Menaces cyber 2025 : Analyse MDR Kaspersky de 400 000 alertes
Les services MDR, Réponse aux incidents et Évaluation de compromission de Kaspersky ont traité les données de 200 000 clients professionnels. En 2025, ils ont enregistré 400 000 alertes. L'IA a résolu automatiquement 95 000 d'entre elles (24 %), les analystes SOC ont filtré 87 % des 300 000 restantes. Seuls 21 000 incidents ont été transmis aux clients.
Temps de réponse : 42 minutes pour les critiques, 33 minutes pour les moyennes et 31 minutes pour les faibles. C'est une amélioration de 22 % par rapport à 2024, grâce à l'automatisation.
Tendances de criticité des incidents
La part des incidents critiques diminue pour la sixième année consécutive : de 14,3 % en 2021 à 3,8 % en 2025. Le MDR en détecte trois par jour en moyenne. 97 % des incidents étaient de criticité moyenne ou faible, principalement dus à des malwares automatisés et des attaques opportunistes.
Les attaques pilotées par des humains sont plus rares en pourcentage, mais restent les plus dangereuses. Leur détection précoce explique la baisse de la criticité globale.
Secteurs les plus ciblés
Top 3 des secteurs par part d'incidents :
- Secteur public — 19 %
- Industrie manufacturière — 17 %
- Informatique — 15 % (devant la finance)
Le secteur informatique a subi 4,9 % d'incidents critiques, le secteur public 4,3 % (au-dessus de la moyenne). L'essor des attaques informatiques est lié aux compromissions de la chaîne d'approvisionnement : les hackers infiltrent les fournisseurs de services et intégrateurs pour atteindre les clients. Nous avons observé des cas impliquant plusieurs organisations en chaîne.
Vecteurs d'accès initiaux
D'après les données de Réponse aux incidents :
- Exploits d'applications publiques — 43,7 %
- Identifiants compromis — 25,4 %
- Relations de confiance (fournisseurs) — 15,5 %
Le phishing a quitté le top 3 en 2023 et joue désormais un rôle secondaire dans les chaînes de tuerie. Les attaques sur fournisseurs ont explosé depuis 2023 : infiltration d'entreprises mal sécurisées disposant d'un accès distant aux clients, rendant le trafic légitime en apparence.
Impact des attaques réussies
Le chiffrement de données arrive en tête des incidents causant des dommages à 39 %. Suivent : persistance pour perturbation (12 %), exfiltration web (7 %).
Différences dans le timing de détection :
- Post-dommages : chiffrement, destruction de données, interruptions de service.
- Pré-dommages : persistance, compromission Active Directory.
Le temps de présence dépend de la maturité du monitoring, pas du point d'entrée.
Vulnérabilités exploitées
50 % des vulnérabilités en Réponse aux incidents étaient des RCE, souvent sans authentification. Les plus courantes :
- CVE-2025-31324 (SAP NetWeaver, CVSS 9,8) — téléversement de fichiers non autorisé
- CVE-2025-42999 (SAP NetWeaver, CVSS 9,1) — désérialisation insécurisée, RCE
- CVE-2025-61882 (Oracle E-Business Suite, CVSS 9,8) — prise de contrôle de service sans authentification
- CVE-2024-55591 (Fortinet FortiOS, CVSS 9,8) — contournement d'authentification
Un tiers des vulnérabilités dataient de 2021 — ProxyLogon sur Exchange reste d'actualité quatre ans après. Les attaquants exploitent des failles connues avec correctifs disponibles.
Outils des attaquants
LOLBins dans les incidents MDR critiques :
| Outil | Part |
|---------------|--------|
| powershell.exe| 14,4 % |
| rundll32.exe | 5,9 % |
| mshta.exe | 3,8 % |
| comsvcs.dll | 3,0 % |
| msedge.exe | 2,7 % |
mshta.exe a explosé en raison d'appâts CAPTCHA falsifiés. Outils spécialisés : Mimikatz (14,3 %), PowerShell (8,1 %), PsExec/AnyDesk (7,5 %). Exemple : détournement DLL via MPDefender.exe.
Défis des SOC
La couverture des règles moyenne est de 43 %, tombant à 30 % avec plus de 50 sources de données. Problèmes clés :
- Dégradation de la couverture sans supervision.
- Règles fournisseurs sans ajustement — faux positifs à foison.
- Logs déséquilibrés sans détection (réseau, BD, web).
Techniques émergentes 2025
T1568 Résolution dynamique entre dans le top 10 des conversions (23 %) : DGA, Fast Flux DNS. Cas : abus des réservations URL dans HTTP.sys pour un C2 furtif, imitant le trafic Exchange.
Enseignements clés
- Incidents critiques à 3,8 %, mais MDR les stoppe avant dommages.
- Vecteurs principaux : apps publiques (43,7 %), identifiants (25,4 %), fournisseurs (15,5 %).
- Vulnérabilités : 50 % RCE, un tiers de 2021 — correctifs disponibles.
- SOC couvrent 43 % des données ; dégradation est un risque majeur.
- Informatique dans le top 3 (15 %), visé via chaînes d'approvisionnement.
— Editorial Team
Aucun commentaire pour le moment.