Panocrim 2025 du Clusif : les menaces IA se précisent

La synthèse des tendances du Clusif sur les évènements de cybersécurité pendant l'année 2025 montre une montée en puissance des risques liés à l'IA. L'activité des ransomwares reste active avec des groupes en forte mutation. Enfin, les fuites de données ne cessent de progresser avec un impact sur les jeunes et le seniors.

Les membres du Clusif se sont retrouvés au Campus Cyber pour le traditionnel compte-rendu des tendances de cybersécurité sur l’année écoulée. Si l'édition 2024 du Panocrim avait été marquée par les Jeux Olympiques et un retour d’expérience de son RSSI Franz Regul, la cuvée 2025 a clairement mis l’IA au centre de son rapport. « L’année 2025 a été une année de vérité et nous sommes passés à une autre échelle », rapporte Gérôme Billois, responsable de l’activité cybersécurité chez Wavestone, dans son intervention.

L'IA démultiplie les attaques

Le responsable voit deux axes pour l’usage de l’IA dans la cybercriminalité. Le premier consacre le renouveau des attaques classiques, « une étude de Microsoft montre qu’un phishing par l’IA est 4,5 fois plus performant qu’une version traditionnelle », observe-t-il. Par ailleurs, les attaques sont de plus en plus automatisées avec par exemple l’usage de Claude Code d’Anthropic pour la découverte de la surface d’attaque. Gérôme Billois évoque aussi la découverte des premières campagnes complétement autonomes avec des outils comme PromptSteal, un malware qui une fois installé fait appel à l’IA pour mener différentes actions, ou PromptFlux qui réécrit son code à chaque fois qu’il s’exécute.

L’autre axe des risques liés à l’IA est l’exploration de nouvelles surfaces d’attaques. « Pour l’instant, il s’agit majoritairement de travaux de recherche », rassure-t-il. Mais les découvertes sont nombreuses : Echoleak avec une attaque zero clic sur Copilot ou des failles découvertes dans Gemini de Google. De même, les navigateurs basés sur l’IA constituent une menace importante. D'ailleurs le Gartner a alerté sur leur usage en entreprise. « La vigilance est donc de mise sur les droits et les accès des agents IA », glisse Gérôme Billois.

Une fragmentation des groupes de ransomware

Le Panocrim s’est aussi intéressé aux groupes de cybercriminels et en particulier à ceux menant des campagnes de ransomware. Le Clusif a comptabilisé 137 groupes qu'il distingue entre les nouveaux arrivants, les ressuscités et les éternels. Les groupes récents représentent la moitié du top 100 démontrant une durée de vie assez limitée. Certains sont encore en construction comme Nightspire qui mène des campagnes irrégulières via de la double extorsion et revendique plusieurs attaques contre Nippon Ceramic ou des hôtels à New York. Du côté des gangs ressuscités, le rapport rappelle la fausse retraite annoncée de plusieurs gangs dont Scattered Spider qui s'est ensuite associé avec Lapsus$ et Shiny Hunter pour mener des attaques particulièrement destructrice comme celle ayant touché Jaguar Land Rover.

Et puis, il y a les éternels qui malgré les opérations de saisies de matériels, d’arrestations, continuent leurs activités malveillantes. Parmi eux, on retrouve en tête du classement Qilin fournissant du ransomware as a service et a comme fait d’armes en 2025 bloqué la production de bière Asahi au Japon. En seconde position, Akira sévit toujours fortement avec à son palmarès Hitachi Vantara et les instances AHV de Nutanix. « Il y a une résilience par mutation », souligne Michel Bax, gestion des risques chez Allianz. Il ajoute, « nous ne sommes plus dans de l’artisanat, nous avons à faire à de vrais holdings industrielles, très organisées ».

Une avalanche de fuites de données

Le rapport du Clusif sur les tendances 2025 ne pouvaient pas faire l’impasse sur les fuites de données. Au troisième trimestre, 2,6 milliards de données ont été compromises en France, souligne-t-il pour poser le décor. Les piratages à répétition de France Travail ont été soulignés, mais les fédérations sportives ont aussi vécu une « série noire ». Tennis de table, tir (dont un suspect a été arrête récemment), football, les victimes sont nombreuses et les violations de données peuvent avoir des impacts importants.

Pour Benoît Grünemwald, expert cybersécurité chez Eset, deux populations sont particulièrement exposées : les jeunes et les seniors. « Elles sont de plus en plus connectées et n’ont pas les réflexes de sécurité face à des attaques. Elles sont donc des cibles faciles pour les cybercriminels ». La vigilance est donc de mise et des efforts de sensibilisation doivent être menés auprès d’eux.