Le rapport annuel mondial sur la réponse aux incidents dévoile les principales conclusions et tendances émergentes de plus de 500 cyberattaques majeures auxquelles l’Unité 42 a répondu touchant de grandes organisations aux prises avec l’extorsion, les intrusions réseau, le vol de données, les menaces persistantes avancées et bien plus encore dans 38 pays et dans toutes les principales industries.

Le rapport fournit de nombreuses données et informations sur des sujets tels que :

Les attaquants exfiltrent les données à une vitesse alarmante, avec près de 20% des incidents où des données sont volées en moins d’une heure ;

L’ampleur et l’impact des attaques assistées par l’IA, ainsi que l’évolution des boîtes à outils et des tactiques des acteurs menaçants ;

La montée des cas de menaces internes, notamment de Corée du Nord, lequel a triplé en 2024 ; et

Les motivations des cyberattaques, l’évolution de leur approche avec la perturbation comme principale tactique d’extorsion : 86 % des incidents en 2024 ont entraîné des temps d’arrêt opérationnels, une atteinte à la réputation, ou les deux.

Ce qu’il faut retenir du rapport 2025 de l’Unit 42

L’Unit 42 identifie plusieurs grandes tendances qui redéfinissent le paysage des menaces :

L’Unit 42 a connu une évolution des incidents induisant une interruption opérationnelle intentionnelle.

Le rapport révèle que 86 % des incidents impliquent une interruption des activités – allant des temps d’arrêt opérationnels aux atteintes à la réputation – soulignant l’importance croissante accordée au sabotage plutôt qu’au vol de données.

Les attaquants se déplacent beaucoup plus rapidement.

La rapidité des intrusions s’accélère, amplifiée par l’automatisation et des outils de piratage plus performants, laissant aux défenseurs peu de temps pour réagir. Dans 25 % des cas, les attaquants ont exfiltré des données dans les 5 heures, soit un taux 3 fois plus rapide qu’en 2021 lorsque l’exfiltration se produisait en moins de 15 heures.

Dans presque 20 % des incidents, l’exfiltration s’est produite en moins d’une heure.

Des progrès en matière de détection et de réponse

Le temps médian d’exposition (combien de temps les attaquants restent non détectés) s’établit à 7 jours en 2024, contre 13 jours en 2023 et 26,5 jours en 2021. Cette tendance à la baisse suggère que les organisations améliorent leur capacité à détecter et à répondre aux cybermenaces.

Des techniques d’attaque évolutives

L’exfiltration de données se déplace vers le cloud – 45% des cas ont vu des données volées être transférées vers le stockage cloud, ce qui rend plus difficile leur suivi et leur arrêt. Les attaques sur la chaîne d’approvisionnement logicielle et le cloud augmentent en fréquence et en sophistication. Dans le cloud, les attaquants s’infiltrent souvent dans des environnements mal configurés pour analyser de vastes réseaux à la recherche de données précieuses. Dans une campagne, des attaquants ont scanné plus de 230 millions de cibles uniques pour identifier des informations sensibles.

Les attaques multi-vectorielles sont la norme – 70% des incidents ciblent trois surfaces d’attaque ou plus, obligeant les équipes de sécurité à défendre les terminaux, les réseaux, les environnements cloud et le facteur humain simultanément.

Le phishing est de retour comme point d’entrée n°1 – 23 % des attaques ont commencé par du phishing, car GenAI rend les campagnes de phishing évolutives, plus difficiles à détecter et à contrer. Il s’agit d’un changement notable par rapport à l’année dernière, où les vulnérabilités constituaient le principal vecteur d’accès initial.

Les navigateurs Web sont une faiblesse majeure – 44 % des incidents impliquaient une activité malveillante lancée ou facilitée par les navigateurs des employés via l’hameçonnage, les redirections malveillantes et les téléchargements de logiciels malveillants.

Les organisations font face à un risque accru de menaces internes, notamment avec des États-nations comme la Corée du Nord qui ciblent des entreprises pour voler des informations et financer leurs initiatives nationales. Les cas de menaces internes liés à la Corée du Nord ont triplé en 2024. avec des acteurs nord-coréens parrainés par l’État infiltrant des organisations par le biais de faux programmes d’emploi informatique, volant des données, introduisant des portes dérobées et adaptant le code source.

Les attaques cloud sont en augmentation – Près de 29 % des cyber-incidents proviennent d’environnements cloud, et 21 % causent des dommages opérationnels à des environnements ou des actifs cloud, les acteurs malveillants s’intégrant dans des environnements mal configurés pour analyser de vastes réseaux à la recherche de données précieuses.

Les attaques assistées par l’IA amplifient l’ampleur et la vitesse des intrusions – l’IA accélère chaque étape des cyberattaques, du hameçonnage automatisé aux logiciels rançonneurs. Dans une attaque simulée menée par des chercheurs de l’Unit 42, l’IA a réduit le temps médian d’exfiltration de 2 jours à seulement 25 minutes.

Pourquoi les cyberattaques réussissent : les attaquants exploitent la complexité, le manque de visibilité et la confiance excessive

La complexité met à mal l’efficacité de la sécurité : Les organisations utilisent plus de 50 outils de sécurité, mais beaucoup ne parviennent pas à les intégrer, créant des silos, un manque de visibilité que les attaquants exploitent. 75 % des incidents contenaient des preuves dans les journaux, mais les silos empêchaient la détection.

Le manque de visibilité permet aux attaques de ne pas être détectées : Les actifs non gérés et le manque de surveillance en temps réel donnent aux attaquants une marge de manœuvre. 40% des incidents proviennent de problèmes liés aux outils de sécurité et la gestion.

Une confiance excessive rend les attaques encore plus dévastatrices : Les comptes trop permissifs et les contrôles d’accès faibles permettent un mouvement latéral facile. 41 % des attaques ont exploité des privilèges excessifs, permettant des mouvements latéraux et une escalade des privilèges.

Des architectures de sécurité fragmentées, des actifs non gérés et des comptes aux permissions excessives offrent aux attaquants l’espace dont ils ont besoin pour opérer.

Alors comment faire face à ces défis ? L’Unit 42 prodigue quelques conseils.

Accélérer l’adoption du modèle Zero Trust, en réduisant la confiance implicite dans tout l’écosystème.

Sécuriser les applications et les environnements cloud dès le développement et jusqu’à l’exécution, en corrigeant rapidement les mauvaises configurations et les vulnérabilités.

Renforcer les opérations de sécurité, avec une visibilité consolidée sur les journaux des infrastructures on-premises, cloud et terminaux, ainsi que des mécanismes d’automatisation pour détecter et contrer les menaces plus rapidement.