The ANSSI is not downplaying the situation. While ransomware cases edged down slightly in 2025 — 128 incidents handled, versus 141 the year before — the French national cybersecurity agency says this should not be read as a sign of relief. The threat is being reconfigured rather than reduced: data exfiltration without encryption is rising, with stolen information used for extortion or sold on underground markets. Victims remain under pressure even when systems are not locked.

Its 2025 “Panorama de la cybermenace” highlights a major shift: state-linked actors, especially from North Korea and China, are increasingly repurposing cybercriminal tools for profit. The traditional divide between state espionage and organized cybercrime is blurring, making attribution and institutional response much harder.

On the espionage front, groups believed to be linked to Russia — including Callisto and Laundry Bear — and to China — such as Salt Typhoon and APT31 — continue sustained efforts to compromise diplomatic networks and critical infrastructure, particularly in telecommunications and energy. This is low-profile but persistent activity aimed at long-term access.

Sabotage is more visible. At the end of 2025, coordinated operations targeted Poland’s power infrastructure. Hacktivist groups are also attacking smaller industrial installations, including renewable energy sites and water networks, in actions designed for maximum media impact. The goal is no longer only disruption, but also to shock public opinion.

Tactically, 2025 confirms a broader industrialization of attacks. Threat actors increasingly rely on legitimate tools to hide in normal enterprise traffic, including remote-access software such as AnyDesk and TeamViewer, and cloud storage services like Google Drive and MEGA. This blending into everyday business activity makes detection far more difficult.

Generative AI is now a threat multiplier. It improves the quality and credibility of phishing attempts, enables the mass creation of convincing malicious websites, and is gradually being integrated into operational workflows to exploit organizational weaknesses.

Social engineering is also becoming more sophisticated. SIM-swapping, MFA fatigue — flooding a user with authentication prompts until they approve one out of exhaustion — and “Clickfix,” which tricks victims into running a malicious command themselves, are all on the rise. These techniques exploit human error rather than technical flaws, making them especially hard to stop with tools alone.

The attack surface is widening across edge devices, cloud and mobile. Firewalls, VPNs and proxies remain favored entry points, with vulnerabilities in major products from Ivanti, Fortinet, Citrix and Microsoft SharePoint heavily exploited in 2025. Because these systems are directly exposed to the internet, they offer attackers a discreet initial foothold.

The digital supply chain is also under pressure: compromising a service provider or cloud host can give access to many downstream customers at once. A significant number of incidents in 2025 involved encrypted resources hosted in the cloud, underscoring the fragility of shared environments.

Mobile devices are not spared either. Spyware such as Pegasus and Triangulation, using zero-click exploits in widely used apps like WhatsApp, continues to target both personal and professional devices.

By sector, education and research were the most affected, accounting for 34% of incidents handled. They were followed by ministries and local authorities at 24%, healthcare at 10%, and telecommunications at 9%. These are often sectors with limited cybersecurity resources, heterogeneous IT systems and heavy exposure to sensitive data.

L’ANSSI ne minimise pas le tableau. Si le nombre de cas de rançongiciels est en légère baisse – 128 incidents traités en 2025 contre 141 l’année précédente –  l’agence nationale se garde bien d’y voir un signe d’accalmie.

La menace se reconfigure plutôt qu’elle ne recule : on observe une montée en puissance des exfiltrations de données sans chiffrement, exploitées à des fins de chantage ou revendues sur les marchés clandestins. La pression sur les victimes reste donc entière, même sans blocage des systèmes.

L’édition 2025 de son  » Panorame de la cybermenace  » confirme une tendance lourde : des acteurs étatiques, notamment nord-coréens et chinois, s’emparent désormais d’outils cybercriminels à des fins purement lucratives. La dichotomie traditionnelle entre espionnage d’État et cybercriminalité organisée s’efface, rendant l’attribution des attaques et la réponse institutionnelle bien plus complexes.

Espionnage, sabotage : les États toujours à la manœuvre

Du côté de l’espionnage stratégique, les groupes réputés liés à la Russie -Callisto, Laundry Bear – et à la Chine – Salt Typhoon, APT31 – maintiennent un effort soutenu pour compromettre les réseaux diplomatiques et les infrastructures critiques dans les secteurs des télécommunications et de l’énergie. Une activité de fond, discrète mais persistante, qui vise le long terme.

Le sabotage, lui, prend des formes plus visibles. Fin 2025, des opérations coordonnées ont ciblé les infrastructures électriques polonaises. Des groupes hacktivistes s’en prennent par ailleurs à de petites installations industrielles ( énergies renouvelables, réseaux d’eau ) pour des actions à fort retentissement médiatique. L’objectif n’est plus seulement de paralyser, mais aussi de créer un effet de sidération dans l’opinion publique.

L’arsenal technique se diversifie et s’industrialise

Sur le plan tactique, l’année 2025 confirme plusieurs évolutions structurelles. Les attaquants s’appuient de plus en plus sur des outils légitimes pour brouiller les pistes : logiciels d’accès à distance comme AnyDesk ou TeamViewer, services de stockage cloud tels que Google Drive ou MEGA. En se fondant dans le trafic normal des entreprises, ils compliquent considérablement la détection.

L’intelligence artificielle générative s’impose comme un accélérateur de menace. Elle améliore la qualité et la crédibilité des tentatives d’hameçonnage, permet de générer à grande échelle des sites malveillants à l’apparence légitime, et s’insère progressivement dans les flux opérationnels des organisations pour en exploiter les failles.

L’ingénierie sociale, de son côté, se raffine. Le SIM-Swapping, le MFA Fatigue – technique consistant à saturer un utilisateur de demandes d’authentification jusqu’à ce qu’il valide par lassitude – ou encore la méthode dite « Clickfix », qui pousse la victime à exécuter elle-même une commande malveillante, sont en forte recrudescence.

Ces méthodes misent sur la faillibilité humaine plutôt que sur des vulnérabilités techniques, ce qui les rend particulièrement difficiles à contrer par des outils seuls.

La surface d’attaque s’élargit : bordure, cloud, mobile

Les équipements de bordure – pare-feu, VPN, proxys – restent des portes d’entrée privilégiées. En 2025, des vulnérabilités affectant des solutions majeures comme Ivanti, Fortinet, Citrix ou Microsoft SharePoint ont été massivement exploitées. Ces points névralgiques, exposés directement sur Internet, constituent une cible de choix pour les attaquants cherchant un accès initial discret.

La chaîne d’approvisionnement numérique est également dans le viseur : compromettre un prestataire de services ou un hébergeur cloud permet d’atteindre simultanément un grand nombre de clients finaux.

De nombreux incidents ont ainsi concerné en 2025 le chiffrement de ressources hébergées dans le cloud, illustrant la vulnérabilité des environnements mutualisés.

Enfin, les terminaux mobiles ne sont pas épargnés. Les logiciels espions de type Pegasus ou Triangulation, exploitant des failles « zéro-clic » dans des applications populaires comme WhatsApp, continuent de cibler aussi bien les appareils personnels que professionnels.

Les 4 secteurs les plus exposés

L’éducation et la recherche arrivent en tête des secteurs victimes avec 34 % des incidents traités, devant les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %). Des secteurs souvent caractérisés par des ressources en cybersécurité limitées, des systèmes d’information hétérogènes et une forte exposition aux données sensibles.

Photo : © DR ANSSI

The post Cybermenaces 2025 : l’ANSSI pointe la reconfiguration des attaques d’Etats appeared first on Silicon.fr.