Rapport ESET H2 2025 : l’IA face aux cybermenaces

Un constat simple ressort des bilans de fin d’année : la seconde moitié de 2025 a été plus “industrielle” que spectaculaire. Moins de “coups d’éclat” visibles du grand public, davantage d’attaques répétables, automatisées, et optimisées pour la rentabilité. C’est exactement le type de paysage que met en lumière un rapport comme le ESET Threat Report H2 2025, basé sur la télémétrie et l’expertise de recherche de l’éditeur.

Ce qui change, côté entreprises, c’est la vitesse. Les équipes sécurité n’ont pas seulement à gérer plus d’alertes ; elles doivent surtout décider plus vite (et mieux) avec des signaux bruités, des campagnes multi-canaux et des attaquants qui testent en continu leurs variantes.

Dans notre série « Intelligence artificielle dans la cybersécurité », j’aime aborder les rapports de menace de cette manière : non pas comme une liste anxiogène, mais comme un guide pratique. Le message derrière ESET H2 2025 est clair : la détection et la réponse doivent devenir plus adaptatives — et c’est précisément là que l’IA appliquée à la cybersécurité a une vraie valeur.

Ce que révèle un rapport ESET : des menaces “à l’échelle”

Un rapport de menace sérieux sert d’abord à répondre à une question : qu’est-ce qui se généralise ? Le point fort d’un acteur comme ESET, c’est la combinaison télémétrie (volume) + analystes (qualité). On ne regarde pas un incident isolé : on observe des motifs.

En H2 2025, les motifs dominants (observables dans la majorité des bilans de l’industrie, et cohérents avec l’angle ESET) convergent vers :

• Des chaînes d’attaque plus courtes, orientées efficacité : accès initial → exfiltration/impact, parfois sans “bruit” inutile.
• Un retour en force des identités comme surface d’attaque : phishing, MFA fatigue, vol de cookies/sessions, abus d’outils légitimes.
• Des malwares et outils plus modulaires : petites briques qui s’assemblent selon la cible.
• Une professionnalisation des campagnes : segmentation, A/B testing des leurres, automatisation de la collecte et du tri des données.

Phrase à retenir : quand les attaques deviennent “scalables”, votre défense doit l’être aussi.

Pourquoi les indicateurs “classiques” ne suffisent plus

Beaucoup d’organisations s’appuient encore sur des logiques trop statiques : signatures, listes de blocage, règles SIEM figées. C’est utile, mais insuffisant.

Le problème, c’est la variabilité. Un même objectif (ex. : voler des identifiants M365) peut passer par des chemins très différents : pièce jointe, page de phishing clonée, consent phishing, détournement d’OAuth, accès via infostealer… Les IoC changent, les comportements restent.

C’est l’espace idéal pour l’IA : détecter des schémas plutôt que courir après des artefacts.

H2 2025 : trois tendances qui doivent guider vos priorités 2026

Voici, à mon avis, les trois tendances les plus actionnables à tirer d’un rapport comme ESET H2 2025 — et comment les relier à une stratégie IA pragmatique.

1) Identité : le “nouveau périmètre” est déjà percé

Le périmètre réseau a perdu son monopole depuis longtemps, mais 2025 confirme un point : l’identité est devenue le point d’entrée préféré.

Ce que ça implique concrètement :

• Les attaquants ciblent les sessions (cookies, jetons), pas uniquement les mots de passe.
• Ils exploitent la fatigue MFA (spam de notifications, ingénierie sociale).
• Ils abusent d’outils légitimes : règles de messagerie, redirections, délégations, applications OAuth.

Apport IA utile :

• Détection d’anomalies d’authentification (impossible travel, changements d’appareil, séquences inhabituelles).
• Scoring de risque par identité : utilisateur, rôle, contexte, historique.
• Repérage de comportements “subtils” : création de règles de transfert, consentements anormaux, accès API atypiques.

Bon réflexe 2026 : traiter l’identité comme un actif à surveiller en continu, pas comme une étape d’accès.

2) Infostealers et exfiltration : l’impact commence avant le ransomware

Le narratif “ransomware d’abord” est trompeur. Dans beaucoup de cas, le vrai basculement se fait au moment où des informations d’accès sortent de l’entreprise : mots de passe, cookies, tokens, historiques navigateur, accès VPN.

Un rapport comme celui d’ESET aide à voir ce glissement : les attaquants misent sur la rentabilité, et le vol d’identifiants alimente ensuite plusieurs scénarios (fraude, intrusion, revente, BEC, ransomware).

Apport IA utile :

• Détection d’exfiltration basée sur le comportement (volumes, entropie, destinations, rythmes).
• Analyse de poste (EDR/XDR) pour identifier des patterns d’infostealers (accès navigateur, scraping, injections).
• Corrélation automatique entre un poste compromis et des connexions anormales ultérieures.

3) Attaques multi-canal : email + web + cloud + poste

En H2 2025, la frontière entre “attaque email” et “attaque cloud” est de plus en plus floue. Les campagnes modernes combinent :

• Un leurre (email, SMS, réseaux pro)
• Un point de collecte (page web, formulaire)
• Un abus (OAuth, règle de transfert, partage de fichiers)
• Une phase de mouvement (poste, VPN, RDP, SaaS)

Le vrai défi, c’est la corrélation : chaque outil voit une partie de l’histoire. Un rapport ESET, vu comme une boussole, rappelle que la chaîne complète est le bon niveau d’analyse.

Apport IA utile :

• Corrélation “graph” : relier événements utilisateurs, endpoints, identités, SaaS.
• Détection de séquences : enchaînements d’actions faiblement suspectes prises isolément, mais très suspectes ensemble.
• Priorisation : réduire le bruit pour concentrer les analystes sur les 1–2 % d’événements qui comptent.

Comment l’IA renforce la détection (sans créer une usine à gaz)

L’IA en cybersécurité n’a de valeur que si elle réduit le temps entre signal et décision. Voilà une approche réaliste, compatible avec ce que suggère un panorama H2 2025.

Mettre l’IA là où elle est objectivement meilleure

Les meilleurs gains se font sur trois tâches :

1. Tri et regroupement d’alertes : dédoublonnage, clustering par campagne.
2. Enrichissement automatique : contexte (actif critique, identité sensible, exposition internet, historique).
3. Détection comportementale : anomalies, séquences, déviations.

Ce n’est pas glamour, mais c’est ce qui fait gagner des heures.

L’erreur fréquente : demander à l’IA d’être juge et jury

J’ai vu des organisations “brancher” une couche IA et lui laisser le dernier mot sur des actions destructrices (blocage massif, suppression automatique) sans garde-fous. Mauvaise idée.

Une approche plus saine :

• IA pour proposer, humain (ou règles strictes) pour valider les actions à impact.
• Automatisation complète uniquement sur des cas à faible risque (isolement d’un endpoint, reset de session, blocage d’un hash connu, etc.).

Règle simple : l’IA doit augmenter la fiabilité de l’équipe, pas la remplacer.

Exemple concret : “phishing + OAuth”

Scénario fréquent : un utilisateur clique, consent à une application, puis des règles de transfert apparaissent.

• Sans IA : trois alertes dispersées (proxy, cloud, messagerie), tri manuel.
• Avec IA + corrélation : un incident unique avec timeline, score, recommandations (révoquer consentement, invalider tokens, vérifier règles, hunting sur les accès API).

Résultat attendu : moins d’incidents manqués, et un temps de réponse réduit.

Check-list 2026 : transformer un rapport de menace en plan d’action IA

Un bon rapport (ESET ou autre) doit finir en décisions budgétaires et opérationnelles. Voici une check-list courte, conçue pour les DSI, RSSI et responsables SOC.

1) Mesurez votre “latence de décision”

• Temps moyen entre alerte et qualification
• Temps moyen entre qualification et containment
• Pourcentage d’alertes non traitées (backlog)

Si ces métriques se dégradent, vous n’avez pas un problème d’outil : vous avez un problème d’échelle.

2) Renforcez l’identité avec une logique de risque

• MFA robuste (et anti-fatigue)
• Politiques conditionnelles basées sur contexte
• Surveillance des consentements OAuth et règles de transfert
• Révocation rapide des sessions/tokens

3) Investissez dans la corrélation “endpoint + identité + SaaS”

Cherchez une capacité XDR/SIEM qui sait :

• Relier les événements multi-sources
• Expliquer un incident en langage clair
• Proposer des actions avec impact estimé

4) Encadrez l’IA (gouvernance + preuves)

• Journalisation des décisions automatisées
• Tests de dérive (drift) sur les modèles
• Processus de validation (qui peut automatiser quoi)

5) Faites du threat hunting guidé

Le hunting “au feeling” s’épuise vite. Le hunting guidé par l’IA, en revanche, marche bien quand il est alimenté par les tendances observées (comme celles d’un rapport ESET H2 2025) : identités à risque, endpoints atypiques, accès SaaS anormaux.

Ce que je retiens du rapport ESET H2 2025 (et ce que je ferais lundi)

Le message utile est celui-ci : les menaces se standardisent, et les attaquants itèrent plus vite que les équipes ne peuvent lire des alertes. En 2026, la performance sécurité ne se jouera pas sur le nombre d’outils, mais sur la capacité à corréler, prioriser et répondre.

Si vous ne deviez faire qu’un pas dès la reprise : prenez un incident récent (phishing, compromission compte, alerte EDR) et demandez-vous combien de temps il vous faut pour répondre à trois questions : qui est touché ? jusqu’où ça s’est propagé ? quoi faire maintenant ? Si la réponse dépasse quelques heures, l’IA peut vous faire gagner du temps là où ça compte.

Les cybermenaces de la moitié 2025 annoncent 2026 : moins de bruit inutile, plus d’efficacité. Votre défense doit suivre le rythme.

Si vous voulez aller plus loin dans notre série « Intelligence artificielle dans la cybersécurité », le prochain sujet logique est la mise en place d’un socle IA (données, corrélation, automatisation) sans multiplier les faux positifs. Et vous, aujourd’hui, votre principal goulot d’étranglement, c’est la visibilité, la qualification… ou l’exécution ?