HPE a publié ses premiers résultats dans son rapport mondial sur les cybermenaces, “In the Wild”, révélant une mutation profonde dans la manière dont les cybercriminels opèrent à l’échelle internationale, notamment dans les secteurs industriels et les services publics essentiels.

Ce document, basé sur l’activité réelle détectée par les systèmes de HPE en 2025, confirme que la cybercriminalité traverse une phase d’industrialisation. Les attaquants combinent des techniques automatisées à l’exploitation de vulnérabilités anciennes mais encore non corrigées, leur permettant d’étendre leurs opérations, de compromettre des actifs critiques et de maintenir une pression constante sur les organisations. Ce contexte impose aux entreprises de renforcer leur stratégie numérique et de considérer la cybersécurité comme un pilier stratégique de leur activité.

L’étude analyse un total de 1 186 campagnes actives, décrivant un environnement marqué par la rapidité, l’organisation et la sophistication. Selon le rapport, les groupes de cybercriminalité fonctionnent de plus en plus comme de véritables structures professionnelles : ils réutilisent leurs infrastructures, automatisent leurs attaques et ciblent des objectifs stratégiques avec une précision croissante.

“In the Wild” montre ce qui se passe réellement au quotidien dans les organisations, explique Mounir Hahad, responsable de HPE Threat Labs. “Notre étude se concentre sur des menaces concrètes, non sur des simulations. Nous analysons le comportement des attaquants lors de campagnes en cours, l’évolution de leurs tactiques et ce qui leur est profitable. Ces données permettent d’améliorer la détection, de renforcer les défenses et d’offrir à nos clients une vision claire des menaces les plus probables. En fin de compte, cela les aide à devenir plus agiles et résilients face à des attaques de plus en plus organisées.”

Des infrastructures à l’échelle industrielle alimentent les campagnes d’attaques actuelles

Comme le révèle ce premier rapport, HPE Threat Labs a observé une augmentation à la fois du volume d’attaques et de la sophistication des tactiques employées. Parmi les acteurs de menace, des groupes d’espionnage liés à des États ainsi que des organisations de cybercriminalité opèrent avec une organisation comparable à celle de grandes entreprises : structures hiérarchisées, équipes spécialisées, mécanismes de coordination efficaces, et déploiement d’infrastructures d’attaque vastes et industrialisées. Ils démontrent également une connaissance approfondie des applications et documents couramment utilisés dans les environnements professionnels.

Le secteur public a été le plus ciblé à l’échelle mondiale, avec 274 campagnes dirigées contre des organismes fédéraux, régionaux et municipaux. Suivaient de près les secteurs financier et technologique, avec respectivement 211 et 179 campagnes, traduisant l’intérêt soutenu des attaquants pour des données de valeur et la rentabilité qu’elles génèrent. Une forte activité a également été enregistrée contre des organisations de défense, l’industrie manufacturière, les télécommunications, la santé et l’éducation. Au total, ces données illustrent que les attaquants priorisent stratégiquement des secteurs liés aux infrastructures critiques, à l’information sensible et à la stabilité économique, sans pour autant épargner aucun secteur.

Au cours de l’année, les acteurs de menace ont déployé plus de 147 000 domaines malveillants, près de 58 000 fichiers de malware, et exploité activement 549 vulnérabilités. Ce niveau de professionnalisation rend les attaques plus prévisibles dans leur exécution, mais également plus difficiles à interrompre, car démanteler un seul composant n’arrête généralement pas l’ensemble de la campagne.

Automatisation et outils d’IA accélèrent la vitesse et l’impact des attaques

Les attaquants ont également adopté de nouvelles techniques pour gagner en rapidité et en efficacité. Certaines opérations utilisent des flux de travail automatisés, à l’image d’une “ligne de montage”, via des plateformes telles que Telegram pour exfiltrer en temps réel les données volées. D’autres recourent à l’IA générative pour créer des voix synthétiques et des vidéos truquées à des fins de fraude ciblée, comme le vishing ou la falsification d’identités d’administrateurs. De plus, un groupe spécialisé dans l’extorsion a réalisé des analyses de vulnérabilités dans des réseaux privés virtuels (VPN) pour optimiser ses stratégies d’intrusion.

Ces tactiques permettent aux attaquants d’opérer plus rapidement, d’élargir leur champ d’action et de concentrer leurs efforts sur des secteurs critiques. En optimisant leurs opérations et en priorisant des cibles à forte valeur, ils maximisent leur bénéfice économique avec une efficacité accrue, suivant de manière stratégique la trace de l’argent.

Mesures pratiques pour renforcer la cyber-résilience

Le rapport souligne qu’une défense efficace repose moins sur l’ajout d’outils innovants que sur une meilleure coordination, une visibilité accrue et une capacité de réponse renforcée à l’échelle du réseau. À cet égard, les organisations doivent mettre en œuvre les mesures suivantes pour renforcer leur sécurité :

• Éliminer les silos en favorisant l’échange d’informations sur les menaces entre équipes internes, clients et industries, en s’appuyant sur une approche SASE (Secure Access Service Edge) qui unifie réseau et sécurité pour détecter plus tôt les schémas d’attaque.
• Corriger les points d’entrée fréquents, tels que VPN, SharePoint ou dispositifs en périphérie, afin de réduire l’exposition et de fermer les vecteurs d’accès souvent exploités.
• Appliquer des principes de zero trust pour renforcer l’authentification et limiter la mobilité latérale, via des solutions ZTNA (Zero Trust Network Access) qui vérifient en continu les utilisateurs et dispositifs avant d’accorder l’accès.
• Améliorer la visibilité et la capacité de réponse grâce à l’intelligence sur les menaces, aux technologies de dissuasion et à la détection native par IA, permettant d’identifier, analyser et réagir rapidement aux attaques.
• Étendre la sécurité au-delà du périmètre traditionnel vers les réseaux domestiques, les outils de tiers et la chaîne d’approvisionnement.

Globalement, ces mesures permettent aux organisations d’agir avec plus d’agilité, de réduire les risques et de renforcer leur posture défensive face à des menaces de plus en plus organisées et persistantes.

HPE Threat Labs améliore la défense réseau

Fort d’une expérience solide en recherche, HPE a lancé HPE Threat Labs pour faire face à un environnement de menaces en constante évolution. En combinant l’expertise et l’intelligence en sécurité de HPE et Juniper Networks, HPE Threat Labs réunit un savoir profond et augmente considérablement le volume de données disponibles pour identifier et suivre les menaces réelles. Cela permet d’alimenter directement les solutions HPE avec l’intelligence nécessaire pour détecter et bloquer les attaques malveillantes avec une plus grande efficacité.

“HPE Threat Labs a été créé pour relier la recherche de pointe à une application concrète dans la sécurité”, souligne David Hughes, SVP & GM de SASE et de la Sécurité chez HPE. “Le rapport In the Wild montre que les attaquants modernes opèrent avec la discipline, l’échelle et l’efficacité propres aux grandes organisations mondiales, et qu’y faire face exige le même niveau de stratégie, d’intégration et de rigueur opérationnelle. En intégrant l’intelligence des menaces à nos produits, HPE Threat Labs aide les organisations à réduire les risques, à minimiser l’impact des attaques et à protéger les systèmes dont dépendent leurs activités.”