Les cyberattaques n’ont jamais été aussi lucratives. D’après Microsoft, plus de la moitié des incidents étudiés en 2025 visaient à soutirer de l’argent, loin devant l’espionnage d’État. Ou comment le cybercrime prend des allures d’économie mondiale parallèle, avec ses alliances, ses entreprises… et ses relais d’influence.
Ce n’est plus une guerre de l’ombre entre services secrets. C’est un système à part entière, avec ses chaînes d’approvisionnement, ses revendeurs de données, ses prestataires et ses start-up de la compromission. Selon le Microsoft Digital Defense Report 2025, plus d’un incident sur deux (52 %) étudiés entre juin 2024 et juin 2025 par les équipes de Redmond poursuivait un objectif purement financier. L’espionnage, lui, ne représenterait que 4 % des attaques connues. En clair, la majorité des menaces qui frappent entreprises, hôpitaux ou administrations n’ont plus grand-chose d’idéologique ; elles sont juste rentables.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Le cybercrime, une économie de marché plus si souterraine
Si vous en doutiez encore, c’est bien un écosystème devenu tentaculaire que décrit Microsoft dans son rapport, où le piratage s’industrialise à coups d’automatisation et d’outils en libre accès, jusqu’à devenir une activité de masse. Les « kits » de ransomware, les générateurs de phishing et les malwares prêts à l’emploi s’échangent comme des produits logiciels classiques, avec documentation, mises à jour et service après-vente.
Un modèle de cybercriminalité à la carte qui permet désormais à des acteurs peu expérimentés de lancer des attaques à grande échelle sans grandes compétences techniques, et que l’essor de l’intelligence artificielle ne fait d’ailleurs qu’amplifier. Les modèles génératifs permettent de rédiger des messages d’hameçonnage crédibles, de créer de faux sites ou de produire des deepfakes à la volée. L’IA sert aussi à détecter plus vite les vulnérabilités et à générer du code malveillant capable de s’adapter à son environnement, si bien que les attaques gagnent en volume comme en efficacité, touchant sans distinction grandes entreprises, PME, hôpitaux ou collectivités locales.
Chaque jour, Microsoft affirme ainsi bloquer environ 4,5 millions de nouveaux malwares, filtrer 5 milliards de mails piégés et analyser plus de 100 000 milliards de signaux pour détecter les anomalies. Une échelle de traitement qui donne la mesure du phénomène.
Mais derrière cette déferlante technologique se profile surtout un modèle structuré où la compromission est devenue un produit d’appel, la donnée un actif négociable : on vole, on revend, on chiffre, on menace, et si la victime refuse de payer, on met les données en vente. Les infostealers, désormais déployés dès les premières phases d’intrusion via malvertising, logiciels craqués ou techniques comme ClickFix, alimentent en continu ce cycle de revente, aspirant identifiants, cookies et tokens pour approvisionner les places de marché du dark web, où s’échangent les accès compromis comme des biens de consommation.
Des acteurs malveillants toujours plus organisés
Parallèlement, la plupart des campagnes de rançongiciel actuelles ont revu leur méthode. Environ 79 % des incidents observés impliquent au moins un outil de gestion à distance pour maintenir un accès persistant dans les réseaux infectés et prendre le contrôle des machines. Plus de 40 % mêlent environnements locaux et cloud pour s’adapter aux infrastructures hybrides actuelles, et dans 82 % des cas, une exfiltration massive de données est constatée, matière première même de l’extorsion.
Dans le prolongement de ce glissement opérationnel, on voit aussi émerger des acteurs hybrides, capables de combiner vol de données, infiltration et extorsion directe. Une tendance qu’illustrent des regroupements récents comme celui des Scattered Lapsus$ Hunters, nés de la fusion de Scattered Spiders, ShinyHunters et Lapsus$, qui auraient participé à la compromission de Salesforce, récupérant d’immenses volumes de données qu’ils tentent désormais de monnayer après l’échec des négociations avec les entreprises concernées. Dans la même dynamique, LockBit, Qilin et DragonForce ont officialisé un partenariat inédit pour mutualiser leurs infrastructures et relancer leurs campagnes d’extorsion à grande échelle. Une forme d’intégration horizontale qui traduit à la fois une volonté de puissance et une rationalisation des coûts, avec partage d’outils, de canaux de diffusion et de ressources techniques.
Plus inquiétant encore, certains groupes exploitent à présent des leviers d’extorsion ouvertement immoraux. Le collectif Radiant, par exemple, a revendiqué le piratage d’une chaîne de crèches londonienne et menacé de publier les photos et adresses de plusieurs milliers d’enfants, dans l’unique but d’obtenir une rançon.
Ces exemples traduisent la maturité d’un écosystème dorénavant autonome. Les forums comme BreachForums, même démantelés, renaissent ailleurs sous d’autres noms, dans des formats plus fermés et temporaires. Ces espaces assurent la continuité des échanges, la circulation des accès, la coordination des attaques et parfois même les « relations publiques » entre groupes. Un marché noir devenu réseau d’entreprises, où chacun occupe une fonction précise dans la chaîne de valeur du crime numérique et assure sa propre logistique.
Espionnage, influence et géopolitique de la menace
Face à cette machine économique, la répartition géographique des impacts en dit long sur les (dés)équilibres mondiaux. Les données Microsoft, issues de sa propre télémétrie, montrent que les États-Unis, le Royaume-Uni et Israël figurent en tête des pays où les environnements liés à ses services ont été le plus souvent touchés au premier semestre 2025. À titre informatif, la France se place au douzième rang mondial et au quatrième européen, représentant autour de 6,1 % des incidents observés en Europe. Il faut lire ces chiffres comme un indicateur d’exposition au sein de l’écosystème Microsoft, pas comme une mesure exhaustive de toutes les attaques mondiales.
Mais derrière les chiffres et les infrastructures compromises, une autre cartographie se dessine, moins économique que géopolitique. Car si la majorité des attaques obéissent à une logique d’opportunité, certaines répondent à des intérêts d’État, avec des objectifs d’espionnage, de déstabilisation ou d’influence. De ce point de vue, le rapport de Microsoft précise surtout quelles cibles intéressent les États-acteurs. L’espionnage a continué de privilégier les cibles classiques – les infrastructures IT (26 %), la recherche et les universités (14 %), les administrations (12 %) et les think tanks ou ONG (7 %) – là où se concentrent données sensibles, propriété intellectuelle et influence stratégique.
Quelques opérations ont visé des secteurs industriels de défense pour dérober des informations à valeur économique, et un nombre plus restreint encore avait pour objectif le sabotage ou l’extorsion à visée politique. Une révélation a toutefois retenu l’attention cette année, avec la découverte d’un vaste dispositif nord-coréen visant à insérer des travailleurs IT à distance au sein d’organisations étrangères, une menace qui combine risques de sanctions, espionnage et extorsion.
États-refuges et entreprises cybermercenaires, une diplomatie sous tension
Autre point majeur, et c’est ici que la dimension politique prend le dessus, Microsoft met en lumière l’existence d’États-refuges (safe havens) où des groupes de ransomware opèrent en quasi-impunité, parfois tolérés, parfois instrumentalisés. Le rapport va même plus loin, évoquant la possibilité de désigner certains de ces pays comme des « sponsors du ransomware », à l’image des États considérés comme « sponsors du terrorisme », avec les stigmates et pénalités que cela impliquerait. Un positionnement non neutre, en ce qu’il déplace la responsabilité hors du seul champ technique et l’inscrit dans la diplomatie numérique.
Enfin, la firme alerte sur la montée d’un marché privé de capacités offensives. Ces « cybermercenaires », catégorie dans laquelle entrent des sociétés bien connues comme NSO Group, Candiru ou Cytrox, vendent logiciels espions, services d’intrusion et prestations de hacking, évoluent dans des zones grises juridiques et jouent des frontières pour échapper à la régulation. Pour y répondre, Microsoft plaide pour davantage de transparence, de sanctions ciblées et pour des partenariats public-privé renforcés. Le rapport cite des initiatives déjà actives, comme la Counter Ransomware Initiative et la Ransomware Task Force, ainsi que le Pall Mall Process porté par le Royaume-Uni et la France, qui a produit un premier code de bonne conduite pour encadrer les activités commerciales liées au hacking et à la vente de spywares.
Bref, la conclusion est limpide. Et politique. La lutte contre le ransomware et contre les marchés de la compromission ne se gagnera pas à coups de correctifs et de signatures antivirus. Elle suppose une coopération internationale réelle, des cadres juridiques solides et une transparence qui fasse enfin peser un coût sur les États et acteurs qui hébergent ou facilitent ces activités. Et sur ce point, au regard de la situation géopolitique actuelle, il reste encore beaucoup à faire.
Source : Microsoft
