Rapport M-Trends de Mandiant : les identifiants volés deviennent le deuxième vecteur le plus répandu des cyberattaques

Rapport M-Trends de Mandiant : les identifiants volés deviennent le deuxième vecteur le plus répandu des cyberattaques Mandiant publie son rapport annuel M-Trends. Les cybercriminels qui agissent par motivation financière restent majoritaires.

Ce 23 avril 2025, Mandiant publie son rapport annuel M-Trends qui s'appuie sur plus de 450 000 heures de réponses à incidents menées en 2024 par les équipes de l'entreprise à travers le monde. Reposant exclusivement sur des compromissions confirmées, avec extraction et analyse de preuves techniques, ce rapport affirme que les cybercriminels qui agissent par motivation financière restent largement majoritaires.

Malgré le contexte géopolitique, le taux de cybercriminels motivés par l'espionnage est en baisse de 2% par rapport à 2023, passant de 10% à 8%. En revanche, parmi les groupes de cyberattaquants suivis par Mandiant, le taux de cybercriminels motivés par des raisons pécuniaires progresse sensiblement, passant de 48% en 2022 à 55% en 2024. Aussi, pour la cinquième année consécutive, le vecteur d'infection le plus courant reste l'exploitation de vulnérabilités (33%).

Rapport M-Trends 2025 © Mandiant

En outre, en 2024, les identifiants volés deviennent le deuxième vecteur le plus répandu (16%) alors que leur usage par les cybercriminels avait chuté de 14% en 2022 à 10% en 2023. Les trois autres vecteurs les plus fréquents sont l'hameçonnage par e-mail (14%), les compromissions de sites web (9%) et les compromissions antérieures (8%).

Une utilisation des infostealers en pleine croissance

"Si les ransomwares, l'extorsion via le vol de données, et les formes d'extorsion multiples restent des préoccupations majeures à l'échelle mondiale, nous observons également une adoption croissante des malwares de type infostealer et une exploitation accrue des technologies Web3, y compris les cryptomonnaies", indique Stuart McKenzie, directeur général de Mendiant Europe, Afrique et Moyen-Orient.

L'utilisation croissante de ces infostealers comme Trickbot est ce qui explique l'augmentation des identifiants volés en 2024. En effet, ceux-ci seraient de plus en plus utilisés à des fins de collecte et de commercialisation d'identifiants "dans les communautés cybercriminelles, où ils sont proposés en gros ou à l'unité." Par ailleurs, Mandiant a trouvé des identifiants professionnels d'entreprises dans des logs d'infostealers, ce qui témoigne de la vulnérabilité des entreprises face à ce type de logiciel malveillant.

La finance est le secteur le plus touché

Les secteurs les plus ciblés par les cyberattaques analysées par Mandiant en 2024 sont la finance (17,4 %), les services professionnels (11,1 %), les nouvelles technologies (10,6 %), le secteur public (9,5 %) et la santé (9,3 %). Ces tendances sont stables par rapport aux années précédentes. Aussi, les entreprises ont été informées d'une compromission par une source externe dans la majorité des cas (57%).

Rapport M-Trends 2025 © Mandiant

Parmi ces cas signalés par des sources externes, 43% proviennent des forces de l'ordre ou de prestataires en cybersécurité et 14% émanent des attaquants, souvent quand ils demandent une rançon. Enfin, le délai médian de détection reste à peu près stable, passant de 10 jours en 2023 à 11 jours en 2024.