CTI & OSINT

Analyse complète du Panorama de la cybermenace 2025 de l’ANSSI (CERTFR-2026-CTI-002)

by  • 

Classification : TLP:CLEAR Diffusion publique sans restriction
Source primaire : ANSSI CERTFR-2026-CTI-002 Mars 2026
Référentiels : MITRE ATT&CK v16 · Diamond Model · Cyber Kill Chain · CVSS v3.1
Cadre réglementaire : Directive NIS2 · Cyber Resilience Act · RGPD
Secteurs couverts : Éducation · Santé · Télécom · Collectivités · Défense · Cloud · OT/ICS

Cet article constitue une analyse CTI de Marc Frédéric GOMEZ fondée sur le Panorama de la cybermenace 2025 publié par l’ANSSI.
Public cible : CISO, CERT/CSIRT, SOC Managers, analystes Threat Intelligence,

1. Executive Summary Synthèse Stratégique à Destination du Conseil d’Administration

L’année 2025 consacre une recomposition structurelle du paysage des cybermenaces mondiales. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recense 1 366 incidents confirmés pour l’exercice 2025 un niveau stable par rapport à 2024 (1 361), mais structurellement plus élevé que les années précédentes (1 112 en 2023, 831 en 2022). Cette stabilité quantitative masque une dégradation qualitative significative : la menace est plus distribuée, plus opaque et plus difficile à attribuer.

La frontière entre acteurs étatiques et cybercriminels s’érode structurellement. Des modes opératoires d’attaque (MOA) réputés liés à des États Russie, Chine, Iran, Corée du Nord adoptent désormais des logiciels criminels commerciaux (ransomware-as-a-service, malware-as-a-service), tandis que des groupes cybercriminels utilisent des techniques jusqu’ici réservées à l’espionnage étatique. Ce brouillage délibéré complique l’attribution et allonge les délais de réponse.

Sur le volet cybercriminel, le nombre d’attaques par ransomware est légèrement en baisse (128 en 2025, contre 141 en 2024), mais le nombre d’incidents d’exfiltration de données augmente significativement : 196 en 2025 contre 130 en 2024, soit une hausse de 51 %. Cette bascule tactique vol de données sans chiffrement réduit le risque d’exposition médiatique immédiate pour l’attaquant tout en maintenant une pression d’extorsion durable sur les victimes. Elle signale une maturation des modèles économiques criminels.

La surface d’exposition reste concentrée sur les équipements de bordure (pare-feu, VPN, passerelles), les environnements de virtualisation, les solutions collaboratives exposées (SharePoint, webmail) et la chaîne d’approvisionnement numérique. Quatre secteurs concentrent 76 % des incidents : éducation et recherche (34 %), ministères et collectivités (24 %), santé (10 %), télécommunications (9 %). La compromission de prestataires cloud produit des effets en cascade affectant simultanément de multiples clients finaux.

Les implications réglementaires sont immédiates. La directive NIS2, dont la transposition française est en cours, impose des obligations de notification et de sécurité renforcées aux entités essentielles et importantes. Le Cyber Resilience Act entrera en application le 11 septembre 2026, contraignant les fournisseurs de produits numériques à notifier les CSIRT nationaux de toute vulnérabilité activement exploitée. Ces textes constituent un levier de rehaussement du niveau de maturité sectoriel à condition que les arbitrages budgétaires suivent.

Les arbitrages stratégiques prioritaires sont les suivants : (1) investir dans une gestion des vulnérabilités priorisée par le risque opérationnel et non par le seul score CVSS ; (2) renforcer la supervision des équipements de bordure et des environnements cloud ; (3) intégrer les sous-traitants dans les exigences de sécurité contractuelles et les exercices de crise ; (4) élaborer ou valider des plans de continuité et de reprise d’activité (PCA/PRA) avant toute crise ; (5) ne pas réduire la cybersécurité à une posture produit EDR, MFA et bastion sont nécessaires mais insuffisants face à des attaquants capables de les contourner systématiquement.

2. Introduction

2.1 Problématique étudiée

Le Panorama de la Cybermenace 2025 de l’ANSSI, publié en mars 2026 sous la référence CERTFR-2026-CTI-002, constitue la source primaire de cet article. Son analyse vise à produire une lecture CTI structurée tactique, opérationnelle et stratégique des dynamiques observées sur l’exercice 2025, dépassant la simple restitution des faits pour proposer une modélisation des vecteurs de risque, une cartographie des capacités adverses et une projection prospective à horizon 6-12 mois.

La problématique centrale est la suivante : dans un contexte de convergence croissante entre acteurs étatiques et cybercriminels, de généralisation des techniques Living off the Land (LOTL) et d’industrialisation des capacités offensives, comment les défenseurs peuvent-ils maintenir une posture de détection et de réponse pertinente face à des menaces conçues pour imiter le trafic légitime et déjouer les mécanismes d’attribution ?

2.2 Hypothèses d’analyse

Cet article repose sur les hypothèses suivantes :

  • H1 L’érosion des frontières actorielles est structurelle et non conjoncturelle : elle résulte de dynamiques économiques (partage de capacités, sous-traitance offensive), technologiques (disponibilité publique d’outils offensifs) et géopolitiques (protection tacite de groupes criminels par certains États).
  • H2 La généralisation du LOTL est une réponse rationnelle des attaquants à la maturité croissante des outils de détection (EDR, NDR, SIEM) : elle impose aux défenseurs de repenser leurs stratégies de détection au-delà des indicateurs de compromission (IoC) statiques.
  • H3 L’augmentation de l’exfiltration de données sans chiffrement signale une diversification des modèles d’extorsion, non une diminution de la menace ransomware.
  • H4 La chaîne d’approvisionnement numérique constitue le vecteur de compromission à plus forte croissance, en raison de l’adoption généralisée des services cloud et de la délégation de compétences à des prestataires tiers.

2.3 Périmètre et sources

Cette analyse couvre l’intégralité du périmètre du Panorama ANSSI 2025 : incidents traités par l’Agence, signalements reçus, publications en sources ouvertes corroborées, fuites de données de groupes adverses. Les sources secondaires mobilisées incluent les publications des éditeurs Sekoia, Mandiant (Google GTIG), Microsoft MSTIC, Proofpoint, Trend Micro, ESET, Orange Cyberdefense, Group-IB, ainsi que les avis et alertes du CERT-FR. Le référentiel tactique principal est MITRE ATT&CK v16. Les modèles Diamond et Cyber Kill Chain sont utilisés comme cadres complémentaires.

2.4 Positionnement dans le Threat Landscape global

Le paysage 2025 s’inscrit dans la continuité des tendances identifiées depuis 2022 recrudescence des attaques sur équipements de bordure, montée du RaaS, hybridation étatique-criminelle tout en marquant des inflexions significatives : la bascule vers l’exfiltration pure, la montée des techniques d’ingénierie sociale sophistiquées (Clickfix, SIM-Swapping, MFA Fatigue), et l’émergence d’une utilisation offensive de l’IA générative, encore limitée mais en progression. L’ANSSI confirme que cette évolution ne constitue pas encore un changement de paradigme, mais les signaux précurseurs d’une telle rupture sont déjà observables.

3. Threat Landscape et Contexte Stratégique

3.1 Historique et évolution (2022–2025)

L’évolution quantitative des incidents traités par l’ANSSI reflète une tendance haussière soutenue depuis 2022 : 831 incidents en 2022, 1 112 en 2023, 1 361 en 2024, 1 366 en 2025. Le total d’événements traités s’élève à 3 586 en 2025, en baisse de 18 % par rapport à 2024 un pic lié aux Jeux Olympiques et Paralympiques de Paris. Le niveau de fond reste donc structurellement élevé.

Sur le volet ransomware, la courbe 2025 (128 compromissions) marque un léger recul par rapport à 2024 (141), mais reste supérieure aux niveaux de 2022-2023. La distribution sectorielle des victimes se modifie : si les PME/TPE/ETI restent la première catégorie (37 % en 2025 vs 48 % en 2024), la proportion des établissements de santé repart à la hausse (8 %) et les établissements scolaires primaires et secondaires émergent comme nouvelle cible significative.

Sur le volet exfiltration, la hausse de 51 % entre 2024 et 2025 (130 vs 196 incidents) confirme l’accélération d’un modèle alternatif au double chiffrement. Seules 80 revendications d’exfiltration sur l’ensemble des déclarations reçues ont été confirmées par l’ANSSI le reste relevant de données précédemment volées recyclées, ou de revendications non substantiées.

3.2 Typologie des acteurs

3.2.1 Acteurs cybercriminels

L’écosystème cybercriminel est dominé par les franchises RaaS. En 2025, trois souches concentrent l’essentiel de l’activité documentée : Qilin (21 % des compromissions ransomware recensées, 700+ victimes revendiquées dans l’année, pic de 185 en octobre 2025), Akira (9 %) et LockBit 3.0/Black (5 %). Plus d’une dizaine de souches nouvelles ont été observées pour la première fois en 2025 : Nova, Warlock, Sinobi, entre autres. Cette émergence continue témoigne de la vitalité et de la résilience de l’écosystème RaaS malgré les opérations de démantèlement judiciaires.

Les Initial Access Brokers (IAB) jouent un rôle structurant dans cet écosystème : TA577, TA571 et TA544 ont significativement réduit leur dépendance aux loaders et botnets au profit des outils RMM (Remote Monitoring and Management) et des techniques LOLBins, rendant leur phase d’accès initial quasi indiscernable d’une activité administrative légitime.

Le groupe Scattered Spider constitue un cas d’école de l’ingénierie sociale avancée : ses opérateurs obtiennent un accès initial quasi systématiquement via la compromission d’accès légitimes sans code malveillant en exploitant SIM-Swapping, MFA Fatigue et usurpation d’identité. Plusieurs entités françaises du secteur du luxe ont été compromises par ce vecteur en 2025.

Cl0p maintient son modèle d’exfiltration pure sans déploiement de ransomware, en exploitant des vulnérabilités zero-day dans des solutions de transfert de fichiers sécurisées. En août 2025, l’exploitation de CVE-2025-6182 dans Oracle E-Business Suite a permis l’exfiltration de données de centaines d’entreprises à travers le monde.

3.2.2 Acteurs étatiques

Les MOA réputés russes restent les plus actifs sur le volet espionnage diplomatique et sabotage. APT28 (GRU) poursuit ses campagnes d’hameçonnage en exploitant des services cloud légitimes (Koofr, Icedrive, Filen.io) et la technique Clickfix. Turla (FSB, 16e Centre) cible les ambassades à Moscou via des attaques Adversary-in-the-Middle exploitant le système SORM. Callisto (FSB) cible les ONG, journalistes et chercheurs spécialistes de la Russie. Sandworm (GRU/APT44) poursuit ses campagnes destructrices en Ukraine (wipers) et étend sa campagne BadPilot à l’Europe, l’Asie centrale et le Moyen-Orient.

Les MOA réputés chinois élargissent leur victimologie. Salt Typhoon a compromis le réseau fédéral de l’armée américaine entre mars et décembre 2024, et étend son ciblage à douze secteurs aux États-Unis ainsi qu’à des entités françaises. APT31 a été formellement attribué par la République tchèque à une attaque sur infrastructure critique. UNC5221 (sous-cluster d’APT27/UNC5174/Houken) exploite des vulnérabilités zero-day Ivanti (CVE-2024-8190, CVE-2024-8963, CVE-2024-9380) pour compromettre des entités gouvernementales, télécoms, médias et financières françaises. RedDelta (Mustang Panda) mène une campagne contre des entités diplomatiques européennes en septembre 2025, dont la France.

La convergence étatique-criminelle se manifeste notamment dans l’utilisation de souches RaaS par des MOA d’État : Moonstone Sleet (Corée du Nord) déploie Qilin dans un nombre limité d’attaques ; des opérateurs réputés chinois utilisent NailaoLocker et RA World en parallèle d’outils d’espionnage classiques (PlugX, ShadowPad).

Les MOA iraniens (MuddyWater) continuent d’utiliser des outils RMM (AteraAgent, SimpleHelp, ScreenConnect) à des fins offensives. Les groupes hacktivistes pro-russes (Z-Pentest Alliance, NoName057) maintiennent une pression DDoS et tentent des sabotages d’installations OT/ICS (eau, énergie renouvelable).

3.3 Modèle économique sous-jacent

L’écosystème cybercriminel fonctionne comme un marché de services spécialisés : les opérateurs RaaS fournissent infrastructure et ransomware, les IAB vendent les accès initiaux, les cluster de distribution assurent la propagation, les négociateurs gèrent les demandes de rançon, et des blanchisseurs convertissent les cryptoactifs. Cette division du travail augmente l’efficacité opérationnelle et complique l’attribution judiciaire.

La durée de vie moyenne d’un groupe RaaS est estimée à 262 jours (données 2023). Les affiliés pérennes déploient plusieurs souches successivement : EvilCorp a transité de LockBit (2022) à RansomHub (juillet 2024-début 2025). Cette rotation complique le suivi par marqueurs techniques et nécessite une approche d’identification des affiliés fondée sur des TTP discriminantes plutôt que sur des indicateurs associés à une souche spécifique.

3.4 Corrélation MITRE ATT&CK

Les techniques ATT&CK dominantes observées en 2025 sont les suivantes :

  • T1190 Exploit Public-Facing Application : vecteur primaire sur équipements Ivanti, Fortinet, SharePoint, VMware.
  • T1566 Phishing (T1566.001 Spearphishing, T1566.004 via service vocal) : vecteur primaire des campagnes d’espionnage étatique.
  • T1078 Valid Accounts : exploitation systématique par Scattered Spider et des IAB en remplacement des malwares traditionnels.
  • T1219 Remote Access Software : AnyDesk, AteraAgent, SimpleHelp, ScreenConnect utilisés à toutes les phases de la kill chain.
  • T1021 Remote Services (Lateral Movement) : via services légitimes pour contourner la segmentation réseau.
  • T1484/T1098 Account Manipulation / Domain Policy Modification : post-exploitation sur Active Directory.
  • T1048 Exfiltration Over Alternative Protocol : rclone, MEGA, Dropbox, Google Drive pour éviter la détection DLP.
  • T1486 Data Encrypted for Impact : déploiement ransomware en phase terminale.
  • T1562 Impair Defenses (BYOVD) : désactivation EDR via drivers vulnérables légitimes (Bring Your Own Vulnerable Driver).
  • T1027 Obfuscated Files : Lumma Stealer utilise le control flow flattening ; généralisation de l’obfuscation avancée dans les MaaS.

3.5 Tendances sur 24 mois

Sur la période 2024-2025, cinq tendances majeures se confirment et s’accélèrent : (1) la généralisation du Living off the Land à tous types d’acteurs ; (2) la montée de l’exfiltration pure au détriment du double chiffrement ; (3) l’exploitation massive et rapide (parfois en jour-zéro) des équipements de bordure ; (4) le ciblage croissant des environnements cloud et des prestataires en position centrale dans la chaîne d’approvisionnement ; (5) l’utilisation de l’IA générative par les attaquants pour améliorer la qualité et la quantité de leurs contenus d’hameçonnage et de leurs infrastructures d’attaque.

3.6 Corrélations géopolitiques

Le niveau de cybermenace est directement corrélé aux tensions géopolitiques mondiales. L’agression russe contre l’Ukraine depuis 2022 génère une activité cyber de sabotage et d’espionnage soutenue, avec des effets de débordement sur les pays membres de l’OTAN et de l’UE soutenant Kiev. La Pologne a subi fin 2025 des attaques coordonnées sur ses infrastructures énergétiques, premières du genre dans un État membre de l’UE, attribuées à des acteurs liés à la Russie.

Les tensions sino-occidentales alimentent les campagnes d’espionnage ciblant les secteurs diplomatiques, de défense, des télécommunications et de l’énergie. Le contexte de « lawfare cyber » observé par l’ANSSI utilisation de cadres légaux nationaux pour imposer des logiciels comportant des capacités offensives illustre la convergence entre instruments étatiques légaux et capacités de compromission.

4. Méthodologie

4.1 Approche CTI mobilisée

Cet article mobilise simultanément les trois niveaux de Cyber Threat Intelligence définis par le cadre du SANS Institute et repris par l’ENISA :

  • CTI tactique : analyse des indicateurs de compromission (IoC), des signatures de malwares, des TTP spécifiques à chaque acteur et des artefacts forensiques documentés dans le rapport ANSSI et les publications associées.
  • CTI opérationnelle : modélisation des chaînes de compromission, des infrastructures d’attaque, des modes de persistance et de latéralisation observés lors des incidents 2025.
  • CTI stratégique : identification des tendances structurelles, modélisation des risques systémiques, projection prospective sur 6-12 mois, implications pour les arbitrages de gouvernance.

4.2 Frameworks mobilisés

MITRE ATT&CK v16 constitue le référentiel tactique principal. Il est complété par :

  • Le modèle Diamond (Adversary, Capability, Infrastructure, Victim) pour la corrélation des attributions et la modélisation des relations entre acteurs.
  • La Cyber Kill Chain de Lockheed Martin pour la structuration séquentielle de l’analyse technique (section 5).
  • Le framework CVSS v3.1 pour l’évaluation normalisée de la sévérité des vulnérabilités.
  • Le modèle d’analyse des risques EBIOS Risk Manager (ANSSI) pour la section de modélisation des risques.

4.3 Limites méthodologiques

Plusieurs limites doivent être explicitement formulées. Premièrement, le rapport ANSSI ne couvre qu’une fraction du paysage réel les incidents portés à la connaissance de l’Agence, avec un biais vers les entités publiques et les bénéficiaires directs de l’Agence. Deuxièmement, le processus d’attribution demeure probabiliste et non déterministe : l’utilisation d’outils partagés et de techniques de faux drapeau introduit une incertitude résiduelle dans toute attribution. Troisièmement, les données quantitatives sur les exfiltrations de données sont partielles : seules 80 revendications sur l’ensemble des déclarations reçues ont été confirmées. Quatrièmement, l’évaluation de l’usage offensif de l’IA reste limitée par le faible nombre d’incidents documentés avec certitude.

5. Analyse Technique

5.1 Initial Access

L’exploitation d’équipements de bordure exposés sur Internet constitue le vecteur d’accès initial dominant en 2025. Les alertes CERT-FR les plus significatives portent sur : Ivanti Connect Secure (CVE-2025-0282, CVSS 9.0, exploitation zero-day détectée dès mi-décembre 2024 par le MOA UNC5221 ; CVE-2025-22457, exploitation massive après publication) ; Fortinet FortiOS (exploitation post-patch des CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 illustrant la persistance des actifs durablement vulnérables) ; Microsoft SharePoint (CVE-2025-49704/49706 « Toolshell », exploitation zero-day dès fin juin 2025, PoC public le 21 juillet) ; VMware ESXi/Workstation/Fusion (CVE-2025-22224/22225/22226, exploitation zero-day révélée le 6 mars 2025).

En parallèle, les comptes VPN dépourvus d’authentification forte (MFA) constituent un vecteur d’intrusion persistant, exploité systématiquement lors de campagnes de ransomware. L’ANSSI documente de nombreux incidents 2025 initiés par compromission de comptes VPN qu’il s’agisse de comptes utilisateurs ou de comptes prestataires.

Le phishing reste le vecteur d’accès initial des campagnes d’espionnage étatique : spearphishing ciblé (Callisto contre RSF, UNC6293 contre chercheurs spécialistes de la Russie), hameçonnage vocal (vishing), et campagnes d’hameçonnage via Signal et WhatsApp usurpant des personnalités politiques américaines et ukrainiennes.

5.2 Exploitation Chain

Les chaînes d’exploitation 2025 se caractérisent par leur hétérogénéité et leur adaptabilité. Dans les campagnes RaaS, la chaîne type est : exploitation d’équipement de bordure ou compromission de compte VPN → déploiement d’outil RMM (AnyDesk, MeshAgent, AteraAgent) → reconnaissance interne → exfiltration de données via rclone/MEGA → déploiement du ransomware. Dans les campagnes d’espionnage étatique, la chaîne est : spearphishing ou exploitation edge device → implant léger ou accès via compte compromis → reconnaissance longue durée → exfiltration silencieuse via services légitimes (Google Drive, Dropbox, services WebDAV) → maintien de persistance.

La vulnérabilité CVE-2024-55591 (Fortinet, contournement d’authentification sur interface d’administration) illustre l’enjeu de l’exposition des interfaces de gestion : lors de son signalement par le CERT-FR, plus de 3 700 interfaces d’administration Fortinet étaient exposées sur Internet en France. L’exploitation permet à l’attaquant d’obtenir des privilèges administrateur sur le pare-feu, de restreindre les droits des administrateurs légitimes et d’établir un point d’entrée pérenne.

5.3 Payload Architecture

L’architecture des payloads observés en 2025 reflète la spécialisation des écosystèmes MaaS et RaaS. Lumma Stealer (MaaS actif depuis août 2022 sur forums russophones) illustre la sophistication de ces codes : capacités de vol d’authentifiants, cookies de session, portefeuilles crypto ; exécution de code sur la machine infectée ; déploiement de charges secondaires ; obfuscation avancée (control flow flattening) ; infrastructure C2 dynamique (domaines modifiés plusieurs fois par semaine, CDN Cloudflare pour masquer les IPs réelles). Son infrastructure a été démantelée le 21 mai 2025 dans le cadre de l’opération ENDGAME, mais a resurgi rapidement démontrant la résilience des opérateurs.

Dans les campagnes d’espionnage, les implants utilisés incluent ApolloShadow (Turla, déployé via Adversary-in-the-Middle dans les ambassades à Moscou), Kazuar v2 (Turla, déployé via Gamaredon collaboration inter-MOA FSB), et la chaîne StaticPlugin/CanonStager/PlugX (UNC6384/Mustang Panda contre entités diplomatiques européennes). Ces implants sont conçus pour une présence longue durée, une exfiltration discrète et une adaptation aux environnements cibles spécifiques.

5.4 Persistence

Les mécanismes de persistance observés en 2025 s’appuient massivement sur des composants légitimes du système. L’injection de filtres Servlet en mémoire dans VMware vCenter (UNC5221) permet l’installation d’une backdoor sans écriture sur disque, contournant les signatures antivirus. Les outils RMM utilisés comme backdoors (AnyDesk, AteraAgent, LogMeIn) bénéficient de leur légitimité apparente pour survivre aux redémarrages sans déclencher d’alertes. L’utilisation de services cloud (Google Calendar, Google Drive, Dropbox) comme canaux C2 masque les communications malveillantes dans des flux HTTPS légitimes.

Un cas documenté illustre la sophistication de la persistance : lors d’incidents impliquant des outils RMM déployés via de faux supports informatiques, les attaquants modifient les clés de registre pour assurer le lancement du programme en mode sans échec contournant les EDR qui ne s’initialisent pas dans ce mode.

5.5 Privilege Escalation

La montée en privilèges exploite principalement trois vecteurs en 2025. Premièrement, l’exploitation de vulnérabilités sur des équipements déjà compromis : après avoir exploité CVE-2024-8190/8963/9380 sur des équipements Ivanti CSA, le MOA Houken (UNC5174) procède à une escalade de privilèges vers l’administration locale puis au Lateral Movement vers le réseau interne. Deuxièmement, l’exploitation de l’Active Directory via des techniques d’attaques Kerberos (Pass-the-Hash, Kerberoasting) documentées lors des audits de sécurité ANSSI. Troisièmement, l’exploitation de vulnérabilités dans des hyperviseurs (CVE-2025-22224, CVE-2025-41244 dans VMware) permettant l’évasion de la sandbox virtuelle et l’accès à l’hyperviseur hôte.

5.6 Defense Evasion

La Defense Evasion constitue l’axe d’innovation le plus soutenu chez les attaquants en 2025. Le Living off the Land (LOTL) est désormais généralisé à tous les types d’acteurs étatiques comme cybercriminels. Les techniques documentées incluent : utilisation de LOLBins (binaires systèmes légitimes détournés), déploiement d’outils RMM commerciaux, communications C2 via services cloud légitimes, utilisation de proxies commerciaux et du réseau Tor pour masquer l’infrastructure d’attaque (Laundry Bear utilise ces trois techniques simultanément).

Une technique particulièrement significative est le « self-patching » : lors d’un incident traité par l’ANSSI, un attaquant a corrigé lui-même les vulnérabilités CVE-2024-8190, CVE-2024-8963 et CVE-2024-9380 sur les équipements compromis après les avoir exploitées rendant les scans de vulnérabilités ultérieurs inopérants et compliquant la détection de la compromission.

L’utilisation de l’IA générative pour créer des sites Internet d’apparence légitime hébergeant des payloads malveillants constitue un vecteur émergent documenté par l’ANSSI dans le cadre de ses investigations sur la Lutte Informatique Offensive Privée (LIOP).

5.7 Lateral Movement

Le Lateral Movement s’appuie en 2025 prioritairement sur l’exploitation de comptes légitimes compromis et sur les interconnexions entre systèmes d’information. L’ANSSI documente plusieurs incidents où un attaquant a compromis un prestataire hébergeant des ressources clientes, puis s’est latéralisé vers les SI de plusieurs clients via les interconnexions existantes et des authentifiants volés. Ce vecteur est d’autant plus difficile à détecter que le trafic latéral emprunte des canaux d’administration légitimes (VPN prestataire, RDP, outils de supervision).

Dans les environnements cloud, la compromission d’un unique compte avec des permissions étendues peut permettre un Lateral Movement vers l’ensemble des ressources hébergées. L’ANSSI documente en octobre 2025 une attaque ransomware ciblant une solution SaaS française hébergée sur AWS illustrant la transposition des techniques de compromission on-premise aux environnements cloud.

5.8 Command & Control

L’infrastructure C2 des acteurs observés en 2025 est caractérisée par sa résilience et son opacité. Les acteurs étatiques russes (APT28) utilisent des services de stockage légitimes (Koofr, Icedrive, Filen.io) pour héberger leurs payloads et gérer leurs communications C2 rendant le trafic indiscernable d’une utilisation bureautique normale. Les acteurs cybercriminels utilisent des CDN (Cloudflare) pour masquer les IP réelles de leurs serveurs C2, avec rotation de domaines plusieurs fois par semaine (cas Lumma Stealer).

La technique Adversary-in-the-Middle exploitée par Turla à Moscou tire parti du système SORM infrastructure d’interception légale des télécommunications contrôlée par le FSB pour s’insérer dans les communications entre le personnel diplomatique et les opérateurs de télécommunications locaux, déployant ainsi la backdoor ApolloShadow sans exposition d’infrastructure C2 externe.

5.9 Data Exfiltration

L’exfiltration de données constitue la phase de plus forte croissance observée en 2025. Les outils privilégiés sont rclone (synchronisation vers services cloud), 7-Zip/WinRAR (compression avant exfiltration), MEGA, Dropbox et Google Drive (canaux de transfert légitimes). Cl0p exploite des vulnérabilités dans des solutions de transfert de fichiers sécurisées (CVE-2025-6182 dans Oracle E-Business Suite) pour opérer une exfiltration massive simultanée affectant des centaines d’entreprises.

La récupération des Machine Keys de SharePoint lors des incidents d’exploitation des vulnérabilités « Toolshell » illustre la sophistication croissante des attaquants dans l’identification et l’exfiltration des secrets à haute valeur. Ces clés permettent potentiellement le déchiffrement de données sensibles a posteriori.

5.10 Impact Logic

L’impact final des attaques observées en 2025 est diversifié. Pour les acteurs cybercriminels : chiffrement et indisponibilité des systèmes (ransomware) ; exfiltration et publication de données (double/triple extorsion) ; perturbation de services pour les clients de prestataires compromis (incidents cloud, fournisseurs SaaS). Pour les acteurs étatiques : collecte de renseignement stratégique (espionnage diplomatique, industriel, militaire) ; pré-positionnement pour des actions futures de sabotage ; destruction d’infrastructures critiques (wipers en Ukraine, attaques sur énergie polonaise).

Un cas documenté illustre les effets de bord des mesures d’endiguement : une entité ayant procédé au débranchement électrique de son datacenter suite à une détection précoce avant chiffrement a subi un arrêt total et une perturbation de longue durée, illustrant que les modalités d’endiguement constituent elles-mêmes un risque opérationnel majeur nécessitant une préparation antérieure.

6. Perspective Detection Engineering

6.1 Surface de détection

La surface de détection pertinente en 2025 se concentre sur cinq zones prioritaires : (1) les équipements de bordure (logs d’authentification, anomalies sur les interfaces d’administration, patterns d’exploitation de vulnérabilités) ; (2) les communications vers des services légitimes utilisés comme C2 (volumes anormaux, horaires atypiques, destinations inhabituelles pour Google Drive, Dropbox, MEGA) ; (3) les déploiements d’outils RMM non référencés dans l’inventaire officiel ; (4) les mouvements latéraux via des comptes à privilèges (événements Windows 4624, 4648, 4768, 4769) ; (5) les activités d’exfiltration (transferts de volumes importants vers des destinations cloud, utilisation de rclone ou d’outils de compression sur des serveurs de données sensibles).

6.2 Angles morts

Plusieurs angles morts structurels limitent la capacité de détection des défenseurs. Premièrement, les communications C2 via des services cloud légitimes (HTTPS vers googleapis.com, dropbox.com, etc.) sont pratiquement indétectables par inspection du contenu seule l’analyse comportementale (volume, fréquence, destination) peut générer des signaux. Deuxièmement, les outils RMM légitimes n’ont pas de signature malveillante leur usage offensif ne peut être détecté que par contextualisation (compte utilisé, heure, machine source). Troisièmement, l’exploitation en mode sans échec contourne les EDR qui ne s’initialisent pas dans ce mode.

Le « self-patching » par les attaquants après exploitation crée un angle mort spécifique : les scans de vulnérabilités détectent l’équipement comme patché alors qu’il est compromis faussant l’évaluation de la surface d’exposition.

6.3 Exigences en télémétrie

Une défense efficace en 2025 requiert a minima : journaux d’authentification complets (incluant authentifications VPN et services cloud) ; télémétrie EDR avec couverture des processus en mode sans échec ; logs de flux réseau (NetFlow) permettant la détection d’exfiltrations volumétriques ; journaux des outils de supervision et d’accès à distance déployés ; logs des équipements de bordure (authentifications, erreurs, changements de configuration) ; et, pour les environnements cloud, logs d’activité des API avec rétention suffisante pour les investigations a posteriori.

6.4 Logique de corrélation SOC

Les règles de corrélation prioritaires pour 2025 incluent : déploiement d’outil RMM sur un poste non enregistré à l’inventaire ; connexion RMM depuis une IP résidentielle ou anonymisée (TOR, VPN commercial) ; transfert de volumes supérieurs à N Go vers MEGA, Dropbox ou services WebDAV non autorisés ; authentification réussie via VPN depuis une géolocalisation inconnue suivi d’un accès à des ressources sensibles ; modification de clés de registre de démarrage en mode sans échec par un processus non système.

6.5 Hypothèses de Threat Hunting

Les hypothèses de chasse aux menaces prioritaires pour 2025 sont les suivantes :

  • H-TH1 : Des outils RMM légitimes sont actuellement déployés sur des postes de travail sans action utilisateur connue, dans le cadre d’une intrusion non détectée.
  • H-TH2 : Un compte VPN prestataire est utilisé en dehors des heures ouvrables habituelles du prestataire pour accéder à des ressources internes sensibles.
  • H-TH3 : Un équipement de bordure présente des modifications de configuration non tracées dans le CMDB, pouvant indiquer une exploitation ou un self-patching post-compromission.
  • H-TH4 : Des données volumineuses transitent vers des destinations cloud non référencées depuis des serveurs de fichiers ou des postes de travail contenant des données sensibles.

6.6 IoC vs IoB

La généralisation du LOTL rend les IoC traditionnels (hashes de malwares, IPs de C2) de moins en moins pertinents comme indicateurs primaires. Les Indicators of Behavior (IoB) séquences d’actions, patterns comportementaux constituent la surface de détection la plus robuste face aux attaquants modernes. L’utilisation d’un outil RMM légitime (AnyDesk, AteraAgent) n’est détectable que comme IoB : compte non autorisé, machine non référencée, horaire anormal, précédé par une action de phishing. Cette transition vers le IoB impose une montée en maturité significative des capacités analytiques des SOC.

7. Modélisation des Risques

7.1 Risque Opérationnel Critique

Le risque opérationnel est évalué CRITIQUE. La probabilité d’occurrence d’un incident significatif est très élevée, confirmée par les données ANSSI (1 366 incidents en 2025, niveau stable). Les vecteurs d’accès initial sont multiples, largement accessibles (vulnérabilités publiées, outils RMM commerciaux, credentials compromis) et adaptés à des attaquants de niveaux de sophistication variables. L’impact potentiel inclut l’interruption de services, la perturbation de la continuité d’activité, la compromission de données personnelles ou sensibles, et des effets en cascade via la chaîne d’approvisionnement.

L’amplificateur de risque principal est la concentration de la surface d’exposition sur un petit nombre de catégories d’équipements (Ivanti, Fortinet, SharePoint, VMware) dont les vulnérabilités sont activement exploitées en masse. La fenêtre d’exploitation post-publication est en réduction constante : en 2025, environ 29 % des vulnérabilités exploitées l’ont été le jour même de leur publication ou avant.

7.2 Risque Stratégique Critique

Le risque stratégique est évalué CRITIQUE pour les entités des secteurs gouvernemental, diplomatique, défense, énergie et télécommunications. Les campagnes d’espionnage étatique (Salt Typhoon, RedDelta, APT31, Turla) visent explicitement la collecte de renseignement stratégique sur le long terme informations de configuration réseau, secrets diplomatiques, propriété intellectuelle de défense. Ces données exfiltrées alimentent des campagnes d’attaque ultérieures, créant un cycle de compromission auto-entretenu.

L’érosion des frontières actorielles amplifie ce risque : l’attribution incertaine retarde la réponse, complique la communication de crise et peut générer des arbitrages incorrects dans les décisions de remédiation.

7.3 Risque Réglementaire Élevé

Le risque réglementaire est évalué ÉLEVÉ et croissant. La transposition de NIS2 impose aux entités essentielles et importantes des obligations de notification d’incident dans des délais contraints (alerte précoce dans les 24 heures, notification dans les 72 heures, rapport final dans le mois). Les incidents d’exfiltration de données personnelles génèrent des obligations RGPD parallèles (notification CNIL dans les 72 heures). L’entrée en vigueur du CRA le 11 septembre 2026 imposera des obligations supplémentaires aux fournisseurs de produits numériques. Le non-respect de ces obligations expose à des sanctions financières significatives et à un risque réputationnel amplifié.

7.4 Risque Supply Chain Critique

Le risque lié à la chaîne d’approvisionnement est évalué CRITIQUE. Les incidents documentés en 2025 illustrent la réalité de la compromission en cascade : un prestataire compromis permet l’accès aux SI de l’ensemble de ses clients via les interconnexions existantes. La généralisation du cloud amplifie ce vecteur : la compromission d’un fournisseur SaaS peut affecter simultanément des centaines ou milliers d’entités clientes.

Le ciblage de la Base Industrielle et Technologique de Défense (BITD) française via des ransomwares entre janvier et juin 2025 illustre la vulnérabilité spécifique des sous-traitants de défense entités disposant d’informations sensibles mais dont le niveau de maturité cyber est généralement inférieur à celui des donneurs d’ordre.

7.5 Scénarios d’amplification

Trois scénarios d’amplification sont à anticiper : (1) la compromission simultanée d’un fournisseur de services cloud majeur affectant l’ensemble de ses clients dans un secteur critique (santé, énergie) déjà partiellement documenté en 2025 ; (2) l’exploitation combinée d’une vulnérabilité zero-day dans un équipement de bordure massivement déployé et d’un tunnel C2 via service cloud, permettant une campagne d’accès initial de masse avant publication du correctif ; (3) l’usage offensif d’un système d’IA générative compromis dans un environnement de développement logiciel, constituant une attaque supply chain de nouvelle génération.

8. Mitigation et Contrôles Structurels

8.1 Contrôles techniques immédiats

Les contrôles immédiats à mettre en oeuvre sont les suivants :

  • Inventaire exhaustif et patch management priorisé des équipements de bordure exposés sur Internet (Ivanti, Fortinet, Citrix, VMware, SharePoint) avec réduction de la fenêtre de remédiation à 24-48 heures pour les vulnérabilités CVSS ≥ 9.0 exploitées activement.
  • Déploiement obligatoire du MFA sur l’ensemble des accès VPN, RDP et portails d’administration y compris pour les comptes prestataires.
  • Interdiction ou whitelisting strict des outils RMM dans l’environnement avec détection automatisée de tout déploiement hors périmètre approuvé.
  • Rotation immédiate des Machine Keys et secrets associés à tout équipement affecté par une vulnérabilité exploitée activement indépendamment de l’application du correctif.
  • Cartographie des services cloud et outils légitimes utilisés dans l’environnement, permettant la détection d’usages anormaux (volumétrie, destination, horaire).

8.2 Ajustements tactiques de réponse

La gestion de crise doit intégrer les leçons des incidents 2025. Les mesures d’endiguement précipitées (débranchement électrique de datacenter) peuvent générer des effets de bord supérieurs à la menace initiale. La priorité est d’orchestrer l’endiguement avec la cellule de crise, en préservant les traces forensiques pour les investigations ultérieures. La révocation des authentifiants compromis doit être coordonnée avec la déconnexion des équipements, pour éviter la perte de visibilité sur les chemins d’accès adverses encore actifs.

8.3 Reconception architecturale

Les recommandations architecturales prioritaires issues de l’analyse des incidents 2025 sont : (1) segmentation réseau renforcée entre les zones bureautiques, les équipements de bordure, les environnements de virtualisation et les services cloud ; (2) implémentation du principe de moindre privilège sur l’ensemble des comptes prestataires, avec révocation automatique des accès hors fenêtres de maintenance définies ; (3) cloisonnement des usages personnels et professionnels, notamment pour limiter la surface d’exposition aux infostealers ; (4) vérification systématique des journaux d’activité des services cloud via des mécanismes d’audit indépendants du fournisseur de service.

8.4 Adaptation de la gouvernance

Sur le plan de la gouvernance, l’ANSSI recommande la réalisation d’audits larges (et non uniquement des exercices redteam) permettant d’obtenir une vision globale du niveau de sécurité du SI bureautique incluant les fournisseurs d’authentification, les composants sous-jacents et l’exposition Internet des interfaces d’administration. Les PCA et PRA doivent être formalisés, testés et actualisés avant toute crise les décisions prises sous pression d’un incident actif, sans préparation antérieure, génèrent systématiquement des effets de bord significatifs.

8.5 Implications pour la maturité CERT

Pour les CERT et CSIRT, les implications sont les suivantes : renforcement des capacités de Threat Hunting orientées IoB plutôt qu’IoC ; développement de règles de détection couvrant les usages légitimes détournés (RMM, services cloud, LOLBins) ; intégration de la dimension supply chain dans les processus de réponse à incident (périmètre élargi aux prestataires et clients interconnectés) ; participation active aux écosystèmes de partage de renseignement (InterCERT France, FIRST, MISP) pour accélérer la capitalisation sur les campagnes en cours.

9. Projection Stratégique (6–12 mois)

9.1 Industrialisation probable

Sur les 6 à 12 prochains mois, plusieurs tendances d’industrialisation sont attendues. La généralisation du LOTL va s’accentuer, rendant la détection basée sur les signatures encore plus inopérante. Les franchises RaaS vont continuer à se restructurer après les opérations de démantèlement (ENDGAME, RansomHub, BlackBasta, LockBit) les affiliés pérennes migreront vers de nouvelles plateformes ou créeront leurs propres opérations. Le modèle d’exfiltration pure (sans chiffrement) va continuer sa progression, atteignant potentiellement la parité avec le ransomware classique.

9.2 Évolution des TTP

L’utilisation de l’IA générative va progresser qualitativement : amélioration de la crédibilité des leurres de phishing (textes sans fautes, visuels cohérents), génération de sites d’infrastructure malveillante indiscernables de sites légitimes, et potentiellement assistance à la génération de code d’exploitation. L’ANSSI ne prévoit pas de changement de paradigme à court terme, mais les signaux précurseurs d’un saut qualitatif dans les capacités offensives assistées par IA sont déjà observables.

La technique Clickfix va continuer à se diffuser dans l’écosystème criminel et être adoptée plus largement par les acteurs étatiques sa simplicité d’implémentation et son efficacité sur les utilisateurs insuffisamment sensibilisés en font un vecteur à faible coût et forte rentabilité.

9.3 Weaponization curve

La fenêtre entre publication d’une vulnérabilité et exploitation massive va continuer à se réduire. Les données ANSSI indiquent qu’en 2025, environ 29 % des vulnérabilités exploitées l’ont été le jour même de leur publication ou avant. Cette tendance impose aux défenseurs de disposer de capacités de patch management en urgence opérationnelle avec des processus de déploiement d’urgence testés et validés, indépendamment des cycles de maintenance habituels.

9.4 Anticipation des variantes

L’hybridation étatique-criminelle va s’approfondir. L’utilisation de souches RaaS commerciales par des MOA d’État (Moonstone Sleet avec Qilin, opérateurs chinois avec NailaoLocker et RA World) va se normaliser, rendant l’attribution encore plus complexe. Des campagnes combinant espionnage stratégique et extorsion financière vont émerger comme modèle hybride stabilisé.

9.5 Impact sur la surface d’attaque sectorielle

Les secteurs de l’éducation et de la santé vont rester des cibles prioritaires des acteurs cybercriminels leur niveau de maturité cyber structurellement plus faible et leur exposition publique en font des cibles à fort ratio rendement/effort. Le secteur cloud va s’imposer comme vecteur d’attaque critique, à mesure que la généralisation de l’hébergement cloud crée des concentrations de cibles de plus en plus attractives pour les acteurs cherchant à maximiser l’impact d’une compromission unique. Les équipements OT/ICS exposés sur Internet (installations d’énergie renouvelable, eau) vont continuer à être ciblés par des acteurs hacktivistes, avec un risque de montée en sophistication des attaques.

10. Conclusion Analytique

Le panorama de la cybermenace 2025 révèle une menace devenue systémique, distribuée et structurellement difficile à attribuer. Trois inflexions analytiques méritent d’être retenues comme conclusions démonstratives.

Premièrement, l’érosion des frontières entre acteurs étatiques et cybercriminels n’est pas un phénomène transitoire mais une caractéristique structurelle de l’écosystème cyber contemporain. Elle est alimentée par la disponibilité publique d’outils offensifs sophistiqués, la délégation de capacités par des États à des prestataires privés de LIO, et le recours opportuniste de groupes criminels à des techniques d’espionnage. Cette convergence impose de réviser les taxonomies actorielles et les modèles d’attribution qui en découlent.

Deuxièmement, la généralisation du Living off the Land constitue le défi de détection le plus structurel pour les défenseurs. Elle déplace le périmètre de détection des signatures malveillantes vers les comportements anormaux sur des outils légitimes exigeant une montée en maturité analytique des SOC, une télémétrie plus complète et une adaptation des règles de corrélation. Les organisations qui n’ont pas encore opéré cette transition sont structurellement en retard.

Troisièmement, la hausse de 51 % des incidents d’exfiltration de données en 2025 signale une maturation du modèle d’extorsion cybercriminel : les attaquants optimisent leur rapport risque/rendement en évitant le déploiement de ransomware plus visible, plus détectable au profit d’une exfiltration silencieuse monétisable sur la durée. Cette évolution impose aux défenseurs de traiter l’exfiltration de données comme une menace de première priorité, au même titre que le chiffrement.

L’exercice 2026 sera structuré par l’entrée en vigueur du Cyber Resilience Act, les élections et la présidence française du G7, et la probable intensification des opérations hybrides russes dans le contexte du conflit ukrainien. Les organisations qui auront investi en 2025-2026 dans une gestion des vulnérabilités priorisée, des capacités de Threat Hunting avancées et des plans de réponse à incident testés disposeront d’une résilience structurellement supérieure face à cette menace.

11. Références

Sources primaires

SourceURL
ANSSI CERTFR-2026-CTI-002https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-002/
CERT-FR Alertes 2025https://www.cert.ssi.gouv.fr
CERTFR-2025-CTI-009 Houkenhttps://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-009.pdf
CERTFR-2025-CTI-001 Cloudhttps://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-001/
CERTFR-2025-CTI-008 ENDGAMEhttps://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-008/
Mandiant/GTIG Salt Typhoonhttps://s3.documentcloud.org/documents/25998809/20250611-dhs-salt-typhoon.pdf
Sekoia APT28 Operation Phantom Net Voxelhttps://blog.sekoia.io/apt28-operation-phantom-net-voxel/
Sekoia RSF / Callistohttps://blog.sekoia.io/ngo-reporters-without-borders-targeted-by-calisto-in-recent-campaign/
Microsoft BadPilot / Sandwormhttps://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/
Orange Cyberdefense NailaoLockerhttps://www.orangecyberdefense.com/global/blog/cert-news/meet-nailaolocker-a-ransomware-distributed-in-europe-by-shadowpad-and-plugx-backdoors
Google GTIG PRC-nexus diplomatshttps://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats
Eye Security SharePoint Toolshellhttps://research.eye.security/sharepoint-under-siege/
Proofpoint RMM toolinghttps://www.proofpoint.com/us/blog/threat-insight/remote-monitoring-and-management-rmm-tooling-increasingly-attackers-first-choice
VulnCheck State of Exploitation 2026https://www.vulncheck.com/blog/state-of-exploitation-2026
AIVD/MIVD Laundry Bearhttps://www.aivd.nl/documenten/publicaties/2025/05/27/aivd-en-mivd-onderkennen-nieuwe-russische-cyberactor
ESET Gamaredon x Turlahttps://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/
MITRE ATT&CK v16https://attack.mitre.org/
CVSS v3.1 NVDhttps://nvd.nist.gov/vuln-metrics/cvss