Le second semestre 2025 confirme une tendance qui se dessinait déjà depuis plusieurs mois : les cyberattaques ne disparaissent pas, elles évoluent. Elles deviennent plus discrètes, plus ciblées et surtout plus stratégiques. Les chiffres récents du H2 2025 Internet Security Report de Watchguard montrent un paysage contrasté. Certaines menaces reculent en volume, d’autres explosent sous des formes nouvelles. Mais au final, le niveau de risque reste élevé.
Plus de malware sur les réseaux… mais moins de “nouveautés”
Sur les infrastructures réseau, le nombre total de malwares détectés a augmenté de 26 % au second semestre 2025. Autrement dit, les systèmes de sécurité ont bloqué davantage de fichiers ou de flux malveillants qu’au semestre précédent. Le trafic malveillant reste donc soutenu.
En revanche, la part des malwares totalement nouveaux — ceux qu’on appelle “zero-day”, car ils n’ont jamais été vus auparavant — a fortement diminué. Ils ne représentent plus que 23 % des détections. Cela peut sembler rassurant, mais il faut nuancer.
Les cybercriminels semblent aujourd’hui moins miser sur la création constante de nouveaux virus et davantage sur la réutilisation d’outils existants, qu’ils rendent plus difficiles à détecter grâce à des techniques d’évasion. Plutôt que d’inventer sans cesse de nouvelles armes, ils perfectionnent leur camouflage.
Le chiffrement, nouvel allié des attaquants
Un élément clé ressort : une grande partie du malware circule désormais via des connexions chiffrées, notamment en TLS, le protocole qui sécurise la majorité des échanges sur Internet. En clair, les attaquants utilisent les mêmes mécanismes de protection que ceux destinés à sécuriser les utilisateurs.
Pour les entreprises, cela complique la détection. Analyser du trafic chiffré nécessite des outils avancés, et toutes les organisations ne disposent pas d’une visibilité complète sur ces flux. Le chiffrement devient donc un moyen pour les cybercriminels de masquer leurs activités derrière un voile légitime.
Moins de ransomwares… mais plus ciblés
Les ransomwares, ces attaques qui chiffrent les données pour exiger une rançon, ont fortement diminué en volume sur l’année 2025. Les détections baissent de plus de 68 %, selon le rapport Watchguard. Pourtant, cela ne signifie pas que la menace disparaît.
Le modèle change. Au lieu de viser massivement tout le monde, les groupes criminels semblent cibler des entreprises spécifiques, souvent plus grandes et plus susceptibles de payer des montants importants. On parle de stratégie de “big game hunting”. Moins d’attaques visibles, mais des opérations plus lourdes, plus longues et plus rentables.
Cette évolution explique en partie la baisse statistique : les campagnes massives diminuent, mais les attaques ciblées peuvent avoir un impact beaucoup plus grave.
Explosion des nouvelles variantes sur les postes de travail
Côté postes de travail (endpoint), la situation est encore plus intéressante. Le volume total de malware détecté baisse légèrement. Mais dans le même temps, le nombre de nouvelles variantes explose, avec une hausse spectaculaire en fin d’année. Concrètement, cela signifie que les attaquants produisent un très grand nombre de versions légèrement modifiées d’un même programme malveillant. Ces petites modifications suffisent souvent à contourner les systèmes de détection classiques basés sur des signatures.
Autre évolution marquante : les cybercriminels exploitent de plus en plus les outils déjà présents sur les systèmes Windows. Cette technique, appelée “Living-off-the-Land”, consiste à détourner des programmes légitimes pour mener des actions malveillantes. Plutôt que d’installer un virus visible, l’attaquant utilise des fonctions natives du système pour télécharger des fichiers, exécuter des commandes ou se déplacer dans le réseau. Résultat : l’activité malveillante ressemble fortement à une activité normale.
Moins d’exploits réseau, mais toujours des failles anciennes
Les attaques exploitant des vulnérabilités logicielles ont diminué d’environ 28 % au second semestre 2025, relève le rapport. Cependant, les failles ciblées restent majoritairement anciennes. Cela montre qu’un grand nombre d’organisations n’appliquent toujours pas les correctifs de sécurité de manière rigoureuse.
Si l’on devait résumer l’évolution des menaces en 2025, on pourrait dire que le cybercrime devient plus mature. Les attaques massives et bruyantes laissent progressivement place à des opérations plus discrètes, mieux préparées et souvent mieux rentabilisées. Les attaquants combinent plusieurs approches : utilisation du chiffrement pour se cacher, exploitation d’outils légitimes pour se fondre dans le décor, multiplication des variantes pour échapper aux signatures, ciblage précis pour maximiser les gains.
