L’intelligence artificielle est désormais au cœur de la chaîne de valeur cybercriminelle. Des outils tels que FraudGPT, WormGPT, ou encore BlackmailerV3 permettent de générer à la volée des courriels d’hameçonnage personnalisés, des codes malveillants, des lettres d’extorsion ou des documents frauduleux. Le recours à des deepfakes vocaux ou vidéo, rendus possibles par des solutions comme ElevenLabs ou DeepFaceLab, favorise les escroqueries ciblées.
Ce phénomène abaisse considérablement le ticket d’entrée dans le cybercrime : il n’est plus nécessaire de disposer de compétences techniques avancées pour lancer des attaques sophistiquées. La dernière étude de FortiGuard Labs sur l’état de la menace cyber en 2025 dresse un constat sans ambiguïté : les assaillants prennent une longueur d’avance. Le rapport note qu’en 2024, plus de 100 milliards d’enregistrements d’identifiants volés ont circulé sur les forums clandestins, en hausse de 42 % sur un an. Cette prolifération est largement alimentée par l’essor de maliciels de type infostealer, comme Redline ou Vidar, proposés à bas prix sur le darknet.
La prolifération de campagnes de reconnaissance automatisée
Autre tendance marquante : la prolifération des campagnes de reconnaissance automatisée. Les attaquants ont multiplié les scans d’infrastructures à grande échelle afin d’identifier des services vulnérables et des failles exploitables. Fortinet enregistre en moyenne 36 000 tentatives de scan par seconde, soit une augmentation de 16,7 % par rapport à 2023. Ces scans ciblent des protocoles largement utilisés, comme SIP ou RDP, ainsi que des systèmes industriels ou des objets connectés. Dès qu’une vulnérabilité est publiée, les attaquants peuvent agir en quelques jours, voire quelques heures, avant même que les correctifs ne soient appliqués.Cette célérité s’accompagne d’une professionnalisation accrue. Le modèle du Cybercrime-as-a-Service s’impose partout. Les assaillants achètent désormais l’accès initial à des systèmes compromis auprès de courtiers spécialisés, appelés Initial Access Brokers, qui commercialisent des connexions VPN, des interfaces RDP ou des comptes administrateurs d’entreprises ciblées. Ces services, combinés à des kits d’exploitation et des plateformes de rançongiciels, permettent une répartition des rôles et une segmentation poussée des chaînes d’attaque. Treize nouveaux groupes spécialisés en rançongiciel sont apparus en 2024, bien que les quatre plus importants concentrent encore plus d’un tiers
des attaques observées.
L’IoT parmi les cibles privilégiées
Les cibles privilégiées restent les infrastructures insuffisamment protégées ou notoirement vulnérables. Les objets connectés, souvent mal sécurisés, constituent une porte d’entrée idéale. En 2024, 20 % des tentatives d’exploitation concernaient des équipements IoT, en particulier des routeurs Netcore, TP-Link ou D-Link, ainsi que des caméras GoAhead ou des pare-feu Zyxel. Ces dispositifs sont utilisés pour installer des portes dérobées, propager des maliciels ou orchestrer des attaques plus larges. Dans les environnements cloud, les compromissions d’identité restent fréquentes : dans 70 % des incidents étudiés, une connexion inhabituelle a constitué le point de départ de l’intrusion. Les attaquants exploitent ensuite les API mal protégées et les droits excessifs pour progresser discrètement et exfiltrer des données.La phase post-exploitation révèle également une plus grande complexité. Les outils comme SparkRAT ou AsyncRAT permettent aux cybercriminels de conserver un contrôle persistant sur les systèmes infectés, en exfiltrant des données ou en déployant d’autres charges utiles. Le protocole RDP reste au cœur des mouvements latéraux, présent dans 88 % des incidents analysés. Les manipulations d’Active Directory via les techniques DCShadow ou DCSync deviennent courantes, tout comme l’usage de canaux chiffrés tels que le DNS tunneling pour les communications de commande et de contrôle.
Utiliser la gestion continue de l’exposition aux menaces
Dans ce contexte, Fortinet appelle à une rupture stratégique. Il ne s’agit plus de réagir à des incidents, mais d’anticiper les actions des assaillants. L’entreprise recommande de mettre en œuvre une gestion continue de l’exposition aux menaces (CTEM), en surveillant en permanence la surface d’attaque, en automatisant les tests de vulnérabilité, en hiérarchisant les risques selon leur exploitabilité réelle, et en intégrant une détection comportementale avancée dans l’ensemble des environnements, y compris le cloudet les actifs IoT.
La menace évolue à une vitesse algorithmique. Elle est modulaire, furtive, et industrialisée. Face à elle, les dispositifs de sécurité doivent s’adapter, se synchroniser et, eux aussi, tirer parti de l’automatisation. Comme le rappelle le rapport, les prochaines cyberattaques seront déclenchées par des agents intelligents, et souvent bien avant que leur présence ne soit détectée.
