Explosion des attaques d’ingénierie sociale en 2025 

L’ingénierie sociale à la Une !

Plus d’un tiers des cas commencent par une attaque d’ingénierie sociale : 65 % sont des tentatives de phishing, l’email reste le point d’entrée privilégié. Si 45 % des scénarios impliquent une usurpation d’identité interne, 23 % exploitent des techniques vocales ou de rappel. De plus, les attaques dites « high-touch » sont en progression. L’IA crée des appâts ultra-personnalisés, le clonage de voix ou des interactions live lors d’usurpations.

Enfin, les angles morts dans les vérifications comme les alertes ignorées (13 % des cas), des permissions excessives (10 %) et l’absence de MFA (10 %) sont fréquents. « La menace par ingénierie sociale, aidée de l’IA, devient extrêmement agile et sophistiquée, capable de mieux contourner les défenses traditionnelles. Pour la contrer, sensibiliser les utilisateurs ne suffit plus. Les responsables sécurité doivent appréhender l’ingénierie sociale comme un facteur de risque polyvalent. Pour garder une longueur d’avance, les organisations doivent adopter une posture proactive, alliant protection automatisée, visibilité de bout en bout, et renforcement des processus afin de protéger leurs actifs les plus critiques » précise Raphaël Marichez, CSO Europe du Sud et France chez Palo Alto Networks. 

Impacts opérationnels

60 % des attaques d’ingénierie sociale ont conduit à une exposition de données : taux de 16 points supérieur aux autres types d’accès initiaux.

Près de la moitié des cas concernent des compromissions de messagerie d’entreprise (BEC), dont plus de 50 % ont entraîné une compromission de données. 

Vitesse d’exfiltration & Attaques multi-vecteurs

19 % des incidents ont abouti à une exfiltration des données en moins d’une heure ! Dans le premier quart des cas, l’exfiltration s’est produite en moins de 5 heures, soit trois fois plus rapidement qu’en 2021.

70 % des incidents ont impliqué trois vecteurs d’attaque ou plus (incluant les terminaux, les réseaux, le cloud et les facteurs humains) et soulignent l’importance d’une défense intégrée et d’une approche plateforme de la sécurité. 

Notons que 44 % des attaques ont exploité des navigateurs web, via le phishing, les redirections malveillantes et téléchargements compromis. 

Enfin, 35 % des attaques exploitent le SEO poisoning, la publicité malveillante (malvertising), le hameçonnage par SMS (smishing) et le bombardement MFA (MFA bombing).

Autres modèles d’attaques. L’approche “high-touch” ciblée, les attaquants usurpent l’identité de collaborateurs, exploitent le support informatique ou un compte de messagerie compromis pour accéder rapidement à des comptes privilégiés. La tromperie à grande échelle ne doit pas être négligée. Il s’agit de la diffusion de fausses invitations, campagnes SEO malveillantes, publicité malveillante ou prompts frauduleux visant à compromettre massivement des terminaux et des organisations. 

Facteurs favorisant les attaques !

L’Unit 42 sonne la sonnette d’alarme avec trois facteurs qui favorisent ces attaques.

• Des accès trop permissifs (des comptes avec trop de privilèges facilitent les déplacements latéraux)
• Une visibilité comportementale insuffisante (les alertes critiques sont souvent ignorées ou mal interprétées)
• La confiance non vérifiée dans les procédures mises en œuvre par les humains, notamment les protocoles des hotlines ou de validations express
  
  

Source : Unit 42 de Palo Alto Networks – Edition 2025 du Global Incident Response Reportdédiée à l’ingénierie sociale. Plus de 700 cas de réponses à incident réalisés par l’Unit 42, et sur la télémétrie provenant d’attaques réelles observées entre octobre 2023 et décembre 2024, concernant des organisations réparties dans 38 pays.