Le rapport Global Threat Report 2026 de CrowdStrike dresse un bilan détaillé des cybermenaces observées en 2025. Les attaquants y gagnent en vitesse et en discrétion, en s'appuyant sur l'intelligence artificielle pour automatiser et affiner leurs opérations.
En 2025, les intrusions ont changé de nature. En fait, 82% des attaques détectées par CrowdStrike ne faisaient appel à aucun logiciel malveillant, contre 51% en 2020. Les adversaires passent désormais par des identifiants valides, des outils d'administration légitimes et des flux d'authentification autorisés. Au final, cela leur permet de se fondre dans le trafic réseau normal sans déclencher les alertes classiques.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
L'IA entre dans la boîte à outils des attaquants
Les groupes ayant intégré l'IA à leurs opérations ont augmenté leur volume d'attaques de 89% par rapport à 2024. L'intelligence artificielle leur sert à automatiser le phishing, à accélérer la reconnaissance réseau et bien sûr, à générer du code malveillant sans nécessiter de compétences techniques avancées. Des modèles comme WormGPT, dépourvus des garde-fous présents dans les assistants grand public, ont ainsi servi à produire deux variants de ransomware : FunkLocker et RALord.
Le groupe russe FANCY BEAR est allé plus loin avec un malware baptisé LAMEHUG. Ce dernier intègre directement un modèle de langage pour effectuer des tâches de reconnaissance. Plutôt que de coder des instructions en dur, le logiciel envoie des requêtes prédéfinies à un modèle IA qui génère les commandes à exécuter. CrowdStrike précise toutefois que LAMEHUG ne surpasse pas les malwares classiques en termes d'efficacité : le rapport y voit davantage une phase d'expérimentation plutôt qu'une opération à grande échelle.
La conséquence directe de cette accélération : le "breakout time" est tombé à 29 minutes en moyenne, soit 65% plus rapide qu'en 2024. Il s'agit du délai entre l'accès initial et le déplacement de l'attaquant vers d'autres systèmes du réseau. La durée minimale enregistrée sur l'année était de 27 secondes. Crowdstrike ajoute avoir aussi observé une exfiltration de données quatre minutes seulement après la compromission initiale.
Corée du Nord, Chine et ransomwares : les menaces de 2025
En février 2025, le groupe nord-coréen PRESSURE CHOLLIMA a dérobé 1,46 milliard de dollars en cryptomonnaie à la plateforme Bybit. Ils ont compromis SafeWallet, une solution de gestion d'actifs numériques. Pour cette attaque, ils ont injecté du code JavaScript malveillant dans l'interface de transactions pour rediriger des fonds vers un portefeuille contrôlé par les attaquants, avant de restaurer le code d'origine pour effacer toute trace. Comme de plus en plus souvent, l'attaque s'est donc déroulée sur la chaîne d'approvisionnement logicielle, en ciblant le prestataire plutôt que la cible finale.
Du côté des groupes liés à la Chine, CrowdStrike recense une hausse de 38% des intrusions en 2025, avec +85% dans le secteur logistique et +30% dans les télécommunications. Ces acteurs ciblent en priorité les équipements réseau (pare-feux, VPN, passerelles) pour s'y implanter durablement avant de progresser vers les systèmes internes. Dans 40% des cas d'exploitation de vulnérabilités, ce type d'équipement était la porte d'entrée. Plusieurs groupes ont transformé de nouvelles failles en armes offensives en seulement deux à six jours après leur divulgation publique.
Côté ransomware, PUNK SPIDER a dominé l'activité criminelle avec 198 intrusions documentées sur l'année, soit +134% par rapport à 2024. Sa méthode repose sur le chiffrement à distance de données via des partages réseau SMB, le protocole Windows permettant l'accès à des fichiers partagés depuis une autre machine. Le rapport cite un autre incident dans lequel une webcam d'entreprise non mise à jour a servi de point de départ pour déployer le ransomware Akira, preuve que les équipements oubliés dans les réseaux professionnels restent exploitables.
