Baromètre Cesin 2025 : des attaques plus virulentes mais mieux maitrisées

Le Cesin prend depuis 2015 le pouls des risques et enjeux cybersécurité dans les entreprises. Pour la dernière édition de son baromètre (avec Opinionway), l'association dresse un état des lieux contrasté. S’il fait ressortir une hausse de la virulence des cyberattaques ayant réussi, le nombre d'entreprises touchées par au moins une cyberattaque ayant eu un impact significatif recule d’année en année. De 49 % en 2023 à 47 % en 2024, elles ne sont plus que 40 % à se déclarer. Une tendance difficile à expliquer selon le Cesin mais qui montre sans doute que les sociétés améliorent leurs capacités de protection et de réaction malgré des menaces et des schémas d’attaque de plus en plus élaborés.

Les vecteurs d’attaque n’en demeurent pas moins les mêmes qu’avant : avec tout d’abord le trio phishing/spear phishing, smishing et vishing (55 %), devant l’exploitation de failles (41 %), et l’attaque indirecte due à un tiers (35 % en moyenne, et 43 % chez les grandes entreprises). « Nous avons observé tout au long de l’année des attaques ciblées réussies et perturbantes qui étaient pour beaucoup liées à des tiers », a expliqué Alain Bouillé, délégué général du Cesin, lors d'un point presse au Campus Cyber à Paris ce vendredi. « A chaque fois on se rend compte que les fournisseurs n’avaient pas très bien protégé les données confiées ». Cela a par exemple été le cas en novembre dernier d’Itelis, une plateforme utilisée par de nombreuses mutuelles (AG2R La Mondiale, Matmut...) pour des remboursements optiques ou dentaires. Les fournisseurs IT n’ont pas été non plus épargnés, cela a notamment été le cas l’été dernier avec le vol de données d’instances Salesforce via le chatbot IA Salesloft.

Les attaques deepfake en baisse

Parmi les autres leviers malveillants détectés, on notera la fuite de données due à une erreur humaine ou de configuration (27 %), les attaques au président (26 %), ainsi que le recours à un service de botnet à des fins de DDoS (21 %). A noter que les deepfake ne représentant plus que 5 % des vecteurs d’attaques, soit, 4 points de moins que l’an passé. Au-delà de la variabilité de l’échantillon de répondants d’une année sur l’autre, la mise en place d’outils efficaces pour détecter des messages et vidéos générées avec de l’IA pourrait expliquer ce recul. Bien qu’en baisse, ce type d’attaques peuvent provoquer de gros dégâts : « ces arnaques sont souvent retentissantes en montants et en impacts quand elles sont réussies », fait savoir Alain Bouillé.

Les principales conséquences des attaques ayant visé les entreprises en 2025 sont principalement de trois ordres : vol de données (52 %), déni de service (28 %) et exposition de données (27 %). Effectuées à des fins de perturbation - voire de déstabilisation de niveau étatique - la profusion des attaques par DDoS ne sont pas à prendre à la légère. « Nous avons tous en tête l’incident de La Poste », lance Alain Bouillé. « Nous voyons bien que les déni de services sont une nouvelle arme de guerre finalement, voire un entrainement à la guerre. Quand on voit qu’il n’y pas de profit immédiat, à qui profite le crime ? ». Si de possibles/probables ingérences étrangères peuvent être pointées, les craintes des entreprises en matière de cyber-espionnage augmentent par ailleurs d’une année sur l’autre (40 % versus 37 %). La menace d’origine étatique, en lien avec le contexte géopolitique mondial, est également jugée inquiétante par 53 % des entreprises (60 % chez les plus grandes). Parmi les autres conséquences des attaques, on retiendra aussi les transactions frauduleuses (25 %), les demandes de rançons (14 %) ou encore l’effacement ou altération des données (13 %, en hausse de 6 points). Et en termes d’impact business ? 81 % des entreprises en ont déclaré suite à une cyberattaque, principalement en termes de perturbation de production (28 %) que de perte d’image et impact médiatique (26 %).

Un recours plus fréquent à l’externalisation

Parmi les autres enseignements de l’étude particulièrement dense du Cesin, on retiendra par ailleurs que les solutions de pare-feux, EDR et MFA restent toujours le podium dans la stratégie de défense des entreprises, avec des taux de présence respectifs de 98 %, 95 % et 94 %. Mais certains produits font aussi leur entrée tel que les systèmes de contrôle d’accès au réseau, NAC (50 %), de la posture SaaS (21 %), ou de la sécurité des données (DSPM) à 17 %. Concernant le mode de gestion de la sécurité informatique, on remarquera que les entreprises ont davantage externalisé leur Cert/Csirt que l’an passé (45 % versus 38 %), leur SOC (35 % versus 29 %), ainsi que la gestion de la surface d’attaque (22 % versus 16 %). « Il y a une forte tendance à externaliser un certain nombre de services qui peuvent être très largement mutualisés et c’est plutôt une bonne nouvelle », assure Alain Bouillé. « Les entreprises utilisent vraiment maintenant tous les moyens à leur disposition pour juguler les cyberattaques, c’est à dire que l’on va chercher des compétences sur le marché mais que l’on acquiert aussi des compétences en interne pour piloter le service ».

Côté budgets IT/SSI et digital, on retiendra aussi une inflexion, avec 42 % des entreprises déclarant les augmenter d’au moins 5 %, alors qu’elles étaient 48 % un an plus tôt. « Nous ne sommes peut-être pas en phase de restriction budgétaire mais de consolidation, c’est à dire que les entreprises ont tellement acheté les autres années qu’il faut finir de les déployer avant de commencer à acheter autre chose », souligne Alain Bouillé. Une explication pertinente qui ne doit pas éclipser aussi l’hypothèse de contraintes budgétaires plus fortes que les années passées dans des contextes tendus à tous points de vue.