Blog

Rétrospective 2025 : comment les menaces par email ont évolué (chiffres, tendances, classement)

En 2025, l’email est resté le principal accélérateur d’incidents cyber, mais la dynamique a changé : les attaquants cherchent moins à “infecter” qu’à obtenir un accès (compte, session, token), puis à monétiser via fraude, vol de données ou ransomware.

L’échelle est massive : Microsoft indique analyser environ 5 milliards d’emails par jour pour la détection de menaces (malware, phishing).

Côté terrain, Barracuda rapporte que 78% des organisations interrogées ont subi au moins une email security breach sur 12 mois, et que parmi celles-ci 71% ont aussi été touchées par du ransomware sur l’année.

Ce double signal résume bien l’année : l’email déclenche, l’identité cède, et l’impact final est souvent financier ou opérationnel.

1) Ce qui a réellement changé en 2025

1.1 Les attaquants “se connectent” au lieu de “pirater”

La tendance la plus structurante est la montée des attaques orientées identité : vol de jetons, abus OAuth, mécanismes de connexion détournés, prise de contrôle de boîtes aux lettres (ATO). Le Microsoft Digital Defense Report 2025 insiste sur le basculement vers ces modes d’accès, qui s’intègrent mieux dans des environnements protégés par MFA.

Exemple très parlant fin 2025 : la mise en avant du “OAuth device code phishing” (notamment autour de Microsoft 365), où l’attaquant fait valider un code de connexion sur un flux légitime, réduisant l’efficacité des signaux “classiques” côté utilisateur.

Conséquence : le “clic” n’est plus toujours un lien malware ; il peut être un acte d’authentification (ou un consentement) qui ouvre la porte.

1.2 L’IA a industrialisé la persuasion (pas seulement le volume)

En 2025, l’IA n’a pas uniquement augmenté le volume de tentatives : elle a surtout amélioré la qualité linguistique, la cohérence des scénarios, et la personnalisation (ton interne, contexte métier, relances crédibles). Les analyses 2025 convergent : la barrière d’entrée baisse et la “fraude crédible” devient accessible à grande échelle.

Conséquence : la sensibilisation “repérer les fautes” devient moins pertinente ; il faut davantage sécuriser les processus (paiement, changement d’IBAN, validation fournisseurs) et l’identité (MFA robuste, CA, restrictions OAuth).

1.3 Les chaînes d’attaque multi-étapes deviennent la norme

Plutôt qu’un unique email “malware”, on observe davantage de parcours :
Email → page intermédiaire → redirection → collecte d’identifiants/token → prise de contrôle → fraude interne.

KnowBe4 documente la montée des techniques d’évasion (obfuscation, contournements) et la sophistication des parcours de phishing en 2025.

Conséquence : il faut mesurer et bloquer à plusieurs niveaux : DNS/URL, sécurité poste, détection post-livraison, supervision des sessions, règles anti-transfert, etc.

1.4 L’email reste le vecteur, mais le dommage final est “identité + finances + interruption”

ENISA, côté paysage européen, situe toujours phishing/ingénierie sociale et ransomware parmi les moteurs de la menace, avec l’email comme point d’entrée récurrent.
Barracuda relie également “email breach” et ransomware dans les organisations touchées.

Conséquence : l’email security n’est plus un sujet “messagerie”, c’est un sujet continuité d’activité (cash, opérations, réputation).

2) Classement 2025 par type de menace email (prévalence + impact)

Le classement varie selon qu’on mesure le volume, le taux de réussite ou l’impact financier. Ci-dessous, un classement pragmatique “PME/DSI” : ce qui revient le plus souvent et ce qui coûte le plus cher.

#1 — Phishing / Spearphishing (y compris QR-phishing, pages multi-étapes)

Objectif : récupérer identifiants/tokens, pousser à une action (paiement, fichier, autorisation).
Pourquoi n°1 : c’est la porte d’entrée la plus universelle et la plus adaptable.
Barracuda le place parmi les attaques subies dans les breaches déclarées.

Signaux 2025 :

meilleure qualité rédactionnelle (IA),

scénarios métier (facture, RH, M365, livraison),

redirections et pages “propres” au scan.

#2 — BEC / fraude au président / fraude au fournisseur (payment diversion)

Objectif : détourner un paiement, changer un RIB/IBAN, usurper une relation (fournisseur, direction).
Pourquoi n°2 : c’est “low-tech / high ROI” et extrêmement rentable sur PME.
Les rapports IC3 (FBI) sont pertinents pour introduire le poids financier des fraudes en ligne et replacer la fraude email dans le paysage de la cybercriminalité.

Signaux 2025 :

usurpations plus crédibles,

meilleure imitation des échanges internes,

exploitation d’une boîte compromise pour renforcer la légitimité.

#3 — Account Takeover (ATO) et attaques “Identity-first”

Objectif : prendre contrôle d’un compte (boîte mail, M365), créer règles de transfert, exfiltrer, rebondir.
Pourquoi n°3 : c’est le pivot qui transforme un incident “mail” en incident “système”.
La mise en avant du device code phishing illustre ce basculement : l’attaque cible la session plutôt que le poste.

Signaux 2025 :

consentements OAuth abusifs,

règles de transfert discrètes,

vol de tokens/cookies,

MFA contournée ou “fatiguée” (MFA fatigue / push bombing selon contextes).

#4 — Malware par email (droppers/loaders) et infostealers

Objectif : voler credentials/tokens, préparer l’accès initial, parfois déposer ransomware plus tard.
Pourquoi n°4 : toujours présent, mais souvent au service de l’accès (identity economy).
Le MDDR 2025 relie fortement menaces, identité et chaînes d’attaque.

#5 — Extorsion / menaces / “fake legal” (ingénierie sociale opportuniste)

Objectif : pression psychologique, paiement rapide, fuite de données fictive, intimidation.
Pourquoi #5 : volume opportuniste, efficacité variable, mais très chronophage côté support et direction.

3) Les indicateurs à suivre en 2026

Taux de boîtes compromises (et délai de détection) : règles de transfert, accès suspects, connexions impossibles.

Hygiène DNS et authentification : SPF/DKIM/DMARC en enforcement + surveillance des changements DNS.

Durcissement de l’identité : MFA résistante au phishing, Conditional Access, limitation des apps OAuth/consentements.

Process paiement : validation hors bande, double-contrôle, liste blanche fournisseurs, contrôle des changements d’IBAN.

Détection post-livraison : campagnes qui passent les filtres, “time-of-click protection”, réécriture d’URL, EDR.

(ENISA et Microsoft proposent des axes structurants sur gouvernance et contrôle des accès, utiles pour la conclusion.)

4) Conclusion

La rétrospective 2025 se résume en une phrase : l’email n’est plus seulement un canal de malware, c’est un canal d’acquisition d’identité. L’IA a rendu l’ingénierie sociale plus crédible, tandis que les attaquants déplacent l’effort vers la session et les autorisations.

Si tu es DSI/CTO d’une PME, la question n’est pas “est-ce qu’on reçoit du phishing”, mais : combien de temps une compromission resterait invisible et quels processus critiques pourraient être déclenchés depuis une simple boîte mail.