Le dernier Digital Defense Report 2025 rapport de Microsoft révèle que la majorité des cyberattaques observées dans le monde sont motivées par des motifs financiers plutôt que par l’espionnage ou le sabotage. Les résultats mettent en évidence la façon dont les groupes criminels organisés exploitent les vulnérabilités des secteurs public et privé pour générer des profits, souvent par le biais de rançongiciels, de vols d’identifiants et d’extorsion de données.
Selon Microsoft, les activités à motivation financière représentent près des trois quarts de toutes les attaques analysées entre juin 2023 et juin 2024. Le rapport s’appuie sur des données recueillies sur le réseau mondial de renseignements sur les menaces de Microsoft, qui surveille plus de 78 trillions de signaux de sécurité par jour.
Le rapport montre que la cybercriminalité financière continue de surpasser les opérations parrainées par l’État, tant en ampleur qu’en fréquence. Les ransomwares et le vol d’informations restent les principales méthodes d’attaque. Ces opérations commencent souvent par des campagnes de phishing ou l’exploitation de vulnérabilités logicielles non corrigées avant de progresser vers le vol ou le chiffrement de données précieuses.
Microsoft a observé que les attaquants se sont tournés vers des campagnes de ransomware plus courtes et plus ciblées conçues pour faire pression sur les victimes pour qu’elles paient rapidement. Les groupes criminels adoptent également de plus en plus de modèles de « ransomware-as-a-service », qui permettent aux acteurs moins qualifiés techniquement d’acheter l’accès à des outils d’attaque prêts à l’emploi.
Le rapport souligne que les réseaux de criminalité financière sont désormais structurés davantage comme des entreprises traditionnelles. Ils ont des hiérarchies, des chaînes d’approvisionnement et des systèmes de communication de type support client pour coordonner les paiements et les négociations.
Augmentation du vol d’identifiants et de l’ingénierie sociale
Au-delà des ransomwares, le vol d’identifiants et l’ingénierie sociale représentent une part croissante des attaques à motivation financière. Microsoft note que les menaces basées sur l’identité sont devenues un point faible critique dans toutes les organisations. Les attaquants exploitent fréquemment l’erreur humaine en envoyant des messages de phishing convaincants, en utilisant de faux portails de connexion ou en lançant des escroqueries vocales conçues pour voler des informations d’identification.
Une fois que les attaquants ont accès à des comptes valides, ils peuvent contourner les outils de sécurité et se déplacer latéralement sur les réseaux sans être détectés. Le rapport met en garde contre le fait que cette tendance continue de s’étendre malgré l’adoption accrue de l’authentification multifacteur, ce qui suggère que les criminels font évoluer leurs techniques plus rapidement que de nombreuses organisations ne peuvent s’adapter.
Microsoft a également observé une augmentation du nombre de « courtiers en données » au sein de l’écosystème de la cybercriminalité. Ces acteurs sont spécialisés dans la vente d’identifiants volés et l’accès à des réseaux compromis, offrant un point d’entrée pour les opérateurs de ransomware et les groupes de fraude.
L’activité parrainée par l’État se poursuit, mais se concentre sur les perturbations
Alors que la cybercriminalité à motivation financière domine, les attaques parrainées par l’État restent une préoccupation majeure. Selon les conclusions de Microsoft, les opérations d’espionnage et d’information sont de plus en plus sophistiquées, en particulier celles liées à la Russie, à la Chine, à l’Iran et à la Corée du Nord.
Ces campagnes ciblent souvent les agences gouvernementales, les infrastructures énergétiques et les réseaux de télécommunications. Microsoft signale que certaines opérations visent à recueillir des renseignements, tandis que d’autres visent à causer des perturbations ou de la confusion, en particulier lors de conflits géopolitiques ou d’élections.
Les analystes de la société notent que les cyberopérations liées aux tensions géopolitiques sont de plus en plus liées aux efforts de désinformation en ligne, qui visent à manipuler la perception du public par le biais de campagnes coordonnées sur les médias sociaux.
L’intelligence artificielle dans les cyberopérations
Le rapport 2025 souligne comment l’intelligence artificielle modifie les cyberstratégies offensives et défensives. Les criminels utilisent des outils d’IA pour créer des e-mails de phishing plus persuasifs, automatiser le vol d’identifiants et développer du contenu deepfake qui améliore les tactiques d’ingénierie sociale.
Dans le même temps, les défenseurs déploient des analyses basées sur l’IA pour détecter plus rapidement les anomalies et prédire les violations potentielles. Microsoft souligne que l’IA peut aider les équipes de sécurité à traiter d’énormes quantités de données en temps réel, améliorant ainsi la réponse aux incidents et réduisant les délais de détection.
Cependant, le rapport avertit également que le recours à l’IA doit être équilibré avec la surveillance humaine. Les systèmes automatisés ne peuvent pas toujours faire la distinction entre une activité légitime et une activité malveillante, en particulier lorsque les attaquants imitent délibérément le comportement normal des utilisateurs.
Recommandations de Microsoft pour la défense
Pour lutter contre l’ampleur et la sophistication croissantes des attaques à motivation financière, Microsoft conseille aux organisations de se concentrer sur la protection de l’identité, la gestion des vulnérabilités et la sensibilisation des employés. La société recommande de mettre en œuvre l’authentification multifactorielle sur tous les comptes, de corriger rapidement les systèmes et de réduire les privilèges administratifs pour limiter l’exposition.
La formation du personnel à reconnaître les tentatives d’hameçonnage reste l’une des défenses les plus efficaces. Microsoft suggère également d’adopter un modèle de sécurité « Zero Trust », qui suppose que chaque demande d’accès peut être malveillante jusqu’à ce qu’elle soit vérifiée.
En outre, le rapport souligne la nécessité d’une coopération mondiale entre les gouvernements, les entreprises privées et les chercheurs en cybersécurité. La collaboration permet un partage plus rapide de l’information et des réponses coordonnées aux opérations de cybercriminalité à grande échelle.
Le coût croissant de la cybercriminalité
Microsoft estime que le coût économique de la cybercriminalité continuera d’augmenter fortement dans les années à venir, sous l’effet du professionnalisme croissant des réseaux criminels et de l’expansion de l’infrastructure numérique. La société note que si les menaces soutenues par l’État attirent l’attention du public, les groupes motivés par l’argent causent les dommages les plus répandus aux individus et aux entreprises.
Le rapport conclut que la résilience de la cybersécurité dépend d’une vigilance constante, d’investissements dans la prévention et du développement de systèmes de défense adaptatifs. Les attaquants affinant quotidiennement leurs méthodes, les organisations doivent traiter la cybersécurité non pas comme un projet, mais comme un processus continu qui évolue avec la technologie et le comportement humain.