus), contre 84 % en 2024. Les attaquants investissent plus de temps dans la cartographie des actifs, prolongeant la fenêtre de détection mais préparant aussi des déplacements latéraux plus précis et rapides. Selon Forescout, « les attaquants passent davantage de temps à explorer avant d’agir », preuve d’une approche industrielle rationalisée.
Secteurs critiques : de l’incident informatique au risque opérationnel
Cette chaîne industrielle cible en priorité les secteurs à haute criticité. Le nombre de groupes de menace actifs croît de 16 % dans l’industrie manufacturière, de 13 % dans la santé et de 6 % dans l’énergie. La base d’incidents du CISSM recense 1 189 événements publics dans 95 pays, les cybercriminels étant responsables de près de six fois plus d’incidents que les acteurs étatiques. Dans la santé américaine, 622 violations de données touchent 44,8 millions de personnes, soit en moyenne 71 996 victimes par incident. « Près de 60 % des brèches concernent des données stockées sur des serveurs réseau », alerte le rapport, soulignant la criticité de ces environnements souvent négligés.
Cette évolution oblige les DSI et RSSI à dépasser le découpage classique IT/OT et à penser la cybersécurité comme une discipline de gestion de l’exposition. Du cloud à l’automate industriel, l’attaque s’orchestre désormais comme une chaîne complète, automatisée et transversale. Les bénéfices métiers se mesurent en détection précoce, réduction du temps d’exposition, et capacité à préserver la continuité d’activité face à des attaques conçues pour franchir sans friction l’ensemble du système d’information.
