Une guerre silencieuse se déroule dans le monde entier. Contrairement aux guerres conventionnelles, elle n’a pas de frontières claires, pas d’ennemi unique et pas de champ de bataille défini. La cybercriminalité a évolué au-delà du simple vol numérique ; elle est devenue une menace pour la sécurité nationale, brouillant les frontières entre la criminalité financière, l’espionnage parrainé par l’État et la guerre. Alors, comment évolue la cybercriminalité à l’échelle mondiale ? Quels sont les nouveaux modes opératoires des cybercriminels et comment les organisations peuvent-elles se prémunir contre ces menaces grandissantes ? Alors que les tensions géopolitiques s’intensifient et que les attaques se diversifient, il est essentiel de comprendre les tendances qui façonnent ce paysage en perpétuelle mutation. Le Group-IB, spécialiste de la cybersécurité, dévoile dans son Rapport 2025 une analyse détaillée des menaces numériques émergentes, des secteurs les plus ciblés et des stratégies mises en place pour contrer ces attaques.
La criminalité numérique n’a jamais été aussi agressive et sophistiquée. Ces conflits » cachés » ont pris une ampleur stupéfiante. Les tensions géopolitiques exacerbent la menace, alimentant une recrudescence de l’hacktivisme. L’Ukraine est devenue la cible privilégiée en Europe, subissant une vague d’attaques visant à déstabiliser ses institutions. Les groupes de menaces persistantes avancées (APT) ont vu leur activité augmenter de 58 %, impactant lourdement le continent européen. Il explique comment les cybercriminels ne sont plus de simples acteurs indépendants à la recherche de profits, mais sont désormais cooptés par des États-nations pour mener des activités d’espionnage, déstabiliser des économies et même soutenir des opérations militaires. Il ne s’agit pas seulement d’une histoire de pirates informatiques et de données volées, mais de la manière dont la cybercriminalité façonne la politique et la sécurité mondiales.
En parallèle, le modèle économique du Ransomware-as-a-Service (RaaS) connaît une expansion fulgurante. En 2024, les invitations à rejoindre ces programmes criminels ont progressé de 44 %, facilitant la prolifération des attaques par ransomware à une échelle inédite. De plus, les systèmes de fraude se multiplient en Europe, ciblant en particulier les services financiers, qui représentent 34 % des plus de 200 000 escroqueries mondiales identifiées.
Ces tendances alarmantes démontrent l’urgence d’adopter une approche proactive en matière de cybersécurité. La cybercriminalité évolue rapidement et menace les infrastructures critiques, les entreprises et les citoyens. Face à cette escalade, il est essentiel de renforcer les défenses numériques et de sensibiliser les organisations aux nouvelles formes d’attaques.
Le Group-IB dévoile son Rapport 2025 sur la criminalité numérique
Le Group-IB, acteur majeur dans le développement de technologies de cybersécurité, présente son Rapport 2025 sur les tendances de la criminalité numérique. Fondé sur des recherches approfondies, des enquêtes de terrain et des renseignements issus de son réseau mondial de Centres de Lutte contre la Cybercriminalité (DCRC), ce rapport fournit une analyse détaillée des menaces actuelles et de leur impact sur les entreprises et les particuliers.
En collaborant étroitement avec les autorités policières internationales et nationales, le Group-IB propose une vision unique sur l’activité cybercriminelle. En 2024, l’entreprise a participé à huit opérations majeures couvrant plus de 60 pays, contribuant à l’arrestation de 1 221 cybercriminels et au démantèlement de plus de 207 000 infrastructures malveillantes.
Pourquoi ne pas profiter d’une lecture illimitée de UP’ ? Abonnez-vous à partir de 1.90 € par semaine.
Les violations de données et les activités sur le darkweb restent un défi de taille, les cybercriminels utilisant des identifiants subtilisés pour infiltrer les réseaux d’entreprise et les comptes personnels. En 2024 uniquement, plus de 6,4 milliards d’informations ont été divulguées, notamment des adresses e-mail, des mots de passe et des données financières. Les « Underground Clouds of Logs » (UCL) sont devenus un élément clé dans l’économie de la cybercriminalité, et permettent aux cybercriminels de se procurer à moindre coût d’importants volumes de données compromises. La disponibilité croissante de ces données alimente de nouvelles cyberattaques, ce qui impose de renforcer les pratiques de cybersécurité dans tous les secteurs.
L’impact des tensions géopolitiques sur les cybermenaces
Le rapport met en évidence une augmentation de 58 % des attaques menées par des groupes APT (Advanced Persistent Threats) en 2024, avec une hausse notable des cyberattaques déployées par des États en Europe (+18,24 %), au Moyen-Orient et en Afrique (+4,27 %). Ces attaques sont souvent liées à des conflits internationaux, notamment entre la Russie et l’Ukraine ou entre Israël et la Palestine.
Les principaux secteurs visés comprennent :
- Les institutions gouvernementales et militaires (15,50 % des attaques)
- L’industrie manufacturière (4,80 %)
- Les services financiers (3,80 %)
- Les technologies de l’information (3,50 %)
Le hacktivisme s’est également intensifié, exploitant les tensions politiques et sociales pour mener des attaques perturbatrices. L’Ukraine (16,9 % des attaques) est la principale cible en Europe, devant la Russie (5 %). Cette dernière a toutefois été attaquée plus fréquemment que l’Ukraine (3,5 %), illustrant l’ampleur du cyberconflit entre ces nations.
L’hacktivisme (contraction de « hacking » et « activisme ») désigne une forme de militantisme politique ou social basé sur des activités de piratage informatique, dans le but d’attirer l’attention sur un conflit ou de promouvoir des idées spécifiques. L’objectif principal de l’hacktivisme est de nuire à la réputation d’adversaires ou de mettre leurs ressources hors service. Les méthodes d’attaque les plus courantes sont les attaques DDoS visant à rendre les ressources inaccessibles, le défacement de sites web pour promouvoir les idées ou principes du groupe, ainsi que la publication de données compromises pour infliger des dégâts réputationnels. Contrairement aux acteurs malveillants motivés par l’appât du gain ou soutenus par des États, le travail des hacktivistes est rendu public. Ces derniers sont actifs sur les réseaux sociaux et certains groupes possèdent leur propre site web. Ces ressources contiennent des informations sur les valeurs et les objectifs du groupe, des rapports sur les attaques orchestrées, des outils pour perpétrer des attaques, etc. Les hacktivistes utilisent également les réseaux sociaux pour coordonner leurs campagnes.
La plupart des groupes hacktivistes agissent dans un but politique, notamment dans le contexte des conflits en cours (Israël-Palestine et Russie-Ukraine). Bien souvent, ces groupes ciblent les pays directement impliqués dans les conflits, mais aussi les nations perçues alliées.
De fait, l’Inde est devenue une cible de choix pour les attaques hacktivistes. Cette tendance peut être attribuée à plusieurs facteurs, notamment les tensions régionales
entre l’Inde et ses pays voisins. En outre, l’Inde a souvent été la cible de groupes hacktivistes pro-palestiniens en raison de sa position diplomatique et du resserrement
de ses relations avec Israël. La situation est exacerbée par les actions de divers groupes hacktivistes indiens dirigées contre des organisations de soutien à la Palestine, ce qui désigne l’Inde comme la cible idéale de cyberattaques en guise de représailles.
Hausse des escroqueries et du phishing en Europe
Les escroqueries jouent sur les émotions des victimes et sur un sentiment d’urgence afin de leur soutirer des informations personnelles ou financières, bien souvent en
usurpant le nom et l’image de marques légitimes et populaires. Bien souvent, ces escroqueries tirent avantage de périodes de forte demande, en ciblant principalement les clients de plateformes populaires pour la réservation hôtelière, ainsi que les comparateurs de billets.
D’autres secteurs, dont l’énergie, les services financiers, la logistique et les télécommunications, représentaient plus de 35 % des escroqueries détectées en 2024.
Cible éternelle des escrocs, le secteur de la logistique reste une préoccupation majeure, comme en témoigne la célèbre arnaque Classiscam.
Les fraudes en ligne ont augmenté de 22 % en 2024, avec plus de 200 000 ressources frauduleuses identifiées. Les services financiers (34 % des fraudes), les transports (25 %) et les institutions gouvernementales et militaires (17 %) sont les secteurs les plus touchés.
Les fraudes les plus répandues incluent les arnaques à l’investissement, les escroqueries sentimentales, les faux services de livraison, les fraudes au support technique et les loteries frauduleuses.
Le phishing reste un vecteur majeur d’attaque, avec une augmentation de 22 % du nombre de sites de phishing en 2024 (80 000 identifiés). Les cybercriminels ciblent principalement la logistique (25,3 %), le tourisme (20,4 %) et les services Internet (16,4 %). En Europe, le tourisme (57,6 %) est le secteur le plus vulnérable, notamment pendant les périodes de forte affluence.
Pour lutter contre la désinformation et privilégier les analyses qui décryptent l’actualité, rejoignez le cercle des lecteurs abonnés de UP’
Les cybercriminels exploitent également l’intelligence artificielle pour générer des deepfakes et contourner les systèmes de sécurité, facilitant ainsi l’accès à des données sensibles.
Le Ransomware-as-a-Service (RaaS) en pleine expansion
Dans le paysage numérique actuel, les ransomwares s’imposent comme l’une des menaces les plus redoutables pour les entreprises du monde entier. Ces malwares ne se contentent pas de chiffrer des données critiques pour les rendre inaccessibles, mais exigent également de fortes rançons pour leur restitution, ce qui place souvent les organisations dans une position intenable. En outre, le marché noir des ransomwares évolue de façon tentaculaire, et se caractérise par l’émergence de programmes d’affiliés « Ransomware-asa-Service » (RaaS), de sites dédiés aux fuites (DLS) qui exposent publiquement les données volées, et par le rôle des IAB, qui facilitent l’intrusion dans les réseaux ciblés. Résultat : nous avons affaire à un écosystème complexe et menaçant, qui propose des attaques toujours plus accessibles pour les cybercriminels.
Les programmes d’affiliés ou de partenariat à destination des cybercriminels, connus sous le nom de « Ransomware-as-a-Service » (RaaS), consistent pour leurs membres à prendre part à des missions spécifiques au sein de réseaux cybercriminels, généralement l’introduction et le déploiement de ransomwares dans des environnements d’entreprise. Ces programmes ont beaucoup évolué au fil des ans. Au départ, les affiliés étaient sélectionnés en fonction de leur expérience et de leur accès aux réseaux d’entreprise. Aujourd’hui, le fonctionnement se rapproche davantage de celui des grandes entreprises.
En 2024, Group-IB a identifié 39 publicités pour des programmes RaaS sur des forums du darkweb. Toujours en 2024, le nombre d’offres proposant de rejoindre des programmes d’affiliés RaaS était en hausse de 44 % par rapport à 2023.
Les DLS sont des sites sur lesquels sont publiées des données volées à des entreprises qui refusent de payer la rançon exigée. Les spécialistes de Group-IB ont analysé les DLS utilisés par divers groupes de ransomware et ont identifié environ 5 066 attaques publiées sur des DLS en 2024, contre 4 583 en 2023, soit une hausse de 10 %. Le nombre total d’attaques de ransomware dans le monde est probablement beaucoup plus élevé : certaines organisations décident en effet de payer la rançon, tandis que certains groupes ne mettent pas à exécution leurs menaces.
Le modèle « Ransomware-as-a-Service » (RaaS) continue de croître, avec une augmentation de 44 % des offres destinées aux affiliés en 2024. Cette expansion s’accompagne d’une hausse de 10 % des fuites de données liées aux attaques par ransomware. Les principaux acteurs dans ce domaine sont LockBit et RansomHub.
Les cybercriminels ciblent principalement l’industrie manufacturière, provoquant un effet domino en perturbant la chaîne d’approvisionnement et les activités en aval.
Le darkweb : un marché en plein essor
Le commerce illégal sur le darkweb est en pleine expansion, notamment avec l’augmentation de 15 % des opérations menées par les Initial Access Brokers (IAB), qui vendent des accès frauduleux à des systèmes d’entreprise. Ces courtiers d’accès initial (IAB) sont des acteurs malveillants qui accèdent aux systèmes informatiques d’entreprises avec pour but de vendre cet accès sur le darkweb. L’accès initial au système d’une entreprise peut avoir pour but le vol de ses données, l’espionnage de ses activités ou l’installation de malwares au sein de l’infrastructure à d’autres fins malveillantes.
Au cours de l’année 2024, Group-IB a détecté un total de 3 055 annonces sur le darkweb pour la vente d’accès à des systèmes informatiques d’entreprise, soit une
augmentation de 15 % par rapport à 2023 (2 646). Cette flambée inclut notamment 1 218 cas en Amérique du Nord, soit une augmentation de 43 % par rapport à 2023.
Toutefois, les autres régions ne sont pas non plus épargnées, et l’on constate une hausse de 32 % en Europe et 41 % en Amérique latine, avec des chiffres globalement similaires d’une année à l’autre dans les régions Asie-Pacifique, Moyen-Orient et Afrique. Le Royaume-Uni, avec une augmentation de 19,50 %, est la première cible européenne.
Sur le darkweb, les principaux IAB sont SGL, Kot Ucheniy (ou Wise Cat, « Кот Ученый » en russe), ainsi que sandocan, qui totalisent à eux seuls 146, 91 et 81 cas détectés, respectivement.
Les fuites de données restent une menace majeure, avec plus de 6,4 milliards de données compromises en 2024, incluant des e-mails, mots de passe et informations financières, facilitant ainsi les intrusions dans les systèmes.
Hôtes compromis
Les identifiants et données sensibles provenant d’appareils compromis sont souvent vendus sur le darkweb pour servir de porte d’entrée aux opérateurs de ransomware, aux attaquants soutenus par un État et à d’autres acteurs malveillants. Les « Underground Clouds of Logs » (UCL) sont une importante source d’informations confidentielles compromises, généralement obtenues via des malwares de vol de données. Ces services, souvent mis à disposition contre une somme modique, voire gratuitement, permettent à des acteurs moins qualifiés d’accéder à des données précieuses sans avoir à recourir à des techniques plus complexes, comme le phishing ou l’exploitation d’applications publiques.
Grâce aux services UCL, les cybercriminels peuvent se concentrer sur l’identification de comptes valides pour l’accès à des services internes, ou d’identifiants légitimes pour l’accès à des services distants externes, en fonction de l’organisation ciblée. Les hôtes infectés par des stealers, en particulier ceux dont les utilisateurs disposent d’un accès aux informations de l’entreprise, peuvent servir de points d’entrée pour des attaques organisées contre les réseaux de l’entreprise.
Fuites de données
En 2024, 1 107 nouveaux cas de fuites de données dans le domaine public ont été décelés en Europe. Ces incidents ont entraîné la compromission de plus de 6,4 milliards de chaînes de données utilisateurs.
Parmi les données divulguées, les adresses e-mail, les numéros de téléphone et les mots de passe présentent le risque le plus élevé, car ils peuvent être exploités par des
acteurs malveillant pour différents types d’attaques. Sur l’ensemble des données ayant fuité, plus de 6,5 milliards de saisies contenaient des adresses e-mail, dont près de 2,5 milliards étaient uniques. En outre, près de 456 millions de fuites concernaient des mots de passe, dont 161 millions étaient uniques, et plus de 3,3 milliards de saisies contenaient des numéros de téléphone, dont près de 631 millions étaient uniques.
Une cybercriminalité interconnectée et en pleine mutation
Dmitry Volkov, PDG de Group-IB, souligne l’urgence de renforcer la cybersécurité : « Les cybercriminels exploitent les vulnérabilités et les instabilités géopolitiques pour cibler des industries critiques. APT, violations de données, phishing et ransomwares ne sont pas des menaces isolées, mais interconnectées. Il est impératif que les organisations adoptent des stratégies de sécurité avancées pour prévenir ces menaces avant qu’elles ne s’aggravent. »
Les défis à venir : la démondialisation et la complexité croissante de la cybercriminalité
La démondialisation croissante complique les enquêtes transfrontalières sur la cybercriminalité, car les barrières juridiques et juridictionnelles entravent l’échange de renseignements et la collaboration internationale. Les cybercriminels tirent parti de cette situation, et exploitent des infrastructures anonymes, des cryptomonnaies et des systèmes financiers décentralisés pour échapper aux services de police. En outre, l’intelligence artificielle accélère la sophistication des cyberattaques, avec une prévalence accrue du phishing alimenté par l’IA, de l’ingénierie sociale à base de deepfakes et des malwares adaptatifs. L’expansion rapide du cloud computing, du
télétravail et de l’IoT a contribué à élargir la surface d’attaque, exposant les entreprises et les infrastructures critiques à des cybermenaces plus complexes et de plus grande ampleur.
Nombre d’organisations peinent encore à mettre en oeuvre de stratégies de cybersécurité efficaces, et les attaquants s’empressent d’exploiter les vulnérabilités subséquentes.
La voie à suivre : renforcer la cybersécurité mondiale
Pour contrer ces menaces en constante évolution, les organisations doivent adopter des stratégies de sécurité axées sur le renseignement, qui intègrent une threat intelligence en temps réel, des mécanismes de défense alimentés par l’IA et des frameworks de sécurité proactifs. La sensibilisation et la formation à la cybersécurité doivent être renforcées contre le phishing et l’ingénierie sociale, qui restent d’importants vecteurs d’attaque. En vue d’améliorer leur résilience, les entreprises doivent mettre en oeuvre des mesures de sécurité robustes, telles que l’authentification multifacteur, la détection et la réponse aux points d’accès (EDR), ainsi que les architectures Zero Trust. La collaboration entre les secteurs public et privé est essentielle pour démanteler les réseaux cybercriminels transnationaux. Ainsi, les gouvernements et services de police doivent travailler en étroite collaboration avec les entreprises de cybersécurité pour faciliter l’échange de renseignements et renforcer l’application des lois. Face à l’essor de la cybercriminalité, les investissements stratégiques, la coopération internationale et les approches sécuritaires adaptatives seront essentiels pour construire un cyberespace plus sûr pour les entreprises et pour la société en général.
À l’horizon 2025, le paysage de la cybersécurité sera encore plus dynamique. Les ransomwares et les tactiques employées dans le cadre des APT vont évoluer, ce qui
poussera les défenseurs à plus de proactivité et à adopter des approches davantage basées sur le renseignement. La fragmentation de l’environnement mondial nous poussera à consolider notre threat intelligence, tandis que les évolutions réglementaires et technologiques détermineront notre capacité d’adaptation aux risques émergents. Ces défis considérables offrent des possibilités d’innovation et de collaboration, et redéfiniront nos méthodes de lutte contre la cybercriminalité, aujourd’hui comme à l’avenir.
De nombreux obstacles se dressent sur la route. La démondialisation croissante complique la lutte contre la cybercriminalité. Les enquêtes transfrontalières et l’échange de renseignements se heurtent de plus en plus aux différences entre juridictions, et les cybercriminels n’hésitent pas à exploiter la situation.
Pour relever ces défis, des efforts concertés et des investissements stratégiques sont indispensables. Pour les responsables de la cybersécurité, la priorité doit être de mettre en place des défenses robustes et agiles, ainsi que d’intégrer la threat intelligence à tous les niveaux de leurs opérations. Du côté des gouvernements et des services de police, la coopération interjuridictionnelle et l’appui aux partenariats public-privé seront essentiels pour démanteler les réseaux cybercriminels transnationaux et protéger les sociétés à travers le monde. A l’exemple de l’ONU qui a adopté un traité contre la cybercriminalité visant à harmoniser les lois nationales et améliorer la ccopération internationale.
Méthodologie : Le rapport du Group-IB sur les tendances de la criminalité high-tech est une analyse annuelle, basée sur des données, de l’évolution du paysage de la cybercriminalité. Group-IB s’appuie sur une approche « glocale », qui combine une menace intelligence au niveau local et une vision analytique globale, pour fournir des informations concrètes qui permettent aux organisations du monde entier de renforcer leur posture de sécurité.
Le rapport s’appuie sur une recherche exclusive, la collecte de renseignements ainsi que des enquêtes réelles en cybercriminalité. Les experts de Group-IB, affectés à des zones sensibles de la cybercriminalité, suivent les acteurs malveillants à l’aide d’outils uniques dédiés à la surveillance du darkweb, des sites dédiés aux fuites (DLS) et des places de marché clandestines. Chaque année, nos chercheurs identifient et confirment les tendances qui caractérisent les menaces APT, l’hacktivisme, les opérations de ransomware, les IAB, les hôtes compromis, les fuites de données, les attaques de phishing et autres escroqueries.
Grâce à la mise en correspondance des attaques liées avec le framework MITRE ATT&CK et à l’analyse des tactiques, techniques et procédures (TTP) des cybercriminels, Group-IB est non seulement en mesure d’analyser les cybermenaces passées, mais également de fournir des prévisions très précises sur les risques à venir. Cette approche prédictive a été validée depuis la création du rapport en 2012, ce qui en fait une ressource essentielle pour les entreprises, les gouvernements et les équipes de cybersécurité du monde entier.
