Menaces 2025 : pourquoi l’IA devient indispensable

Fin 2025, le bruit de fond cyber est devenu un fait du quotidien. Et pourtant, les signaux faibles comptent plus que jamais : une technique d’ingénierie sociale qui explose, des fraudes mobiles qui changent de visage, des groupes ransomware plus nombreux… Le Threat Report H1 2025 d’ESET (période observée : 12/2024 à 05/2025) a le mérite de mettre des chiffres sur ce que beaucoup d’équipes sécurité ressentent : les attaques évoluent plus vite que les playbooks.

Ce qui me frappe dans ces tendances, ce n’est pas seulement la hausse des détections ou le renouvellement des tactiques. C’est le décalage entre le rythme des attaquants et celui des organisations : procédures manuelles, outillage hétérogène, fatigue d’alertes, pénurie de profils SOC. L’IA en cybersécurité n’est pas un gadget : c’est une réponse pragmatique à un problème d’échelle et de vitesse.

Le rapport pointe notamment trois dynamiques qu’on ne peut plus traiter “comme avant” : ClickFix (ingénierie sociale), la montée de l’adware Android et des PUAs, et l’industrialisation du ransomware. Voyons ce que ces signaux racontent… et comment l’IA peut aider concrètement.

Ce que le Threat Report H1 2025 dit vraiment (et pourquoi ça pique)

Réponse directe : le rapport montre que les menaces qui “marchent” en 2025 sont celles qui exploitent l’humain, l’écosystème mobile et la désorganisation opérationnelle des défenses.

ESET met en avant une technique d’ingénierie sociale appelée ClickFix, dont les détections ont été multipliées par plus de 5 au premier semestre 2025 par rapport au second semestre 2024. Dit autrement : une mécanique d’arnaque suffisamment efficace pour se diffuser à grande vitesse.

Côté mobile, le rapport note une hausse de 160% des détections d’adware Android, alimentée notamment par des schémas de fraude de type evil twin et par l’essor des applications potentiellement indésirables (PUAs). Là aussi, le message est clair : le mobile n’est plus un “canal secondaire”. C’est une surface d’attaque principale.

Enfin, le ransomware continue de se multiplier (attaques et groupes en hausse), avec un phénomène intéressant : la valeur totale des paiements tend à baisser. On y voit souvent un effet combiné : meilleure résilience de certaines victimes, pression réglementaire/assurantielle, fuites et saisies, mais aussi fragmentation du marché criminel.

Une phrase que j’utilise souvent en comité de pilotage : “Ce n’est pas qu’on a plus d’alertes, c’est qu’on a moins de temps pour décider.”

ClickFix : l’ingénierie sociale passe en mode industriel

Réponse directe : ClickFix illustre une tendance 2025 : les attaquants n’ont plus besoin d’exploits sophistiqués si l’utilisateur exécute lui-même l’action dangereuse.

ClickFix, tel que décrit dans le rapport, s’appuie sur une idée simple : pousser la victime à cliquer (ou exécuter) une “correction” qui ressemble à une étape normale. C’est de l’ingénierie sociale “propre”, souvent intégrée à des parcours crédibles : support informatique, document à “réparer”, accès à “débloquer”, vérification “anti-bot”…

Pourquoi les outils traditionnels peinent

Réponse directe : parce que beaucoup de contrôles classiques cherchent des signatures techniques, alors que ClickFix ressemble à une interaction utilisateur légitime.

• Les filtres anti-spam bloquent une partie, mais les campagnes évoluent.
• Les listes de blocage d’URL arrivent souvent trop tard.
• Les règles SIEM finissent par produire des alertes faibles, noyées.

Là où l’IA aide vraiment

Réponse directe : l’IA est efficace quand il faut détecter des schémas comportementaux et corréler des signaux faibles en temps réel.

Concrètement, une approche IA/ML bien intégrée peut :

1. Repérer des anomalies de parcours (ex. enchaînements inhabituels : ouverture d’un message → navigation vers un domaine fraîchement créé → téléchargement d’un script → exécution).
2. Classer la probabilité de malveillance via des modèles de scoring (réputation, fraîcheur des domaines, similarité de contenu, techniques de persuasion).
3. Réduire le bruit en regroupant les événements liés (clustering) pour que le SOC voie “un incident” plutôt que 37 alertes.

Mon opinion : si votre stratégie anti-phishing repose surtout sur “former les utilisateurs”, vous êtes en retard. La formation est nécessaire, mais insuffisante quand les attaquants optimisent les scénarios à grande échelle.

Android : +160% d’adware, et le retour des “fausses bonnes apps”

Réponse directe : la hausse de 160% des détections d’adware Android signale un marché de la fraude mobile très rentable, qui combine tromperie, collecte de données et monétisation publicitaire.

En 2025, beaucoup d’organisations tolèrent encore un angle mort : le mobile est géré via quelques règles MDM, et le reste repose sur la “bonne conduite”. Sauf que l’adware moderne n’est pas seulement gênant : il peut servir de porte d’entrée, de proxy d’exfiltration, ou de collecteur de données utiles à des attaques plus lourdes.

Evil twin et PUAs : pourquoi ça marche

Réponse directe : parce que ça exploite un réflexe courant : télécharger une app “pratique” qui ressemble à l’originale, ou accepter des permissions sans lire.

Les schémas evil twin (copies, clones, variantes) profitent de :

• noms et visuels quasi identiques,
• campagnes publicitaires ou SEO mobile agressives,
• pages de téléchargement qui imitent des boutiques officielles,
• notifications et pop-ups qui forcent l’interaction.

L’apport de l’IA côté mobile

Réponse directe : l’IA peut analyser à grande échelle ce qui est difficile à auditer manuellement : comportements, permissions, réseau, et similarités entre apps.

Quelques usages concrets :

• Détection d’“empreintes” applicatives : similarités de code, SDK publicitaires, comportements réseau anormaux.
• Analyse de permissions contextuelle : une lampe torche qui demande l’accessibilité et la lecture SMS mérite un score de risque élevé.
• Corrélation flotte mobile + identité : un même compte qui change brutalement d’appareil, de localisation et de comportements de connexion devient un signal d’attaque.

Décembre est une période propice aux fraudes (achats, livraisons, promos, changements d’outils). C’est précisément le moment où un contrôle automatisé par IA sur le mobile apporte le plus de valeur, parce que le volume d’événements “normaux” explose.

Ransomware : plus de groupes, moins de paiements… et plus de pression

Réponse directe : la hausse du nombre d’attaques et de gangs, malgré une baisse des paiements, implique un risque opérationnel accru : plus de tentatives, plus d’extorsion, plus d’interruptions.

Beaucoup lisent “les paiements baissent” comme une bonne nouvelle. Je le vois plutôt comme un déplacement : davantage de spray and pray, plus de petites/moyennes cibles, et un recours renforcé à l’extorsion par fuite de données plutôt qu’au chiffrement pur.

Pourquoi l’IA est pertinente dans la chaîne ransomware

Réponse directe : parce qu’elle accélère la détection des signaux précoces highlightés par la réalité terrain : identités compromises, mouvements latéraux, exfiltration.

L’IA (au sens large : détection statistique, apprentissage supervisé, LLM pour l’analyse) aide à :

• Détecter des comportements d’attaquant (connexion inhabituelle, création de comptes, escalade de privilèges).
• Repérer des patterns d’exfiltration (volumétrie, destinations, protocoles) avant le chiffrement.
• Prioriser la remédiation : quelles machines isoler en premier, quels comptes révoquer, quels segments couper.

Et côté analystes, les assistants IA peuvent aussi :

• résumer une timeline,
• proposer une hypothèse de chaîne d’attaque,
• transformer des logs en récit exploitable pour le décisionnel.

À condition de poser des garde-fous : sources de données maîtrisées, traçabilité, et validation humaine.

Passer à une défense “IA-first” sans se raconter d’histoires

Réponse directe : une défense IA-first, ce n’est pas “acheter un outil IA”, c’est organiser les données, l’orchestration et la décision pour répondre plus vite que l’attaquant.

Voici une check-list pragmatique (celle que je conseille quand on veut des résultats en 90 jours, pas dans 18 mois).

1) Mettre l’IA au bon endroit : là où il y a du volume

Réponse directe : l’IA est la plus rentable sur les cas à forte volumétrie et à faible valeur unitaire.

• tri et regroupement d’alertes EDR/NDR,
• détection d’anomalies d’authentification,
• filtrage de phishing et analyse de contenus,
• surveillance de flotte mobile et apps.

2) Exiger des sorties actionnables (pas des scores “magiques”)

Réponse directe : un bon modèle produit une décision exploitable : “isoler”, “bloquer”, “réinitialiser”, “ouvrir un incident”, avec justification.

Demandez systématiquement :

• quels signaux ont pesé (features),
• quel niveau de confiance,
• quelles actions recommandées,
• comment on audite les faux positifs/faux négatifs.

3) Industrialiser la réponse avec SOAR + IA

Réponse directe : l’IA sans automatisation finit en joli tableau de bord.

Commencez petit :

1. auto-quarantaine d’un poste sur indicateurs forts,
2. réinitialisation de session / MFA step-up sur anomalie,
3. création de ticket enrichi (contexte, timeline, artefacts),
4. notification ciblée aux équipes métiers (pas un mail générique).

4) Sécuriser l’IA elle-même

Réponse directe : une IA mal gouvernée devient une nouvelle surface d’attaque.

• contrôle des données envoyées aux assistants,
• séparation des environnements,
• journalisation et revue,
• tests de robustesse (prompt injection, données empoisonnées),
• gestion des accès et du cycle de vie des modèles.

Questions qu’on me pose souvent (et mes réponses nettes)

“L’IA va-t-elle remplacer le SOC ?”

Réponse directe : non. Elle remplace surtout le tri inutile et accélère l’analyse, mais le SOC reste responsable des décisions, du risque et du contexte métier.

“On a déjà un SIEM/EDR, ça suffit ?”

Réponse directe : en 2025, non si vous n’avez pas de corrélation intelligente et de réponse orchestrée. Les outils isolés produisent des alertes, pas de la protection.

“Par quoi commencer pour être crédible rapidement ?”

Réponse directe : phishing + identités + endpoints. Ce trio couvre une grande partie des trajectoires d’attaque modernes, y compris celles qui ressemblent à ClickFix.

Le vrai message du rapport : la vitesse compte plus que la perfection

Le Threat Report H1 2025 d’ESET met en lumière des tendances difficiles à ignorer : ClickFix en très forte croissance (détections x5+), adware Android en hausse de 160%, et ransomware toujours plus fragmenté. Le point commun, c’est l’échelle : les attaquants testent, itèrent et répliquent à un rythme industriel.

Dans notre série “Intelligence artificielle dans la cybersécurité”, j’insiste sur une idée simple : l’IA n’est utile que si elle réduit le temps entre signal et action. Si elle vous donne juste “plus d’infos”, vous aurez surtout… plus de fatigue.

Si vous deviez choisir une seule prochaine étape avant la rentrée 2026 : cartographiez vos trois principales chaînes d’attaque (phishing→vol d’identifiants→mouvement latéral, mobile→fraude→compromission d’accès, exposition→ransomware), puis placez l’IA là où elle peut détecter tôt et déclencher une réponse. Vous serez surpris de la rapidité des gains.

La question qui reste : votre organisation est-elle conçue pour décider en minutes… ou en semaines ?