Les analyses récentes en cybersécurité confirment une tendance forte : en 2024–2025, les attaques exploitent de plus en plus le facteur humain. L’ingénierie sociale dépasse désormais largement les attaques purement techniques ou automatisées.
L’ingénierie sociale consiste à manipuler des individus (employés, dirigeants, prestataires) afin de les amener à commettre une action risquée : cliquer, payer, divulguer une information ou installer un logiciel malveillant.
Les 5 attaques les plus fréquemment constatées par les entreprises sur les 12 derniers mois sont :
- Hameçonnage (phishing) et spear-phishing (≈ 80 %)
- Fraude au virement / arnaque au président (≈ 60 %)
- Infection par malware via email ou site compromis (≈ 50 %)
- Ransomware / cryptolocker (≈ 45 %)
- Ingénierie sociale avancée (voix, deepfake, IA) (≈ 45 %)
Le phishing, la fraude au président et les fausses factures relèvent tous de l’ingénierie sociale. Aujourd’hui, l’IA générative permet de produire des emails, des conversations et même des appels téléphoniques quasi indétectables, augmentant considérablement l’efficacité des attaques.
Sources croisées : Verizon DBIR 2024, Proofpoint Human Factor 2024, ANSSI
Les chiffres clés (2025)
85
Environ 85% des organisations dans le monde ont subi au moins une tentative de cyber-attaque significative
Source : Verizon Data Breach Investigations Report 2024
82
Le phishing reste le vecteur d’attaque n°1 : plus de 80% des incidents impliquent un email malveillant
Source : Proofpoint – Human Factor Report 2024
90
Près de 90% des entreprises utilisent des services cloud pour stocker ou traiter leurs données critiques
Source : IBM Security & Cloud Study 2024
15
Seules 15% des entreprises disposent d’un véritable programme de cyber-résilience testé et documenté
Source : ENISA / ANSSI – Cyber Resilience Review
30
Dans environ 30% des cas, une cyber-attaque entraîne une indisponibilité significative du site ou des services
Source : ANSSI – Panorama de la cybermenace 2024
18
18% des entreprises touchées déclarent une perte directe de chiffre d’affaires suite à un incident cyber
Source : IBM Cost of a Data Breach 2024
40
Les vulnérabilités applicatives (XSS, injections, mauvaises configurations) représentent encore ≈ 40% des attaques web exploitables
Source : OWASP / Akamai Security Reports
95
95% des incidents de sécurité impliquent directement ou indirectement une action humaine
Source : Microsoft Digital Defense Report 2024
25
Les fraudes par email intégrant de faux historiques de conversation ou des deepfakes représentent désormais ≈ 25% des tentatives de fraude ciblée
Source : Proofpoint / Europol 2024
Conclusion : en 2025, la cybersécurité n’est plus uniquement une affaire de pare-feu ou d’antivirus. Les attaquants ciblent d’abord les personnes : leurs habitudes, leur confiance et leur manque de vigilance.
La meilleure protection repose sur une combinaison de mesures techniques (sécurité des sites, emails, accès) et de sensibilisation humaine. En cas de doute, ne jamais agir dans l’urgence et demander l’avis d’un professionnel.
Par Thibaut Pietri
Ingénieur informatique spécialisé réseau, basé à Toulouse, j'ai plus de 25 ans d'expérience en développement et sécurisation de sites Internet, Extranet & applications mobiles autour des technologies LAMP (Linux/Apache/MySQL/PHP) sur différents outils de gestion de contenu (Wordpress, Prestashop, Drupal, Isens Evolution...).
Derniers articles
Mots de passe robustes : comment les créer et les gérer efficacement
27 décembre 2025 Le mot de passe reste aujourd’hui la première ligne de défense pour la majorité des comptes. Pourtant, des mots de passe faibles ou mal gérés sont encore responsables d’une grande partie des compromissions
PHP 8.x : nouveautés utiles pour les projets existants
26 décembre 2025 PHP 8.x n’est pas seulement une nouvelle version plus rapide. Pour les projets existants, il apporte des améliorations concrètes en termes de lisibilité du code, de sécurité et de robustesse, sans forcément tout réécrire.
Les erreurs de sécurité les plus courantes des utilisateurs (et comment les éviter)
23 décembre 2025 Dans la majorité des incidents de sécurité, la faille ne vient pas d’un bug complexe ou d’un piratage sophistiqué, mais tout simplement d’une erreur humaine. Mots de passe faibles, mauvaises habitudes, manque de vigilance : l’utilisateur reste l’un des maillons les plus exposés.