Fortinet : bond record des cyberattaques automatisées, menées par des assaillants capitalisant sur l’IA et de nouvelles techniques
Le rapport 2025 de FortiGuard Labs sur les menaces mondiales souligne une nette progression du Cybercrime-as-a-Service sur le darknet, donnant lieu à un marché lucratif pour le détournement d’identifiants, les exploits et les intrusions

Diegem, le 5 mai 2025 - Fortinet, l’un des leaders mondiaux de la cybersécurité et acteur majeur de la convergence entre réseau et sécurité, annonce la publication du rapport 2025 de FortiGuard Labs sur le panorama mondial des menaces (Global Threat Landscape Report). Ce nouvel opus annuel dresse un état des lieux du paysage des menaces et de ses tendances en 2024, avec notamment une analyse complète des tactiques de cyberattaque utilisées, comme indiqué dans le framework MITRE ATT&CK. L’étude note que les assaillants ont davantage recours à l’automatisation, des outils avancés et l’IA, pour tenter de percer l’arsenal de défense des entreprises.
« Notre nouveau rapport sur les menaces mondiales est formel : les cybercriminels redoublent d’efforts. Ils font appel à l’IA et à l’automatisation pour accélérer leurs exactions et en étendre le périmètre » observe Derek Manky, Chief Security Strategist & Global VP Threat Intelligence, Fortinet FortiGuard Labs. Il précise « Les processus de sécurité traditionnels ne sont plus suffisants. Les entreprises sont invitées à opter pour une stratégie de défense plus proactive, basée sur des informations de veille et optimisée par IA. D’autre part, le Zero Trust et un pilotage permanent du niveau d’exposition aux risques de cybersécurité s’imposent pour garder une longueur d’avance sur des menaces en forte évolution. »
Les temps forts du nouveau rapport du FortiGuard Labs sont les suivants :
- Les scans automatisés atteignent des niveaux records car les assaillants opèrent plus en amont pour identifier rapidement les cibles vulnérables. Pour exploiter de nouvelles vulnérabilités, les cybercriminels mènent des scans automatisés. L’activité de ces scans à l’échelle mondiale a progressé de 16,7 % pour atteindre des niveaux sans précédent en 2024. Cette tendance capitalise sur une collecte sophistiquée et massive d’informations sur les infrastructures numériques vulnérables. FortiGuard Labs a observé des milliards de scans chaque mois, l’équivalent de 36 000 scans par seconde, révélant que les services vulnérables basés sur SIP ou RDP et les protocoles OT/IoT comme Modbus TCP sont davantage analysés, cartographiés et ainsi ciblés.
- Les marketplaces du darknet offrent un accès à des kits d’exploitation packagés. En 2024, les forums cybercriminels ont davantage fait office de place de marché pour les kits d’exploitation, avec que plus de 40 000 nouvelles vulnérabilités ajoutées à la National Vulnerability Database américaine (+ 39 % par rapport à 2023). Au-delà des vulnérabilités zero-day qui circulent sur le darknet, les brokers d’accès initiaux (accès direct à des infrastructures d’entreprise) proposent de plus en plus d’identifiants d’entreprise (20 %), des accès distants par RDP (19 %), des interfaces d’administration (13 %) et des scripts web shells (12 %). FortiGuard Labs a aussi observé que le volume de données provenant de systèmes piratés par des malwares de type infostealer (détournement d’informations) a augmenté de 500 % au cours de l’année écoulée, avec notamment 1,7 milliard de données liées à des identifiants piratés ayant été partagées sur ces forums clandestins.
- La cybercriminalité optimisée par IA a le vent en poupe. Les assaillants tirent parti de l’IA pour rendre leurs opérations de phishing plus réalistes et contourner les fonctionnalités traditionnelles de sécurité, accentuant ainsi l’efficacité et la furtivité des cyberattaques. Des outils tels que FraudGPT, BlackmailerV3 et ElevenLabs donnent lieu à des campagnes de plus grande échelle, crédibles et efficaces, d’autant qu’ils s’affranchissent des restrictions éthiques des outils d’IA grand public.
- Les attaques ciblées s’intensifient sur les secteurs d’activité critiques. La production industrielle, les soins de santé et les services financiers comptent parmi les secteurs qui accusent une recrudescence de cyberattaques personnalisées, les cybercriminels déployant des exploitations spécifiques à un secteur. En 2024, les plus ciblés étaient la production industrielle (17 %), les services aux entreprises (11 %), la construction (9 %) et la grande distribution (9 %). Nombre d’États-nations et d’opérateurs de ransomware-as-a-service (RaaS) ont concentré leurs efforts sur ces secteurs d’activité, les États-Unis ayant subi le plus grand nombre d’attaques (61 %), suivis du Royaume-Uni (6 %) et du Canada (5 %).
- Les risques de sécurité dans le cloud et l’IoT progressent. Les environnements cloud restent une cible prioritaire, les assaillants exploitant des vulnérabilités persistantes comme les buckets de stockage ouvert, les identités disposant de privilèges trop élevés et les services mal configurés. Dans 70 % des incidents observés, les assaillants ont obtenu un accès en se connectant à partir de zones géographiques inconnues, une réalité qui illustre le rôle essentiel de la surveillance des identités dans la défense du cloud.
- Les identifiants, la monnaie de la cybercriminalité. En 2024, les cybercriminels ont partagé plus de 100 milliards de données piratées sur des forums underground. Ce chiffre (+ 42 % en un an) est en grande partie dû à la présence de « listes combinées » contenant des noms d’utilisateur, des mots de passe et des adresses e-mail volés. Plus de la moitié des messages du darknet abordaient le sujet des fuites de bases de données, celles qui permettent aux assaillants d’automatiser leurs attaques de credential-stuffing et de les exécuter à grande échelle. BestCombo, BloddyMery et ValidMail comptent parmi les groupuscules cybercriminels les plus actifs en 2024. Ils contribuent à rendre les attaques plus simples à exécuter, en proposant des identifiants packagés et validés, favorisant ainsi une nette progression des prises de contrôle de comptes, de la fraude financière et de l’espionnage industriel.
Renforcer la ligne de cyberdéfense face aux menaces émergentes
Le rapport sur les menaces mondiales de Fortinet fournit de nombreuses informations sur les nouvelles tactiques et techniques utilisées par les assaillants. Il livre également des recommandations pertinentes et des informations actionnables à l’intention des RSSI et de leurs équipes de sécurité. Des stratégies sont proposées pour contrer en amont les cybercriminels, permettant ainsi aux entreprises de garder une longueur d’avance sur les cybermenaces émergentes.
Le rapport de cette année propose aux RSSI un guide de défense contre leurs adversaires, avec des recommandations stratégiques :
- Passer d’une détection traditionnelle des menaces à un pilotage permanent de l’exposition aux menaces : cette approche proactive encourage une gestion continue de la surface d’attaque, une émulation du comportement réel des adversaires, la hiérarchisation des mesures correctives selon le critère du risque, ainsi que l’automatisation des processus de détection et de réponse aux menaces. L’utilisation d’outils de simulation de brèches et d’attaques (BAS) pour évaluer régulièrement la sécurité des terminaux, du réseau et du cloud favorise la résilience contre le déplacement latéral des menaces et les tentatives d’exploitation.
- Mener des simulations d’attaques en environnement réel : effectuer des exercices de simulation d’attaque, mener des tests de pénétration (Red et/ou Purple teaming) et tirer parti du framework MITRE ATT&CK pour évaluer les capacités de défense contre des menaces telles que les ransomwares et les campagnes d’espionnage.
- Maîtriser l’exposition de la surface d’attaque : déployer des outils de gestion de la surface d’attaque pour détecter les ressources à risque, les identifiants divulgués et les vulnérabilités prêtes à être exploitées, tout en gardant en permanence un œil sur les forums du darknet pour identifier toute nouvelle menace.
- Prioriser les vulnérabilités à risque : concentrer les efforts de remédiation sur les vulnérabilités qui sont le sujet d’échanges actifs entre les groupes de cybercriminels. Il est possible de tirer parti de modèles de priorisation basés sur les risques, tels que EPSS et CVSS, pour gérer efficacement les correctifs.
- Assurer une veille sur le dark web : surveiller les marketplaces du darknet à la recherche de nouveaux ransomwares potentiels et suivre les efforts de coordination des hacktivistes pour prévenir les menaces de type DDoS et les attaques par défacement web.
L’offre de conseil FortiGuard Labs (FortiGuard Labs Advisory Services) associe technologie de pointe et services experts pour aider les entreprises à renforcer leur posture de sécurité et se préparer face aux nouvelles menaces. En cas d’incident, FortiGuard Labs offre une réponse rapide, efficace et une analyse approfondie pour en minimiser l’impact et prévenir les intrusions futures, offrant ainsi une protection complète et parfaitement adaptée à la versatilité du monde digital d’aujourd’hui.