Le rapport annuel de Mimecast décrypte un paysage de la cybermenace en pleine transformation grâce à l’exploitation systématique des services légitimes, l’ingénierie sociale dopée à l’IA, le ciblage sectoriel fin et la pression croissante sur les environnements collaboratifs. Dans ce paysage hyperconnecté, les entreprises doivent repenser leur stratégie défensive en combinant gouvernance humaine et sécurité multicouche.
L’étude Global Threat Intelligence Report 2025 de Mimecast, issue de l’analyse de plus de 24 000 milliards d’événements, dresse une cartographie précise des évolutions tactiques observées sur les neuf premiers mois de l’année. Elle met en lumière l’industrialisation des attaques basées sur la confiance, l’utilisation stratégique de l’IA générative dans les campagnes d’hameçonnage, et l’explosion des compromissions via les plateformes collaboratives. Ces tendances dessinent une menace qui ne repose plus uniquement sur les failles logicielles mais s’insinue au cœur des usages métiers, des outils quotidiens et des automatismes humains.
Trois phénomènes se croisent désormais dans la majorité des campagnes analysées : la standardisation des attaques via des services de confiance (LOTS), l’exploitation des comportements humains par des contenus synthétisés par l’IA, et l’adaptation des groupes malveillants aux spécificités sectorielles. Ce triptyque impose un réarmement organisationnel à la hauteur des nouvelles techniques adverses.
Les services de confiance deviennent le vecteur d’attaque dominant
Le phénomène LOTS, pour Living Off Trusted Services, devient la norme dans les chaînes d’attaque modernes. Les cybercriminels exploitent massivement des plateformes telles que DocuSign, Adobe Sign, PayPal, Intuit, Salesforce, ou Google Drive pour diffuser des courriels piégés, des liens détournés ou des pièces jointes piégées. Ces services bénéficient d’un fort capital de confiance, ce qui leur permet de contourner les filtres classiques et d’atteindre directement les boîtes de réception des collaborateurs. DocSend, par exemple, est passé en tête des services les plus détournés en 2025.
Mimecast souligne l’utilisation croissante de redirections, de fichiers SVG malicieux et de QR codes dans des documents hébergés sur des plateformes légitimes. Ces contenus échappent aux contrôles classiques, tout en s’intégrant parfaitement dans les flux opérationnels de l’entreprise. Résultat : la détection devient plus difficile, l’attaque plus crédible, et la remédiation plus lente. Les campagnes BEC (compromission de courriels professionnels) s’insèrent de plus en plus dans ces environnements légitimes pour manipuler, détourner ou extorquer les destinataires.
Des attaques BEC plus vicieuses grâce à l’IA générative
Le rapport met en évidence une bascule vers une compromission conversationnelle automatisée. Les messages frauduleux ne se limitent plus à des formulations maladroites ou standardisées : ils sont désormais construits comme de véritables dialogues, avec un fil de courriels simulé, des noms crédibles, des réponses simulées par IA, et parfois des appels téléphoniques appuyés par des voix synthétiques. Cette évolution est portée par des groupes comme Scattered Spider, qui exploitent aussi des kits d’attaque de type adversaire-au-milieu (AiTM) pour intercepter identifiants et jetons d’authentification.
Un autre mode opératoire en forte croissance est celui des attaques « ClickFix », en hausse de 500 % selon Mimecast. L’utilisateur est incité à copier un script malveillant dans un terminal local, croyant résoudre un dysfonctionnement. Cette forme d’ingénierie sociale, déguisée en solution technique, renforce la porosité entre usages légitimes et compromission active. Les campagnes actuelles ciblent aussi les chaînes RH (fiches de paie, bonus, notifications de performance) et les services comptables (faux changements de RIB, demandes de règlements urgentes), démontrant une compréhension fine des circuits internes.
Chaque secteur devient une cible sur-mesure
L’étude détaille les profils de menaces par secteur d’activité, révélant un affinage des campagnes selon les processus métiers. Dans l’immobilier, l’urgence transactionnelle et la multiplicité des intervenants rendent le secteur vulnérable au hameçonnage ciblé. Dans l’industrie ou les médias, la priorité est donnée aux maliciels, en particulier les rançongiciels, en raison de la valeur des chaînes logistiques et de la propriété intellectuelle. Les éditeurs logiciels sont ciblés par des compromissions d’administrateurs, notamment via les outils de support à distance comme ScreenConnect ou TeamViewer.
Mimecast révèle également une exploitation croissante des plateformes marketing ou RH pour diffuser des campagnes d’hameçonnage via des envois en masse, notamment via Benchmark, MailerLite ou Zoho. Les attaquants segmentent désormais leurs attaques par canal, typologie d’acteur et timing décisionnel, afin d’optimiser leur taux de succès. Ce ciblage granulaire brouille les repères et exige une analyse comportementale intégrée au pilotage de la sécurité.
Les environnements collaboratifs exposent des années d’intelligence interne
Les plateformes de collaboration comme Microsoft Teams, SharePoint ou OneDrive deviennent des réservoirs critiques pour les attaquants. Une fois un compte compromis, l’accès à ces environnements donne accès à des historiques de discussions, des documents stratégiques et des liens internes qui peuvent être réexploités. Mimecast précise que 96 % des contenus malveillants détectés dans ces environnements proviennent de la catégorie « formations et outils », suggérant une exploitation ciblée des documents pédagogiques ou des ressources partagées.
Au-delà de la dissémination de maliciels, les attaquants tirent parti de la persistance des données pour cartographier les processus, comprendre les relations hiérarchiques et construire des attaques personnalisées. Le rapport met en garde contre les faux PDF, les redirections imbriquées, et les techniques de contournement (obfuscation, CAPTCHA, URL raccourcies) utilisées pour s’implanter durablement. Une gouvernance des droits d’accès, couplée à une supervision fine des partages, devient essentielle.
Le facteur humain, pivot de la résilience cyber
Face à la sophistication des attaques et à l’érosion de la frontière entre infrastructures internes et services tiers, le rapport insiste sur la nécessité de basculer vers une gestion du risque humain. Cela passe par une formation contextualisée, une simulation régulière des attaques (phishing, deepfake, fraude au président), mais aussi par des politiques de séparation des pouvoirs et de vérification multicanal des ordres sensibles.
Le recours à l’IA est aussi un double tranchant. Il renforce la capacité offensive des attaquants, mais peut également être mobilisé pour renforcer les défenses, à condition d’en maîtriser les usages. Mimecast recommande une approche multicouche, intégrant détection comportementale, gestion des vulnérabilités, contrôle des accès, et supervision des environnements collaboratifs. La résilience passe aussi par la reconnaissance du facteur humain comme premier rempart, et non comme maillon faible.
En définitive, l’édition 2025 du rapport de Mimecast confirme un basculement de la cybersécurité vers une logique de gestion distribuée, pilotée par l’anticipation et la capacité à détecter les signaux faibles dans un environnement où la légitimité peut être instrumentalisée. La réponse ne peut plus être uniquement technique : elle doit être systémique, gouvernée, et intégrée aux processus métiers.
