Source: National Cyber Security Centre (NCSC, Suisse) — Semi-Annual Report 2025/I (janvier–juin 2025).
Le NCSC constate un volume d’incidents stabilisé à un niveau élevé (35 727 signalements, dont 58 % de fraude) et une situation globale relativement stable malgré l’innovation des attaquants. Les thèmes majeurs restent phishing, malware/ransomware, vulnérabilités, fraude et ingénierie sociale, DDoS hacktiviste, fuites/exfiltration et cyberespionnage. Depuis le 1er avril 2025, le signalement obligatoire pour les infrastructures critiques est en vigueur.
Ransomware et chaîne d’approvisionnement: 57 incidents (+) avec ‘Akira’ en tête puis ‘LockBit’. Les attaques restent opportunistes, nourries par l’accès initial via malware/infostealers, vulnérabilités ou phishing et par des modèles RaaS (ex. ‘DragonForce’). Les groupes sophistiqués intègrent des EDR killers et frappent hors horaires ouvrés. Des cas suisses illustrent le risque supply chain et l’impact client: Cistec (accès distant vers hôpitaux à risque), Ilem (indisponibilité cloud pour ~15 % de clients), 2sic (arrêt préventif 2–3 jours), Radix (publication de données volées, données de l’administration fédérale potentiellement concernées).
Phishing, malvertising et fraude: campagnes de phishing en temps réel via annonces sponsorisées menant à de faux portails e-banking (souvent en .app/.digital/.help), contournant l’MFA par relais du second facteur. Forte hausse des escroqueries via petites annonces visant la prise de contrôle de comptes Twint; usage de chain phishing sur Microsoft 365; progression des attaques en 2 étapes + vishing. Côté fraude: fort essor des publicités d’“investissement” (deepfakes de personnalités publiques) et émergence des recovery scams; CEO fraud en forte hausse (605 tentatives), BEC en léger recul.
Disponibilité et vulnérabilités: les DDoS hacktivistes (ex. ‘RooTDoS’, ‘NoName057(16)’) ont visé banques et services fédéraux (WEF/ESC sans impact majeur grâce aux mesures préventives). La malvertising sert aussi à diffuser du malware, avec la technique ClickFix liée à des voleurs d’infos comme ‘Lumma Stealer’ ou ‘Rhadamanthys’ (campagnes mails faux cabinets juridiques). La surface d’attaque suisse reste exposée aux vulnérabilités globales (Fortinet, Microsoft, Ivanti) et aux risques de data leaks/extorsion (ex. Oracle Classic: accès non autorisé et risques d’identifiants réutilisés; Chain IQ: ~900 Go publiés par ‘World Leaks’). Côté cyberespionnage, activité d’APTs tels que ‘Salt Typhoon’, ‘Silk Typhoon’, ‘APT28’, ‘Laundry Bear/Void Blizzard’, avec exploitation d’edge devices et supply chain; côté OT, sabotage observé à l’étranger (ex. ‘PathWiper’ en Ukraine), non observé en Suisse.
IOC & TTPs notables:
- Acteurs/groupes: ‘Akira’, ‘LockBit’, ‘DragonForce’, ‘RooTDoS’, ‘NoName057(16)’, ‘World Leaks’, ‘Hunters International’, ‘Salt Typhoon’, ‘Silk Typhoon’, ‘APT28’, ‘Laundry Bear’/‘Void Blizzard’.
- Malware/outils: ‘Lumma Stealer’, ‘Rhadamanthys’, ‘PathWiper’, EDR killers, techniques ‘ClickFix’ (PowerShell/clipboard).
- Vulnérabilités/CVE: Ivanti Connect Secure CVE‑2025‑22457 (exploitation active). Produits récurrents visés: Fortinet, Microsoft, Ivanti; exposition via firewalls/VPN/routeurs.
- TTPs: phishing en temps réel (relay MFA), vishing en 2 étapes, malvertising (ads sponsorisées), chain phishing M365, infostealers pour accès initial, RaaS, extorsion de données sans chiffrement, DDoS opportunistes lors d’événements, exploitation d’edge devices et supply chain, deepfakes publicitaires.
- Indices/artefacts contextuels: domaines de phishing en .app/.digital/.help; canaux via annonces sponsorisées et petites annonces; ciblage Twint/e-banking.
Type de document: rapport semestriel de situation visant à dresser un état des menaces en Suisse, illustrer incidents et tendances, et diffuser des recommandations.
🔗 Source originale : https://www.ncsc.admin.ch/ncsc/en/home/dokumentation/berichte/lageberichte/halbjahresbericht-2025-1.html