2025, une année charnière confirmée par les données
Le rapport semestriel d’ESET consacré aux cybermenaces observées entre juin et novembre 2025, publié à l’automne, marque un tournant structurant dans l’évolution du paysage cyber. Il ne s’agit plus d’une simple accélération conjoncturelle, mais bien d’un changement de nature. L’intelligence artificielle, déjà présente depuis plusieurs années dans certains outils offensifs, franchit en 2025 un seuil critique : elle devient capable de concevoir, d’adapter et d’exécuter des attaques de manière largement autonome.
Les indicateurs relevés sur cette période sont sans ambiguïté. Les attaques par ransomware progressent de 40 % sur le second semestre, tandis que les attaques mobiles, notamment via NFC, augmentent de 87 %. Ces chiffres confirment une tendance observée dès fin 2024, mais qui s’est nettement amplifiée au cours de l’année 2025. La cybercriminalité n’évolue plus seulement en volume, elle se transforme structurellement sous l’effet de l’IA.
De l’optimisation à l’autonomie : une trajectoire amorcée dès 2023
Pour comprendre cette rupture, il faut la replacer dans une trajectoire plus longue. Dès 2023, les premières utilisations significatives de modèles de langage par des attaquants sont documentées, notamment pour améliorer la qualité linguistique des campagnes de phishing et automatiser certaines tâches de reconnaissance. En 2024, l’IA commence à être intégrée dans des chaînes d’attaque plus complexes, en particulier pour le contournement de filtres anti-spam et la personnalisation à grande échelle des messages frauduleux.
Ce qui distingue 2025, c’est le passage de l’assistance à l’autonomie. L’IA ne se contente plus d’aider l’attaquant, elle prend des décisions opérationnelles. Cette évolution correspond à une maturité technologique des modèles, mais aussi à leur diffusion massive, rendue possible par des outils accessibles, des API publiques et des services prêts à l’emploi.
PromptLock (été 2025) : l’acte fondateur des ransomwares autonomes
Identifié par ESET au cours de l’été 2025, PromptLock incarne cette nouvelle génération de menaces. Présenté comme le premier ransomware véritablement autonome, il est capable de générer dynamiquement ses propres scripts malveillants en fonction de l’environnement qu’il rencontre. Contrairement aux ransomwares traditionnels, dont le comportement peut être anticipé par analyse statique ou dynamique, PromptLock introduit une variabilité permanente.
Cette capacité marque une rupture conceptuelle. Jusqu’en 2024, même les ransomwares les plus sophistiqués reposaient sur des chaînes d’exécution relativement stables. En 2025, le code devient adaptatif. Il observe les mécanismes de défense, ajuste ses actions et modifie sa logique d’attaque en temps réel. Pour les équipes de sécurité, cela signifie que la notion même de « signature connue » perd une partie de sa pertinence.
2024–2025 : l’industrialisation de la fraude par IA
Parallèlement à l’émergence de malwares autonomes, les campagnes de fraude connaissent une transformation rapide entre fin 2024 et 2025. Les arnaques à l’investissement de type Nomani en sont une illustration frappante. Initialement observées sur certaines plateformes sociales en 2024, elles se propagent massivement en 2025 vers d’autres canaux, notamment les plateformes vidéo.
L’IA joue ici un double rôle. Elle permet d’abord la génération automatisée de contenus crédibles, cohérents et adaptés culturellement. Elle facilite ensuite l’intégration de deepfakes de plus en plus réalistes, rendant la distinction entre contenu légitime et contenu frauduleux extrêmement difficile. Selon les données de télémétrie d’ESET, ces campagnes progressent de 62 % sur un an, confirmant leur efficacité opérationnelle.
2025 : le temps devient une arme offensive
Un autre changement majeur observé au cours du second semestre 2025 concerne la temporalité des attaques. Les campagnes publicitaires malveillantes éphémères, actives parfois seulement quelques heures, exploitent un décalage structurel entre la vitesse d’exécution des attaques et les délais de réaction des plateformes et des équipes de sécurité.
Cette stratégie, qui se généralise en 2025, repose sur une compréhension fine des processus de modération et de signalement. L’IA permet d’orchestrer ces campagnes de manière automatisée, de les lancer à grande échelle, puis de les retirer avant toute neutralisation. La détection reste possible, mais elle intervient trop tard, une fois l’impact déjà produit.
Effondrements et renaissances : la volatilité accrue en 2025
L’année 2025 illustre également la volatilité extrême de l’écosystème cybercriminel. Le cas de Lumma Stealer est révélateur. Démantelé au printemps 2025 par une action conjointe de Microsoft et d’Europol, le malware tente deux retours limités avant de s’effondrer. Les détections chutent de 86 % sur le second semestre 2025, signe d’une victoire opérationnelle réelle, mais fragile.
À l’inverse, CloudEyE connaît une croissance fulgurante sur la même période, avec une activité multipliée par trente entre l’été et l’automne 2025. Cette alternance rapide entre disparition et émergence de menaces est facilitée par l’IA, qui permet de réutiliser, adapter et déployer rapidement de nouveaux outils.
Pourquoi l’IA devient indispensable à la défense depuis 2024
Face à cette accélération, l’intelligence artificielle s’impose progressivement, depuis 2024, comme un pilier des stratégies défensives. Les volumes de données générés par les systèmes d’information modernes rendent toute approche exclusivement humaine obsolète. L’IA permet d’analyser en continu des flux massifs de logs, d’événements et de comportements.
Dans le cas des attaques persistantes avancées, dont la présence est documentée sur plusieurs mois voire plusieurs années, cette capacité est critique. Les APT observées entre 2023 et 2025 se caractérisent par leur discrétion et leur capacité à se fondre dans l’activité normale. Les modèles d’apprentissage automatique permettent d’identifier des déviations progressives, invisibles à court terme, mais significatives sur la durée.
De la réaction à l’anticipation (2025 et au-delà)
L’un des apports majeurs de l’IA défensive, pleinement exploité en 2025, réside dans le passage d’une logique réactive à une logique anticipative. En corrélant des signaux faibles issus de multiples sources, les outils basés sur l’IA peuvent évaluer un niveau de risque en temps quasi réel, prioriser les alertes et guider les équipes SOC dans leurs décisions.
Cette capacité devient indispensable face à des attaquants qui, eux aussi, utilisent l’IA pour masquer leurs traces, désactiver des EDR ou fragmenter leurs attaques dans le temps. La défense doit désormais évoluer au même rythme que l’attaque, sous peine d’un décrochage structurel.
La démocratisation de l’IA : un risque systémique à partir de 2025
Le facteur le plus préoccupant à moyen terme reste la démocratisation massive de l’IA, particulièrement visible depuis 2025. Des outils puissants, autrefois réservés à des groupes très structurés, deviennent accessibles à des acteurs peu expérimentés. Le ransomware en tant que service, enrichi par des briques d’intelligence artificielle, abaisse considérablement la barrière à l’entrée de la cybercriminalité.
Cette évolution ne se traduit pas uniquement par une augmentation quantitative des attaques, mais par une dispersion du risque. Le paysage devient plus imprévisible, plus fragmenté et plus difficile à cartographier. La menace ne vient plus seulement de groupes identifiés, mais d’une multitude d’acteurs opportunistes.
2025 comme point de bascule stratégique
Le rapport d’ESET sur le second semestre 2025 confirme que la cybersécurité a franchi un point de bascule. L’intelligence artificielle agit comme un multiplicateur de puissance, aussi bien pour les attaquants que pour les défenseurs. Mais cette symétrie est trompeuse. Les contraintes réglementaires, organisationnelles et opérationnelles pèsent davantage sur la défense que sur l’attaque.
Dans ce contexte, l’enjeu central des années à venir ne sera pas uniquement technologique. Il sera stratégique, organisationnel et politique. La question n’est plus de savoir si l’IA transformera durablement la cybermenace — c’est déjà le cas depuis 2025 — mais si les organisations sauront en maîtriser les usages, anticiper les dérives et construire une résilience durable dans un environnement où l’attaque peut désormais être autonome, adaptative et éphémère.