Rapport ESET H1 2025 : l’IA face aux nouvelles menaces

Les chiffres qui comptent ne laissent pas de place au doute : au premier semestre 2025, ESET observe une explosion d’une nouvelle technique d’ingénierie sociale, ClickFix, avec des détections multipliées par plus de 5 par rapport au second semestre 2024. Dans le même temps, côté mobile, les détections d’adwares Android bondissent de 160%. Et sur le front du ransomware, le nombre d’attaques et de groupes augmente, même si le montant total des rançons payées suit une tendance inverse.

Je vois souvent des organisations réagir à ce type de signaux en empilant des règles, des listes de blocage, et des procédures. Le problème, c’est que ces menaces progressent vite, changent de forme, et jouent sur le facteur humain. La réponse la plus réaliste en 2025, c’est d’industrialiser la détection et la priorisation grâce à l’IA, sans oublier l’essentiel : les contrôles de base, l’hygiène numérique et une capacité de réponse à incident qui tient la route.

Ce billet s’inscrit dans notre série « Intelligence artificielle dans la cybersécurité » : on part des tendances mises en avant dans le Threat Report ESET H1 2025 (période 12/2024 à 05/2025) et on les transforme en mesures actionnables, avec un focus sur ce que l’IA en cybersécurité fait réellement bien : détecter plus tôt, corréler mieux, et aider les équipes à garder le contrôle.

Ce que le Threat Report ESET H1 2025 dit vraiment

Le message principal du rapport est simple : l’attaque la plus rentable reste celle qui contourne l’outillage en visant les comportements. Les malwares évoluent, mais les adversaires misent toujours autant sur l’ingénierie sociale, les campagnes massives et les écosystèmes mobiles.

Trois tendances ressortent particulièrement :

• ClickFix : une technique d’ingénierie sociale qui « prend d’assaut » le paysage des menaces, avec une hausse de détections x5+ en H1 2025.
• Adware Android : une hausse de 160%, alimentée par de nouvelles fraudes et par la montée des applications potentiellement indésirables (PUA).
• Ransomware : plus d’attaques et plus de gangs, mais moins de valeur totale payée.

Ce trio est cohérent : plus de volume, plus de variation, et une tension permanente sur les équipes SOC/IT qui doivent trier l’urgent du bruit.

Pourquoi ces signaux sont critiques fin 2025

Fin 2025, beaucoup d’entreprises françaises et européennes sont dans une configuration « réaliste mais fragile » : elles ont des EDR, du MFA, des sauvegardes… mais manquent de temps et de visibilité. Et c’est précisément là que l’IA apporte un avantage : réduire le délai entre le signal faible et la décision opérationnelle.

Une défense moderne ne consiste pas à tout bloquer. Elle consiste à détecter vite, comprendre vite, et réagir vite — avec un minimum d’erreurs.

ClickFix : quand l’ingénierie sociale devient un processus

ClickFix illustre une idée simple : l’attaquant ne cherche pas forcément une faille technique, il cherche un réflexe. Dans beaucoup de scénarios récents, l’utilisateur est poussé à cliquer, autoriser, exécuter, « réparer »… et l’action déclenche l’infection ou l’exfiltration.

Ce que l’IA détecte mieux que les règles statiques

Les approches traditionnelles (IOC, listes d’URL, signatures) fonctionnent… jusqu’au moment où la campagne change. Avec l’IA, on peut mieux capter :

• Des schémas d’anomalies comportementales : par exemple, un poste qui lance soudain des processus inhabituels après une interaction web.
• Des séquences d’événements (corrélation) : clic → exécution → élévation → communication réseau.
• Des similarités de campagnes : même si l’infrastructure change, le « style » de l’attaque reste détectable (templates, enchaînements, timings).

En pratique, ce n’est pas « l’IA magique ». C’est de la détection d’anomalies, de la classification, et surtout de la priorisation : remonter 5 alertes réellement exploitables plutôt que 500 notifications.

Actions concrètes côté entreprise

Pour limiter l’impact d’une technique comme ClickFix, je recommande un trio très opérationnel :

1. Durcir l’exécution : contrôle applicatif (allow-list) sur les postes à risque, blocage de powershell/scripts non signés selon les métiers.
2. Former sur des scénarios (pas sur des slogans) : simulations ciblées « fausse réparation », « faux support IT », « faux document urgent ».
3. Détection pilotée par IA : modèles ou règles augmentées qui surveillent les chaînes d’événements (processus + réseau + identité).

Android : +160% d’adware, et un vrai problème métier

Une hausse de 160% des détections d’adware Android ne concerne pas que « les téléphones perso ». En 2025, Android est présent partout : BYOD, terminaux terrain, logistique, commerce, santé, et appareils durcis.

L’adware est souvent sous-estimé parce qu’il « n’est pas du ransomware ». Pourtant, il dégrade la confidentialité, ouvre des portes à d’autres charges utiles, et coûte cher en support, en image et en exposition des données.

Evil twin et PUA : pourquoi c’est difficile à gérer

Le rapport mentionne des dynamiques comme la fraude « evil twin » et la montée des PUA. Ce qui complique la défense :

• Les applications ont souvent une apparence légitime.
• Les comportements sont ambigus (pub intrusive vs collecte abusive vs trojanisation).
• Les campagnes évoluent vite, avec des variantes et des re-packaging.

Ce que l’IA change côté mobile

L’IA est utile sur mobile quand elle sert à détecter des comportements à risque, pas seulement des signatures :

• Anomalies de permissions (accès SMS/contacts/localisation sans justification métier).
• Comportement réseau anormal (C2, volumes, destinations rares).
• Détection de familles (similitudes de code et de patterns) même sur des apps re-signées.

Couplée à une solution MDM/EMM, cette approche permet d’appliquer des politiques plus fines : quarantaine, restriction réseau, désinstallation forcée, ou mise en conformité.

Ransomware : plus de groupes, moins de paiements… et plus de pression

Le constat « plus d’attaques et plus de gangs » avec « moins de valeur totale payée » a une conséquence directe : les attaquants doivent compenser par le volume, par l’extorsion multiple, et par des opérations plus agressives.

En clair : même si certaines organisations paient moins (ou refusent), le risque opérationnel reste élevé. Et la question n’est pas seulement « vais-je payer ? », mais combien de temps vais-je être à l’arrêt ?

Là où l’IA est la plus rentable contre le ransomware

Contre le ransomware, l’IA apporte un avantage surtout sur trois moments clés :

1. Pré-compromission : détection d’accès anormal (identités, VPN, comportements inhabituels) et réduction des faux positifs.
2. Mouvement latéral : corrélation d’événements entre postes, serveurs, AD/Entra ID, et outils d’administration.
3. Chiffrement/exfiltration : détection de pics d’I/O, création massive de fichiers, connexions sortantes suspectes, compression anormale.

Ce point est essentiel : l’IA n’empêche pas toutes les intrusions, mais elle peut réduire drastiquement le dwell time (le temps passé par l’attaquant sans être détecté). Et c’est souvent là que se joue la différence entre incident contenu et crise majeure.

Mesures de base qui font encore gagner (beaucoup)

Même avec de l’IA, je reste ferme sur les fondamentaux. Si vous deviez prioriser :

• Sauvegardes : règle 3-2-1, tests de restauration mensuels, et séparation logique/physique.
• MFA résistant au phishing : quand c’est possible, privilégier des méthodes fortes (ex. clés FIDO2).
• Gestion des correctifs : priorité sur les services exposés et les outils d’administration.
• Segmentation : limiter les trajectoires de mouvement latéral.

Passer du rapport à un plan IA « utile » (et pas décoratif)

La plupart des organisations n’ont pas besoin d’un énième outil. Elles ont besoin d’un système qui transforme des signaux dispersés en décisions.

Un cadre simple en 4 briques

Voici un cadre que j’ai vu fonctionner, même avec des équipes réduites :

1. Collecte propre : journaux identité, endpoint, email, proxy/DNS, SaaS. Sans données fiables, l’IA amplifie le chaos.
2. Modèles orientés risque : détection d’anomalies + scoring basé sur l’exposition métier (poste finance ≠ poste atelier).
3. Automatisation contrôlée (SOAR) : isolement poste, réinitialisation session, blocage token, ouverture ticket, enrichissement.
4. Boucle d’amélioration : chaque incident nourrit les règles et les modèles (retours SOC, post-mortem, playbooks).

Mini Q&R (les questions qu’on me pose souvent)

L’IA remplace-t-elle le SOC ? Non. Elle réduit la charge et accélère la décision, mais l’investigation et l’arbitrage restent humains.

Faut-il des data scientists ? Pas forcément. Beaucoup de plateformes intègrent des capacités IA. Le vrai manque est souvent côté process : gouvernance des logs, cas d’usage, et runbooks.

Comment éviter les faux positifs ? En liant l’IA à du contexte : identité, rôle, criticité, historique machine, et en mesurant un indicateur simple : temps moyen de triage.

Ce que vous pouvez faire dès janvier 2026

Le Threat Report ESET H1 2025 montre une chose : les menaces gagnent en volume et en créativité, surtout sur l’ingénierie sociale et le mobile. Face à ClickFix, à l’adware Android en hausse de 160%, et à un ransomware plus fragmenté, l’approche « règles partout » finit par s’essouffler.

Si vous ne deviez retenir qu’une direction pour notre série « Intelligence artificielle dans la cybersécurité », c’est celle-ci : utiliser l’IA pour mieux prioriser, mieux corréler, et raccourcir le temps de réaction, tout en renforçant les fondamentaux (sauvegardes, MFA, patch, segmentation).

Vous voulez passer à l’étape suivante ? Prenez un périmètre réduit (poste VIP, équipe finance, flotte mobile terrain), définissez 3 cas d’usage IA mesurables (phishing/ingénierie sociale, anomalies d’identité, exfiltration), puis exigez un résultat concret : moins d’alertes inutiles et des incidents contenus plus tôt.

Et vous, dans votre organisation, quel est le maillon qui casse le plus souvent quand la pression monte : l’email, les identités, ou les terminaux mobiles ?