Les cyberattaques gagnent en intensité et en sophistication, touchant en priorité les administrations publiques, les transports et les infrastructures critiques constate le dernier rapport de l’ENISA sur le paysage des menaces.
Les réseaux de l’administration publique demeurent la cible privilégiée des cyberattaques, représentant 38 % des incidents recensés, selon le dernier rapport de l’ENISA sur le paysage des menaces.
Ces attaques émanent principalement de hacktivistes et de groupes d’intrusion étatiques. Le secteur des transports attire également une attention croissante, notamment le transport maritime et la logistique, désormais considérés comme des secteurs à forte valeur ajoutée.
Le secteur aérien a été confronté à plusieurs perturbations majeures causées par des rançongiciels, tandis que les infrastructures et services numériques restent des cibles stratégiques pour les cybercriminels, que ce soit pour le chantage économique ou pour des opérations de cyberespionnage.
“Les activités alignées sur les objectifs russes continuent d’avoir un impact sur les États membres de l’UE au-delà du cyberespace. En novembre 2024, la Cour constitutionnelle roumaine a annulé les résultats du premier tour de la présidentielle après que ses services de renseignement aient présenté des conclusions déclassifiées selon lesquelles des cyberattaques auraient été liées à la Russie.”
L’IA, accélérateur du cybercrime
L’intelligence artificielle s’impose désormais comme un facteur déterminant dans l’évolution du paysage des menaces. Début 2025, plus de 80 % des campagnes d’hameçonnage observées dans le monde étaient déjà assistées par l’IA. Les cybercriminels exploitent des modèles jailbreakés, des médias synthétiques et des techniques d’empoisonnement de modèles, renforçant considérablement leur efficacité opérationnelle.
Les groupes malveillants vont jusqu’à détourner des IAG (intelligences artificielles génératives) en créant des variantes comme WormGPT, EscapeGPT ou FraudGPT, capables d’automatiser des campagnes d’ingénierie sociale ou d’accélérer le développement d’outils malveillants.
“Des systèmes d’intrusion liés à la Chine, à l’Iran et à la RPDC ont été signalés utilisant des solutions d’IA, notamment Gemini de Google et ChatGPT d’OpenAI, principalement comme assistants de recherche pour accroître la productivité et la détection d’anomalies.”
Le phishing et l’exploitation des vulnérabilités en tête
Le phishing demeure le principal vecteur d’intrusion, représentant 60 % des attaques, et se perfectionne grâce à des techniques de plus en plus sophistiquées déployées dans des campagnes à grande échelle.
L’exploitation des vulnérabilités reste également un levier majeur d’accès initial (21,3 % des cas), les cybercriminels s’appuyant sur les failles publiques quelques jours seulement après leur divulgation. Cette tendance souligne l’urgence de garantir la disponibilité des correctifs et de renforcer l’application des mesures de cybersécurité de base.
Une professionnalisation accélérée des attaquants
Le rapport de l’ENISA met en évidence une industrialisation croissante des activités malveillantes. Le cybercrime s’appuie désormais sur de véritables chaînes de valeur organisées, comparables à celles d’entreprises légitimes.
Le modèle “as-a-service” proposant les rançongiciels, kits de phishing ou extracteurs de données sont désormais proposés à la location dans un modèle de type SaaS, abaissant les barrières d’entrée et élargissant le vivier d’attaquants.
Des développeurs, opérateurs de campagne, négociateurs de rançon, logisticiens de l’infrastructure et blanchisseurs d’argent opèrent chacun dans leur domaine d’expertise, améliorant l’efficacité globale.
Les groupes échangent des vulnérabilités, des accès initiaux ou des modules d’IA sur des marchés clandestins, accélérant le rythme d’innovations d’attaques et réduisant les coûts.
La génération massive de mails de phishing personnalisés, amélioration itérative des attaques, détection autonome des failles multiplie la vitesse et la portée des offensives.
Certains groupes disposent désormais de véritables “équipes support” et de plans de continuité, capables de relancer des opérations même après une intervention policière.
Les attaques intègrent des logiques de rentabilité, avec calculs de retour sur investissement et adoption systématique de la double extorsion (paiement de rançon et la menace de divulgation publique).
Vers une pression convergente
Dans son ensemble, le paysage décrit par l’ENISA révèle une évolution vers une pression hybride et convergente. Les incidents isolés à fort impact laissent place à des campagnes continues, diversifiées et coordonnées, qui fragilisent progressivement la résilience des organisations et des États.
“À l’avenir, les cybermenaces devraient s’intensifier selon trois axes : la convergence, l’automatisation et l’industrialisation. L’IA accélérera les cycles d’innovation offensive, permettant le développement rapide de campagnes et des techniques de tromperie plus efficaces. L’exploitation abusive des cyberdépendances restera une priorité stratégique, tandis que la persistance du cyberactivisme et des campagnes de désinformation continuera d’influencer la perception du public et les débats politiques” concluent les auteurs.
