2025 Verizon Data Breach Investigations Report : Les violations par des tiers doublent
Verizon a publié la dix-huitième édition de son Data Breach Investigations Report (DBIR), qui couvre les cyberincidents survenus entre novembre 2023 et octobre 2024 et représentant des victimes de 139 pays.
Dans le rapport 2025, l'équipe de Verizon analyse 22 052 incidents de sécurité, dont plus de 12 000 violations de données confirmées dans des organisations de toutes tailles et de tous secteurs. Les auteurs notent que le rapport 2025 "représente le plus grand nombre de violations jamais analysées dans un seul rapport".
Bien que le paysage des menaces puisse varier quelque peu en fonction de la taille, de la mission et de la localisation de l'organisation, certains thèmes généraux semblent toujours prédominer dans notre ensemble de données, indépendamment de ces variables. Cette année ne fait pas exception. Le thème le plus évident et le plus remarquable est sans doute le rôle que jouent les relations avec les tiers dans la manière dont les violations se produisent et dans les raisons qui les motivent.
Verizon 2025 Rapport d'enquête sur les violations de données
Violation de l'affiliation d'un tiers
Doublant par rapport à l'année dernière, 30 % des violations sont liées à des tiers. Les logiciels et les fournisseurs tiers d'une organisation augmentent généralement les risques de violation de données, et nous entendons de plus en plus parler de violations liées à des fournisseurs. Vous vous souviendrez des attaques massives de SolarWinds et de la chaîne d'approvisionnement de Kaseya, pour lesquelles de nombreuses organisations se remettent encore des dommages financiers et de réputation qu'elles ont subis.
Les chercheurs ont constaté qu'un grand nombre de ces brèches se caractérisaient par la réutilisation d'informations d'identification dans des écosystèmes tiers. Bien qu'une organisation donnée puisse appliquer des pratiques idéales en matière de cybersécurité, elle n'est aussi résistante que ses fournisseurs tiers connectés, qu'il s'agisse d'un service de facturation, d'un logiciel de transfert de fichiers ou d'un fournisseur de services gérés.
Les attaques contre la chaîne d'approvisionnement étant en augmentation, il est essentiel que les organisations de la chaîne d'approvisionnement verrouillent leurs domaines contre les tentatives d'hameçonnage.
Exploitation des vulnérabilités
Le nombre de criminels exploitant des vulnérabilités pour obtenir un accès initial au réseau afin de perpétrer des infractions a augmenté de 34 %, ce qui constitue une responsabilité croissante. "Qu'est-ce que l'exploitation des vulnérabilités ? Il s'agit d'un terme assez large qui décrit les criminels qui découvrent et exploitent des failles dans les logiciels, le matériel ou les réseaux, en particulier celles qui ne sont pas encore connues ou corrigées, afin d'accéder aux systèmes et aux données. Cette méthode est devenue un vecteur d'accès initial important pour les brèches, représentant 20 % de tous les incidents.
Persistance et croissance des rançongiciels
Les ransomwares constituent malheureusement un autre domaine de croissance. Bien qu'il y ait quelques bonnes nouvelles que vous lirez dans une seconde, les chercheurs de Verizon ont constaté une augmentation de 37 % de la présence des ransomwares par rapport au rapport de l'année dernière. Il était présent dans 44 % des violations examinées, contre 32 % en 2024.
La bonne nouvelle : 64 % des organisations touchées par un ransomware ont refusé de payer la rançon, soit une augmentation de 50 % par rapport à 2023. En outre, le paiement médian de la rançon est tombé à 115 000 dollars, contre 150 000 dollars en 2024.
Les ransomwares affectent également de manière disproportionnée les petites entreprises. Dans les grandes entreprises, les ransomwares sont à l'origine de 39 % des violations, tandis que les PME ont subi 88 % des violations liées aux ransomwares.
-Rapport d'enquête sur les violations de données de Verizon
Les auteurs du DBIR notent que les ransomwares représentent la monétisation de l'accès aux systèmes - environ 42% des violations de données incorporent des identifiants compromis, des vulnérabilités exploitées ou l'utilisation de l'hameçonnage.
Dans son guide Stop Ransomware, la CISA recommande la mise en œuvre d'une "politique et d'une vérification DMARC afin de réduire les risques d'usurpation ou de modification des courriels provenant de domaines valides". DMARC s'appuie sur les protocoles SPF et DKIM, largement déployés, et ajoute une fonction de rapport qui permet aux expéditeurs et aux destinataires d'améliorer et de surveiller la protection du domaine contre les courriels frauduleux.
DMARC permet aux propriétaires de domaines de protéger leurs domaines contre une utilisation non autorisée en luttant contre la diffusion courante des ransomwares par courrier électronique.
Compromission d'e-mails d'entreprises
Il n'est pas surprenant que la compromission des courriels d'entreprise (BEC) continue d'être une méthode de choix pour la fraude aux transferts financiers. Verizon signale que si le nombre d'attaques BEC augmente, le montant médian des sommes volées se maintient autour de 50 000 dollars. Cependant, les tactiques de BEC évoluent et les criminels prennent le temps d'établir des relations pour tirer parti de la situation.
À notre avis, ce qui est vraiment intéressant dans ce type d'attaques, ce n'est pas seulement leur ampleur, mais aussi le temps que les attaquants semblent consacrer à se familiariser avec les victimes. Les adeptes de l'IA affirmeraient bien sûr avec véhémence que ce phénomène est uniquement dû aux outils d'IA, mais en réalité, cette tendance dure depuis trop longtemps pour que l'IA puisse s'en attribuer tout le mérite.
-Rapport d'enquête sur les violations de données 2025 de Verizon
Les virements bancaires constituent la majorité des recettes de la BEC (88 %), tandis que d'autres moyens financiers, tels que les devises numériques, sont moins utilisés.
DMARC est un contrôle qui bloque les courriels falsifiés afin que les gens n'aient pas à décider s'il s'agit d'un vrai courriel ou d'une escroquerie.
La cybercriminalité dans la région EMEA
Les principaux types de violations dans la région Europe, Moyen-Orient et Afrique sont restés cohérents avec le DBIR 2024, bien que la répartition ait changé. Les intrusions dans les systèmes ont augmenté, représentant 53 % des violations, contre 27 % dans le rapport de l'année dernière.
Les attaques par ransomware, le vol de données d'identification et l'exploitation de vulnérabilités sont probablement à l'origine de cette hausse. Petite mais bonne nouvelle, l'ingénierie sociale a diminué de deux points de pourcentage pour s'établir à 22 %.
La cybercriminalité dans l'APAC
Dans la région Asie-Pacifique, le vol d'informations d'identification et l'exploitation de vulnérabilités arrivent en tête des types de violations. Les informations d'identification volées, généralement détournées par le biais d'opérations d'hameçonnage, ont été utilisées dans 55 % des violations.
Les vulnérabilités telles que les systèmes non corrigés, les bogues logiciels et les mauvaises configurations ont été exploitées et ont représenté 37 % des violations. Les criminels tirent généralement parti de ces deux pratiques de pénétration pour exploiter les ransomwares.
La catégorie de l'ingénierie sociale représentait 25 % des violations dans la région APAC. La compromission des courriels d'affaires a constitué 40 % des brèches d'ingénierie sociale ; le bombardement rapide a été impliqué dans 34 % des cas ; et l'hameçonnage, comme toujours, a été très répandu, représentant 26 % des incidents d'ingénierie sociale.
Comment DMARC et dmarcian peuvent aider
DMARC contribue à protéger les domaines internet contre les criminels qui utilisent l'ingénierie sociale et les attaques par hameçonnage. En fin de compte, c'est le ciment qui permet aux organisations de gérer le courrier électronique en tant que service basé sur un domaine.
L'utilité de DMARC en tant que technologie anti-spoofing découle d'une innovation bien plus importante : au lieu d'essayer de filtrer le courrier électronique malveillant, pourquoi ne pas fournir aux opérateurs un moyen d'identifier facilement le courrier électronique légitime ? La promesse de DMARC est d'augmenter le modèle de sécurité du courrier électronique "filtrer les mauvais" avec un modèle "filtrer les bons".
La mission de dmarcian est de voir l'adoption universelle de DMARC. Nous défendons cette technologie et la faisons progresser en aidant des organisations de toutes formes et de toutes tailles à la déployer. Un déploiement DMARC correctement structuré peut jeter les bases d'une présence en ligne digne de confiance pour une organisation.
Nous sommes là pour vous aider à évaluer votre catalogue de domaines et à mettre en œuvre et gérer DMARC sur le long terme.
Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.
