Selon l’ENISA (European Union Agency for Cybersecurity), dans son rapport Threat Landscape 2025 (période juillet 2024 – juin 2025, 4 875 incidents), le paysage européen des menaces se professionnalise et s’industrialise, avec une exploitation rapide des vulnérabilités, une forte prévalence des campagnes de phishing, et une montée des DDoS hacktivistes à faible impact.

  • Les vecteurs d’intrusion dominants: phishing (≈60%) – souvent sans charge utile immédiate – et exploitation de vulnérabilités (21,3%) – très corrélée au déploiement de code malveillant. Les botnets (9,9%) et les applications malveillantes (8%) restent notables. L’intrusion suit (17,8% des cas) derrière un volume massif de DDoS (≈76,7%), surtout attribués à des hacktivistes. Les campagnes exploitent fréquemment des failles en quelques jours.

  • Le cybercrime reste central, avec le ransomware au cœur: décentralisation post‑actions des forces de l’ordre, RaaS en expansion, fuites de builders et courtiers d’accès. Les variantes les plus visibles incluent notamment Akira, SafePay, Qilin, tandis que les fuites de données alimentent les marchés criminels. Les infostealers (ex. Lumma) restent des catalyseurs majeurs d’accès et de vol d’identifiants. Des tactiques de pression plus agressives émergent (minutage, menaces légales), et des outils anti‑EDR/« bring your own vulnerable driver » sont observés.

  • Les activités état‑alignées s’intensifient dans l’espionnage (télécoms, logistique, manufacturing) avec compromissions de chaîne d’approvisionnement, frameworks furtifs et abus de drivers signés. Les hacktivistes représentent près de 80% des incidents, surtout des DDoS à faible impact, souvent synchronisés avec des événements politiques/électoraux. Côté secteurs, l’administration publique (≈38%) est la plus visée, tandis que le transport (notamment aérien, maritime, logistique) et les infrastructures/services numériques sont des cibles de choix.

  • Les dépendances numériques sont ciblées: fournisseurs tiers, dépôts open‑source (packages npm malveillants), extensions de navigateur trojanisées. La mobilité est très exposée (Android bancaires/espions, exploitation de SS7/Diameter au niveau opérateur). L’IA devient structurante: >80% des campagnes d’ingénierie sociale observées s’y appuieraient (modèles jailbreakés, deepfakes, empoisonnement), et des PhaaS (ex. Darcula, Lucid) industrialisent le phishing (incluant quishing). Le rapport note aussi l’usage d’ORB/proxies résidentiels et l’abus de modèles/chaînes IA (poisoning, « slopsquatting ») comme nouvelle surface d’attaque.

  • Vulnérabilités et TTPs: 42 595 nouvelles CVE sur la période (+27%), avec une majorité exploitable à distance (réseau); 245 failles ajoutées au KEV CISA. Les attaquants ciblent régulièrement applications périmétriques (Confluence, Exchange/Proxy*, Citrix NetScaler, VPN/UTM, PaperCut, TeamCity, ActiveMQ, vCenter, Zimbra) et exploitent des élévations locales (PwnKit, CLFS). L’ENISA cartographie les TTPs (MITRE ATT&CK) autour de la découverte, l’exécution via interpréteurs/script, la persistance (services Windows, registres, comptes), l’exfiltration et l’impact (chiffrement/sabotage). Le rapport conclut à une pression convergente, continue et diversifiée sur la résilience de l’UE.

IoCs et TTPs

  • IoCs: aucun indicateur technique (IPs, domaines, hachages) spécifique n’est fourni dans l’extrait.
  • Familles/acteurs mentionnés (exemples, non exhaustif): ransomwares Akira, SafePay, Qilin; infostealer Lumma; PhaaS Darcula, Lucid; groupes APT29, APT28, Sandworm, Mustang Panda, Lazarus, etc.
  • TTPs saillants: phishing (incl. ClickFix, quishing, AiTM), exploitation rapide de vulnérabilités périmétriques, RaaS, access‑brokers, anti‑EDR/BYOVD, supply chain (npm, extensions), botnets/DoH C2, deepfakes/IA pour l’ingénierie sociale, exfiltration via services cloud, ORBs/proxies résidentiels.

Type d’article: analyse de menace synthétisant tendances, adversaires, secteurs touchés et TTPs, afin d’éclairer la situation et les priorités de défense au niveau de l’UE.

🧠 TTPs et IOCs détectés

TTP

phishing (incl. ClickFix, quishing, AiTM), exploitation rapide de vulnérabilités périmétriques, RaaS, access-brokers, anti-EDR/BYOVD, supply chain (npm, extensions), botnets/DoH C2, deepfakes/IA pour l’ingénierie sociale, exfiltration via services cloud, ORBs/proxies résidentiels

IOC

Aucun indicateur technique (IPs, domaines, hachages) spécifique n’est fourni dans l’extrait.

🔗 Source originale : https://enisa.europa.eu/publications/enisa-threat-landscape-2025