Les 5 principales menaces de cybersécurité à facteur humain en 2025 : Le phishing évolue à nouveau

En 2025, les menaces de cybersécurité ont pris une nouvelle forme : elles ciblent lespersonnes, et non plus seulement les systèmes. Les attaques par hameçonnage sont plus convaincantes, plus personnalisées et plus difficiles à détecter. Ce billet explore les cinq principales menaces de cybersécurité à facteur humain de cette année et explique comment la formation et les tests peuvent vous aider à garder une longueur d'avance.

Menace de cybersécurité

1. Les attaques de type "Click-Fix" : Une menace de cybersécurité d'un nouveau genre

Les attaques de type "Click-Fix" se multiplient. Ces tentatives d'hameçonnage utilisent de faux pop-ups ou de fausses alertes système, demandant aux utilisateurs de coller un "correctif" dans Terminal ou Run. Ce qui semble être une commande utile lance en réalité un logiciel malveillant.

Les attaquants utilisent ces tactiques dans des courriels d'hameçonnage, des redirections de navigateur et des escroqueries par chat. Certaines campagnes ont également été liées à des acteurs étatiques.

S'en défendre:

  • Simulez l'hameçonnage Click-Fix dans le cadre de la formation des employés. Nous disposons d'un nouveau modèle d'attaque pour ce faire.

  • Prévenir le personnel de ne pas faire de copier-coller à partir de sources inconnues.

  • Surveiller l'activité du presse-papiers liée aux scripts.

2. L'hameçonnage des fournisseurs : la menace de cybersécurité cachée dans votre boîte de réception

Les programmes de formation modernes utilisent plusieurs types de contenu pour atteindre les employés de manière efficace :

L'hameçonnage des fournisseurs est l'une des menaces de cybersécurité les plus dangereuses à l'heure actuelle. Les attaquants détournent le compte de messagerie d'un fournisseur de confiance et envoient des messages malveillants au personnel interne. Comme l'e-mail est réel et que la relation est de confiance, les utilisateurs sont plus enclins à cliquer.

En mai 2025, une attaque par hameçonnage d'un fournisseur contre le grand détaillant britannique M&S a causé d'importantes pertes financières et a révélé des faiblesses dans les contrôles des fournisseurs.

Conseils d'atténuation:

  • Inclure l'hameçonnage de type fournisseur dans les simulations de sensibilisation.

  • Étendre la formation aux partenaires et aux équipes externalisées. Nous pouvons vous aider à le faire.

  • Vérifier les demandes par le biais d'un second canal de communication.

3. Hameçonnage par code QR : scanner et cliquer pour se faire pirater

Les codes QR sont partout, des bureaux aux invitations à des réunions. Mais en 2025, les attaques de phishing utilisant les codes QR se multiplient. Ces codes mènent souvent à de fausses pages de connexion ou à des scripts de collecte de jetons.

Comme l'action commence sur un smartphone, les employés sont moins prudents. L'ENISA a désigné le QR phishing comme l'une des principales menaces émergentes en matière de cybersécurité en Europe.

Protégez votre peuple:

  • Utilisez le QR phishing dans vos tests de sensibilisation.
  • Apprendre au personnel à vérifier les URL avant de se connecter.
  • Afficher des indications visuelles dans les bureaux situés à proximité d'espaces partagés.

Nous avons déjà parlé des codes QR dans notre blog et nous avons des modèles d'attaque et de sensibilisation pour vous aider à résoudre ce problème.

Menaces de cybersécurité à l'horizon 2025

4. Fatigue du MAE : Quand trop d'invites conduisent à un mauvais clic

Les auteurs de phishing exploitent désormais les utilisateurs par le biais de la fatigue de l'AMF. Après avoir volé les informations d'identification, ils déclenchent des demandes de connexion répétées, en espérant que l'utilisateur en approuvera une par erreur.

Cette tactique est particulièrement répandue après les heures de travail ou sur les appareils mobiles. Elle a été utilisée dans plusieurs attaques très médiatisées en 2024 et continue de se développer.

Ce qu'il faut faire:

  • Former les utilisateurs au fonctionnement de l'AMF.

  • Simulez ces attaques dans vos tests d'hameçonnage.

  • Passez à un système de gestion de la relation client (MFA) résistant à l'hameçonnage lorsque c'est possible.

5. Détournement d'un fil de discussion par courrier électronique : Des conversations de confiance qui tournent au vinaigre

Dans un détournement de fil de discussion, l'attaquant utilise un vrai compte compromis pour répondre à une conversation électronique active. C'est très efficace, car le message contient l'historique et le ton des courriels authentiques.

Ces attaques de phishing visent souvent les équipes financières, juridiques et de ressources humaines. Elles contournent les filtres et les défenses psychologiques.

Mesures défensives:

  • Inclure des scénarios de détournement de discussion dans les simulations.

  • Former les utilisateurs à repérer les pièces jointes inhabituelles, même dans les discussions de confiance.

  • Encourager le signalement rapide en interne des réponses suspectes.

Menaces de cybersécurité et conformité : Pourquoi la formation est désormais une priorité juridique

La directive européenne NIS2 le dit clairement : la sensibilisation à la cybersécurité n'est plus facultative. Si votre organisation fait partie des secteurs critiques ou importants, la directive NIS2 l'exige :

  • Formation régulière des employés

  • Attaques simulées pour tester la réponse

  • Flux de rapports et de réponses

Les amendes pour non-conformité peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Les organisations allemandes, autrichiennes et d'autres pays de l'UE doivent désormais prouver qu'elles prennent le risque humain au sérieux. La mise en œuvre d'une formation et de tests de phishing réalistes, tels que ceux proposés par des plates-formes comme Lucy, est un élément clé du respect de ces obligations.

Dernières réflexions : Les menaces en matière de cybersécurité continueront d'évoluer, alors formez-vous, testez et gardez une longueur d'avance.

Les plus grandes menaces de cybersécurité de 2025 ne sont pas des exploits de type "zero-day", mais des techniques d'hameçonnage intelligentes et axées sur l'humain. Et elles fonctionnent.

C'est pourquoi votre plan de défense doit inclure :

  • Simulations réalistes d'hameçonnage basées sur les menaces actuelles

  • Formation de sensibilisation basée sur les rôles, adaptée à chaque service

  • Tests continus, en particulier pour les risques liés aux tiers

Des outils tels que Lucy Security vous permettent d'effectuer des tests de phishing ciblés, de personnaliser le contenu et de suivre les améliorations au fil du temps.

Il ne s'agit plus seulement d'attraper le phishing. Il s'agit de prouver que l'on peut le faire.

Contactez-nous si vous souhaitez discuter plus en détail de ces défis et de vos besoins.

Notre chaîne YouTube propose également de nombreuses vidéos utiles sur ces sujets, notamment sur la manière de cloner les attaques.