Rétrospective

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🔍 Contexte Publié le 30 mars 2026 par OpenSourceMalware.com, cet article constitue une rétrospective complète de la campagne supply chain orchestrée par TeamPCP en mars 2026. L’attaque a débuté par un incident de moindre ampleur en février 2026 et s’est transformée en la compromission en cascade de cinq écosystèmes majeurs en l’espace de cinq jours. 🎭 Acteur de la menace TeamPCP (alias DeadCatx3, PCPcat, ShellForce) est un groupe à motivation financière, spécialisé dans les environnements cloud-native. Il est lié à l’opération de ransomware CipherForce et entretient des liens de coordination confirmés avec LAPSUS$, selon le CTO de Mandiant Charles Carmakal lors de la RSA Conference. Le groupe est suivi par Aikido Security, Socket, Wiz, Flare et d’autres. ...

🗓️ Contexte Source : OFCS (Office fédéral de la cybersécurité, Suisse), rétrospective hebdomadaire publiée le 17 mars 2026. L’article relate une tendance observée par les autorités suisses suite à de nombreux signalements d’entreprises. 🎯 Description de la menace De plus en plus d’entreprises contactent l’OFCS après avoir reçu des e-mails contenant de fausses factures. La chaîne d’infection repose sur une structure en deux couches : Une pièce jointe au format ZIP est envoyée par e-mail Le fichier ZIP contient un fichier HTML présentant une facture apparemment légitime 🕵️ Technique de dissimulation Le fichier HTML affiché ne contient aucun lien visible, aucun élément suspect apparent, et ne déclenche pas d’alerte immédiate. Cette apparence anodine est délibérément conçue pour inspirer confiance et contourner la vigilance des destinataires. L’OFCS souligne les efforts importants déployés par les attaquants pour dissimuler la nature malveillante de leurs attaques. ...

Source: VulnCheck — Exploit Intelligence Report 2026. Ce rapport rétrospectif et chiffré dresse le panorama de l’exploitation des vulnérabilités en 2025 (500+ sources, 2 douzaines d’indices VulnCheck), en priorisant l’exploitation in‑the‑wild, la maturité des exploits et le comportement des attaquants. Chiffres clés et tendances 48 174 CVE publiées en 2025 (83% avec identifiant 2025) ; ~1% exploitées in‑the‑wild à fin 2025. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), mais >98% restent des PoC non weaponized ; 417 exploits weaponized (majoritairement privés/commerciaux). 884 vulnérabilités ajoutées au VulnCheck KEV en 2025 (47,7% avec identifiant 2025) ; 28,96% exploitées le jour de la publication CVE ou avant. Ransomware: 39 CVE 2025 attribuées, 56,4% découvertes via exploitation zero‑day ; 1/3 sans exploit public/commercial au 01/2026. Montée du bruit IA: prolifération de faux/faux‑positifs PoC générés par IA, contaminant l’écosystème (ex: premiers PoC React2Shell non fonctionnels largement relayés). Vulnérabilités phares 2025 ...

Selon Google Threat Intelligence Group (GTIG), cette rétrospective 2025 couvre 90 vulnérabilités zero‑day exploitées, met l’accent sur les techniques observées et évoque comment l’IA pourrait accélérer le paysage des vulnérabilités. 📈 Tendances clés. Pour la première fois, l’exploitation attribuée aux fournisseurs de surveillance commerciale (CSV) dépasse celle des groupes étatiques traditionnels, illustrant la démocratisation de l’accès aux zero‑days via ces vendeurs et leurs clients. Les groupes d’espionnage liés à la Chine (PRC‑nexus) demeurent toutefois les plus prolifiques parmi les acteurs étatiques (au moins 10 zero‑days, davantage qu’en 2024 mais moins qu’en 2023), ciblant surtout des équipements réseau/edge difficiles à surveiller (ex. CVE‑2025‑21590 par UNC3886, CVE‑2025‑0282 par UNC5221) et montrant une réduction du temps entre divulgation publique et exploitation de n‑days. À l’inverse de 2024, aucun zero‑day n’a été attribué à des groupes nord‑coréens en 2025. ...

Selon Computer Weekly, citant le rapport de la Google Threat Intelligence Group (GTIG) « Look what you made us patch: 2025 zero-days in review », les fournisseurs de surveillance commerciale (CSV) ont dépassé les acteurs étatiques dans l’exploitation initiale des zero-days en 2025. Sur 42 zero-days uniques suivis où la première exploitation a été attribuée, 15 l’ont été à des CSV, 12 à des acteurs étatiques (dont 7 liés à la Chine), et 9 à des cybercriminels motivés financièrement. GTIG relève en plus 3 zero-days « probablement » exploités par la Chine, et 1 à l’intersection crime/État. Les CSVs renforcent leur OPSEC tout en élargissant l’accès aux exploits zero-day à davantage d’acteurs; le cas Intellexa est cité pour l’adaptation continue de ses opérations et de son outilset. ...

Source et contexte — VulnCheck: Le « VulnCheck Exploit Intelligence Report 2026 » rétrospecte l’exploitation des vulnérabilités en 2025 sur la base de 500+ sources et de jeux de données maison (KEV, XDB, Canaries). L’objectif est de prioriser le « ground truth » d’exploitation réelle plutôt que le bruit généré par la masse de CVE et de PoC, notamment dopée par l’IA. • Chiffres clés (2025) 🚨 48 174 CVE publiées dont 83% avec identifiant 2025; ~1% réellement exploitées dans la nature en fin d’année. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), majoritairement des PoC publics (≈98%). 884 nouvelles vulnérabilités ajoutées au VulnCheck KEV (47,7% datées 2025) ; 29% exploitées le jour ou avant la publication CVE (vs 23,6% en 2024). 39 CVE ransomware en 2025, dont 56,4% issues de 0‑day; 1/3 sans exploit public/commercial au 01/2026. Baisse marquée des botnets (-53% de CVE ciblées), mais montée en puissance de RondoDox; Mirai en déclin. • Vulnérabilités marquantes 🧩 ...

Source : billet de blog personnel (février 2026). Contexte : un instructeur de plongée et ingénieur plateforme relate la découverte (avril 2025) d’une faille critique d’authentification sur le portail membres d’un grand assureur de plongée immatriculé à Malte, puis son parcours de divulgation coordonnée et la réponse juridique reçue. • La vulnérabilité reposait sur des identifiants utilisateur numériques séquentiels utilisés pour la connexion et un mot de passe par défaut statique non imposé au changement lors de la première connexion, sans limitation de débit, verrouillage de compte ni MFA. Cela permettait d’accéder aux données personnelles (nom, adresse, email, téléphone, date de naissance) d’utilisateurs, y compris de mineurs. Le chercheur a confirmé le minimum nécessaire et a cessé ses vérifications. Divulgation initiale le 28 avril 2025 avec embargo de 30 jours (jusqu’au 28 mai 2025). ...

Source: Office fédéral de la cybersécurité (OFCS) – Rapport annuel 2025 (publié le 16 février 2026). Contexte: bilan des actions 2025, consolidation des processus, mise en œuvre de l’obligation de signalement et développement des capacités nationales en cybersécurité. 📊 Chiffres et faits saillants 2025 64 733 signalements volontaires de cyberincidents (grand public et entreprises) 222 signalements d’attaques reçus dans le cadre de la nouvelle obligation de signaler (LSI/OCyS) Environ 1 600 organisations et >6 000 utilisateurs sur le Cyber Security Hub (CSH); 39 échanges en ligne, ~400 participants en moyenne 4 615 événements techniques échangés via MISP; 30 nouveaux exploitants critiques intégrés Bug Bounty fédéral: 525 signalements reçus, 328 validés, ~260 000 CHF de primes versées Dépenses OFCS: 18,4 M CHF (dont 1,8 M pour le CSH; 0,5 M pour Bug Bounty) 🧭 Cadre légal et opérations ...