Passer au contenu principal
Rapport 2025 sur la cybercriminalité : près de 21 milliards de dollars de pertes | Hameçonnage et escroqueries liées à l'IA

Rapport 2025 sur la cybercriminalité : près de 21 milliards de dollars de pertes | Hameçonnage et escroqueries liées à l'IA

21 mai 2026
Nouvelles de l'écosystèmePerspectives en matière de sécurité

Le Centre de signalement des délits sur Internet (IC3) du Federal Bureau of Investigation (FBI) a publié le rapport 2025 sur la cybercriminalité, qui recense les délits commis sur Internet signalés à l'IC3 l'année dernière. 

Même s’il est réjouissant de constater que les signalements de hameçonnage et d’usurpation d’identité ont légèrement diminué, ces délits restent les cybercrimes les plus fréquemment signalés, représentant 19 % des 1 008 597 plaintes enregistrées au total — un chiffre record pour l’IC3.

Ce nombre record de signalements s'est accompagné de pertes sans précédent s'élevant à près de 21 milliards de dollars, pulvérisant de 26 % le précédent record établi en 2024. 

Cette augmentation des pertes financières s'explique principalement par les pertes liées à la fraude à l'investissement, qui s'élèvent à 8 648 617 756 dollars, et celles liées aux attaques par usurpation d'identité par e-mail (BEC), qui s'élèvent à 3 046 598 558 dollars ; à elles deux, elles représentent plus de la moitié (56 %) du montant total des pertes liées à la cybercriminalité en 2025.

Rapport 2025 sur la cybercriminalité : près de 21 milliards de dollars de pertes | Hameçonnage et escroqueries liées à l'IA - points forts

Menace combinée : hameçonnage et BEC

Le « Business Email Compromise » (BEC) est une technique de spear phishing reposant sur l'ingénierie sociale qui, généralement, ne nécessite ni liens frauduleux ni logiciels malveillants pour être mise en œuvre. Contrairement aux campagnes de phishing à grande échelle, le BEC utilise un e-mail très ciblé et personnalisé, souvent prétendument envoyé par un cadre supérieur, afin d'inciter les employés à effectuer des virements bancaires ou à divulguer leurs identifiants.

Ces e-mails proviennent généralement de comptes de messagerie piratés, de domaines de messagerie non protégés ou d'usurpations de domaine. Le phishing sert de porte d'entrée principale, tandis que le BEC constitue l'attaque ciblée et dévastatrice. 

Voici un exemple illustrant comment le phishing et le BEC peuvent être utilisés conjointement à des fins criminelles :

  1. Appâter la victime : les cybercriminels envoient des e-mails de hameçonnage pour accéder à un compte ou à un réseau.
  2. Phase d'observation : lorsque les cybercriminels parviennent à s'introduire dans le système, ils prennent le temps d'étudier les habitudes et le contenu des e-mails, puis préparent leur attaque de type BEC.
  3. L'attaque : les pirates se font passer pour un cadre, un fournisseur ou un service interne afin de piéger un employé et l'amener à transférer des fonds vers un compte bancaire appartenant à des criminels. 

Le BEC, le phishing et l'usurpation d'identité représentent ensemble 21 % de l'ensemble des types de délits signalés, soit un total de 216 329 plaintes et un préjudice cumulé de plus de 3 milliards de dollars. 

Simplifiez les termes liés à l'authentification des e-mails (
) grâce à notre dictionnaire DMARC (
)

Les termes liés à la sécurité informatique peuvent être extrêmement techniques. Notre dictionnaire DMARC vous aide à y voir plus clair dans cette jungle d'abréviations. N'hésitez pas à nous faire part de vos suggestions !

En 2025, les pertes signalées à l'IC3 ont continué d'augmenter, dépassant la barre des 20 milliards de dollars. Les fraudes liées aux investissements ont une nouvelle fois constitué la part la plus importante de ces pertes, suivies par les compromissions de messagerie professionnelle et les escroqueries au support technique. Le FBI continue de perturber et de dissuader les cybercriminels, et de faire peser le coût de ces activités sur nos adversaires plutôt que sur les victimes. L'opération « Level Up », qui visait à lutter contre les escroqueries liées aux investissements dans les cryptomonnaies, en est un exemple. Cette initiative menée par le FBI a permis de réduire les pertes potentielles de plus de 500 millions de dollars depuis 2024.

—Jose A. Perez, directeur des opérations de la division Cybercriminalité et criminalité générale du FBI

Rapport 2025 sur la cybercriminalité : près de 21 milliards de dollars de pertes | Hameçonnage et escroqueries liées à l'IA - pertes

L'essor de l'intelligence artificielle (IA) 

Avec 22 364 plaintes et 893 346 472 dollars de pertes, l'IA fait une entrée fracassante dans le rapport sur la cybercriminalité de cette année. Dans le cadre des escroqueries de type BEC, les générateurs de chat peuvent facilement créer un e-mail réaliste, sans erreur et utilisant l'ingénierie sociale, qui usurpe l'identité d'un cadre supérieur ou d'autres membres du personnel. Alors que l'IA continue d'être adoptée à un rythme croissant, souvent sans garde-fous, on peut s'attendre à ce que le rapport de cette année ne soit pas la dernière fois que l'on voie une section consacrée à la cybercriminalité facilitée par l'IA.

25e anniversaire de l'ICS

L'IC3, qui fête cette année son 25e anniversaire, a été créé en 2000 afin de recueillir, d'analyser et de donner suite aux plaintes relatives à la criminalité sur Internet. Il offre au public un mécanisme de signalement permettant de transmettre au FBI des informations concernant la cybercriminalité et de nouer des partenariats efficaces avec les forces de l'ordre et les acteurs du secteur privé afin d'aider les personnes qui signalent des faits. Les informations sont analysées et diffusées à des fins d'enquête et de renseignement pour les forces de l'ordre, ainsi que pour sensibiliser le public.

Afin de lutter contre la recrudescence de la cybercriminalité, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié une mise à jour de ses « Objectifs de performance en matière de cybersécurité intersectoriels », définis comme « un ensemble de pratiques de base en matière de cybersécurité largement applicables à l'ensemble des infrastructures critiques et dont l'efficacité en matière de réduction des risques est avérée ». Dans ces objectifs de performance, la CISA recommande d'activer les protocoles SPF et DKIM et de déployer DMARC avec une politiquep=reject, la politique DMARC la plus stricte permettant de protéger les domaines contre les attaques de phishing.

De même, dans le guide #StopRansomware publié par la CISA et le FBI, le protocole DMARC constitue un rempart essentiel contre le phishing, le BEC et l'usurpation de domaine. Le phishing et les e-mails malveillants étant l'un des principaux vecteurs d'attaque des ransomwares, ces organismes recommandent le recours au protocole DMARC pour empêcher les cybercriminels d'envoyer des e-mails se faisant passer pour votre organisation.

Normes mondiales en matière de sécurité des e-mails

Consultez notre liste des obligations et des recommandations relatives au protocole DMARC en constante évolution à travers le monde.

Le FBI nous rappelle de signaler toute activité criminelle suspecte sur Internet à l'IC3. En signalant la cybercriminalité, les victimes n'alertent pas seulement les forces de l'ordre de l'activité, mais contribuent également à la lutte contre la cybercriminalité.

Comment dmarcian peut aider

Fort d'une équipe d'experts en sécurité des e-mails et animé par la mission de renforcer la fiabilité des e-mails et d'Internet grâce à la sécurité des domaines, dmarcian s'engage à lutter contre le phishing et l'usurpation d'identité. Nous pouvons vous aider à évaluer vos domaines et vous fournir les outils et l'expertise nécessaires pour mettre en œuvre et gérer DMARC sur le long terme.

Protégez les personnes qui dépendent de votre messagerie

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.

cybersécuritéDMARC

Articles connexes