Acronis publie son étude semestrielle « Rapport Acronis sur les cybermenaces, 2e semestre 2025 : Des exploits à l’IA malveillante » qui analyse l’activité mondiale des menaces sur la base de métriques collectées par Acronis Threat Research Unit (TRU) et les capteurs Acronis. Ce rapport met en lumière les principales tendances observées tout au long de l’année 2025, avec un focus particulier sur le second semestre.
Les données confirment l’augmentation continue des cyberattaques. Les attaques par e-mail progressent de 16 % par organisation et de 20 % par utilisateur sur un an. Le phishing demeure le principal vecteur d’intrusion, à l’origine de 52 % des attaques ciblant les fournisseurs de services managés (MSP). Parallèlement, les attaques avancées visant les plates-formes collaboratives sont passées de 12 % en 2024 à 31 % en 2025, signe d’un basculement vers des canaux secondaires à fort impact.
Principales tendances de cybersécurité en 2025 :
- Abus de PowerShell : outil légitime le plus fréquemment détourné à l’échelle mondiale, en particulier en Allemagne, aux États-Unis et au Brésil.
- Phishing omniprésent : au second semestre 2025, le phishing représentait 83 % de l’ensemble des menaces par e-mail.
- Vulnérabilités MSP à haut risque : toutes les vulnérabilités CVE des plates-formes MSP divulguées en 2025 étaient classées graves ou critiques, malgré leur nombre limité.
- IA opérationnelle : les cybercriminels ont intégré l’IA dans leurs processus d’attaque quotidiens, notamment pour la reconnaissance, la négociation de ransomwares et l’ingénierie sociale.
- Pays les plus touchés : l’Inde, les États-Unis et les Pays-Bas ont enregistré les taux les plus élevés d’infections massives et de déplacements latéraux. La Corée du Sud est le
- pays le plus touché par les malwares, avec 12 % d’utilisateurs affectés.
Secteurs sous pression : l’industrie, la technologie et la santé figurent parmi les secteurs les plus ciblés par les ransomwares, en raison des contraintes de disponibilité et de la complexité de leurs environnements distribués.
L’année 2025 a également été marquée par une hausse spectaculaire de la cybercriminalité dopée à l’IA. Les acteurs de la menace ont exploité l’IA pour déployer des attaques à grande échelle, automatiser la reconnaissance et optimiser les stratégies d’extorsion. Ainsi, GLOBAL GROUP a utilisé des systèmes basés sur l’IA pour gérer efficacement les négociations de ransomware auprès de plusieurs victimes simultanément, tandis que GTG-2002 s’est appuyé sur l’IA pour la reconnaissance et l’exfiltration de données pour maximiser l’incidence de son attaque. Même les attaques d’ingénierie sociale ont évolué : des arnaques au kidnapping virtuel ont utilisé l’IA pour générer de fausses « preuves de vie », pour accentuer la pression sur les victimes. Ces innovations marquent le début d’une nouvelle ère de la cybercriminalité, où la vitesse, la sophistication et l’ampleur des attaques mettent à l’épreuve les modèles de défense traditionnels.
« Les cybermenaces ont évolué toujours plus rapidement durant l’année 2025. Les hackers ne se contentent plus d’amplifier des méthodes classiques comme le phishing ou les ransomwares : ils exploitent désormais l’IA pour agir plus vite, plus efficacement et à plus grande échelle »,explique Gerald Beuchelt, CISO chez Acronis. « Cette intégration croissante de l’IA marque un tournant pour le paysage de la cybersécurité. Les organisations doivent anticiper les menaces, automatiser leurs défenses et renforcer la résilience de leurs systèmes face aux attaques fois traditionnelles mais également optimisées par l’IA.”
Les ransomwares continuent de dominer cette sombre réalité. Près de 150 MSP et opérateurs télécoms ont été directement ciblés, et plus de 7 600 victimes ont été publiquement recensées dans le monde. Qilin (962 victimes), Akira (726) et Cl0p (517) sont les groupes de ransomwares les plus actifs. Les secteurs de l’industrie, de la technologie et de la santé ont très majoritairement été visés et les États-Unis enregistrant le plus grand nombre de victimes (3 243). De nouveaux groupes ont également émergé au second semestre 2025, notamment Sinobi, TheGentlemen et CoinbaseCartel.
Les attaques visant la chaîne logistique et les MSP restent une préoccupation majeure. Les hackers ont abusé d’outils RMM tels qu’AnyDesk et TeamViewer, pour toucher plus de 1 200 victimes tierces ou de la chaîne logistique. Là encore, les États-Unis ont été les plus exposés avec 574 victimes. Akira et Cl0p figurent parmi les principaux acteurs de ces attaques, soulignant le risque persistant pour les MSP et leurs clients.
