Rapport sur les cyberattaques en entreprise 2025 — Une perspective suisse romande

0. Contexte général 2025 : pourquoi on en parle autant ?

En 2025, la cybersécurité en entreprise n’est plus un sujet “technique” réservé à l’IT. C’est devenu :

• Un risque business majeur (pertes financières, arrêt de production, atteinte à la réputation).
• Un sujet réglementaire (protection des données, conformité, assurance cyber).
• Un enjeu humain (erreurs des employés, stress après incident, chantage individuel).

Les entreprises – surtout les PME – sont de plus en plus connectées (cloud, télétravail, outils SaaS, IA générative). Chaque nouveau service numérique ouvre une porte supplémentaire… potentiellement exploitable par des attaquants.

1. Les grandes tendances des cyberattaques en 2025

1.1. Les ransomwares restent la star… mais changent de méthode

Les ransomwares (logiciels qui chiffrent vos données et exigent une rançon) restent l’une des menaces principales pour les entreprises. En 2025, on observe plusieurs évolutions :

• Double, triple voire quadruple extorsion :
• Chiffrement des données.
• Vol des données et menace de les publier.
• Pression sur vos clients ou partenaires (appel, e‑mail, fuite ciblée).
• Menaces de dénonciation aux autorités en cas de non-conformité (ex : RGPD).

• Ciblage spécifique des PME :
• Moins protégées que les grands groupes.
• Mais suffisamment critiques pour payer rapidement pour relancer l’activité.

• Attaques “sans fichier” (fileless) :
• Les attaquants utilisent des outils déjà présents (scripts, PowerShell, macros, accès VPN) pour être plus discrets.

Message clé pour un dirigeant : payer ne garantit ni la récupération complète, ni la non-divulgation des données.

1.2. Phishing 2.0 : e‑mails, SMS, appels et… IA générative

L’hameçonnage (phishing) reste la porte d’entrée numéro 1. En 2025, il est :

• Plus crédible : textes sans faute, ton professionnel, logos parfaits.
• Multicanal :
• E‑mails (faux messages Microsoft, Google, banques, outils RH, plateformes de livraison).
• SMS (livraison bloquée, impôts, amendes, santé).
• Appels téléphoniques (vishing) avec usurpation du numéro de l’entreprise.

• Amplifié par l’IA :
• Messages générés dans la langue de la cible.
• Faux messages qui réutilisent de vraies données publiques (LinkedIn, site web, communiqués, etc.).

Conséquence pour l’entreprise : l’employé moyen ne peut plus distinguer “à l’œil” un bon mail d’un mauvais. La sensibilisation seule ne suffit plus : il faut des filtres techniques, des procédures, et une culture où signaler un doute est valorisé.

1.3. Attaques via la chaîne d’approvisionnement (fournisseurs, prestataires, SaaS)

Les entreprises dépendent désormais d’une multitude de partenaires :

• Fournisseurs de logiciels (ERP, CRM, outils cloud).
• Intégrateurs, sociétés de maintenance, infogérants.
• Prestataires avec accès VPN ou à distance.

En 2025, les attaquants ciblent de plus en plus ces maillons externes pour remonter vers de nombreuses entreprises clientes :

• Compromettre un fournisseur IT permet parfois d’accéder à des dizaines de PME à la fois.
• Une mise à jour logicielle compromise peut servir à diffuser un malware à grande échelle.

Traduction business : la sécurité ne se limite plus à vos murs – elle inclut vos partenaires.

1.4. Fuites de données et espionnage économique

En parallèle des blocages type ransomware, on voit :

• Vol ciblé de données sensibles :
• Dossiers R&D, plans techniques, formules propriétaires.
• Données RH, salaires, données médicales pour le chantage.

• Espionnage concurrentiel :
• Piratage de boîtes mail de direction, d’équipes commerciales ou achats.
• Récupération de devis, stratégies, prix.

• Atteinte à la réputation :
• Publication de données volées sur des sites publics ou forums.
• Campagnes de dénigrement appuyées par de faux comptes.

Les dégâts sont alors souvent invisibles au départ, mais lourds sur le long terme (perte de confiance, perte de marché).

2. Les impacts concrets pour une entreprise en 2025

Même sans chiffres précis, l’impact typique d’une cyberattaque sur une PME ou une ETI se retrouve sur 4 axes.

2.1. Financier

• Interruption d’activité (production, ventes, facturation) pendant plusieurs jours.
• Coûts de remise en état : experts, outils, infrastructure à reconstruire.
• Potentielles amendes réglementaires (données personnelles, santé, finance, etc.).
• Hausse du coût ou refus de l’assurance cyber.

2.2. Opérationnel

• Impossibilité de produire, livrer, facturer, accéder aux plans ou dossiers.
• Retour au papier/crayon ou Excel local “en urgence”.
• Perte de données historiques (mails, documents, fichiers partagés).

2.3. Réputationnel

• Perte de confiance des clients et partenaires.
• Perturbation des relations bancaires et assurances.
• Exposition médiatique si l’attaque est publique ou massive.

2.4. Humain

• Stress important pour les équipes, sentiment de culpabilité possible.
• Conflits internes (direction vs IT, direction vs prestataires).
• Démotivation si l’organisation traite l’incident uniquement sous l’angle “recherche du coupable” plutôt que “amélioration globale”.

3. Les vecteurs d’attaque les plus fréquents

Pour vulgariser, on peut les classer ainsi :

1. L’e‑mail

• Pièce jointe infectée.
• Lien vers un faux site pour voler les identifiants.

1. Les accès distants

• VPN mal configuré ou non mis à jour.
• Outils d’accès à distance exposés sur Internet.

1. Les mots de passe faibles ou réutilisés

• Un mot de passe volé sur un site perso réutilisé pour l’accès pro.
• Absence de double authentification.

1. Les logiciels non mis à jour

• Systèmes non patchés.
• Applications anciennes mais encore utilisées car “ça marche comme ça”.

1. Les prestataires et partenaires

• Compte d’un sous-traitant compromis.
• Accès partagé à trop large périmètre.

4. Comment une entreprise peut se protéger en 2025

4.1. Gouvernance : que la direction prenne le sujet en main

• Nommer un responsable sécurité (interne ou externe, même à temps partiel).
• Intégrer la cybersécurité dans le plan stratégique et le budget.
• Définir des priorités claires :
• Protéger les systèmes qui, s’ils tombent, arrêtent l’entreprise.
• Protéger les données qui, si elles fuitent, causent le plus de dégâts.

4.2. Hygiène numérique de base (“les ceintures et bretelles”)

• Mises à jour régulières des systèmes, serveurs, postes, smartphones.
• Antivirus / EDR modernes, bien configurés, avec supervision.
• Sauvegardes automatiques, testées :
• Stockées hors ligne ou sur un espace isolé.
• Test de restauration au moins 1–2 fois par an.

• Gestion des accès :
• Comptes nominaux, pas de comptes partagés “admin/admin”.
• Double authentification pour les accès sensibles (VPN, e‑mail, outils financiers).

4.3. Sensibilisation continue des collaborateurs

• Former les équipes avec des exemples concrets (vrais faux mails, scénarios réalistes).
• Expliquer :
• Qu’un clic peut suffire à déclencher un incident.
• Qu’il vaut mieux signaler un doute que de “laisser passer”.

• Mettre en place :
• Une adresse interne de signalement (ex : `phishing@entreprise.ch`).
• Une culture de non-blâme en cas d’erreur sincère.

4.4. Anticiper l’incident : avoir un plan de réponse

Un plan simple, même sur quelques pages, fait déjà la différence :

• Qui appelle-t-on en premier (interne / externe) ?
• Qui communique avec :
• Les employés ?
• Les clients ?
• Les autorités / régulateurs ?
• Quels systèmes couper en urgence ?
• Comment travailler “en mode dégradé” (papier, autre système, priorisation des activités) ?

Le jour où cela arrive, ce n’est pas le moment d’improviser.

5. Spécificités 2025 : cloud, IA, télétravail

5.1. Cloud & SaaS

Le cloud n’est pas “automatiquement sécurisé”. En 2025 :

• Beaucoup de fuites viennent de mauvaises configurations (dossiers publics par erreur, partage trop large).
• Les accès aux applications SaaS doivent être protégés par :
• Authentification forte.
• Révision régulière des comptes (départ de collaborateurs, prestataires).

5.2. Télétravail & mobilité

• Postes personnels utilisés pour accéder aux données d’entreprise.
• Connexions depuis des réseaux Wi‑Fi peu sûrs.
• Mélange usages pro / perso sur les mêmes appareils.

Une politique simple à définir :

• Quels appareils sont autorisés ?
• Quelle solution de protection est obligatoire (antivirus, chiffrement, VPN) ?
• Quelles données ne doivent jamais sortir de l’environnement de l’entreprise ?

5.3. IA générative et données sensibles

En 2025, de nombreuses équipes utilisent l’IA (chatbots, assistants, générateurs de texte ou de code). Risque typique :

• Copier-coller du code source, de contrats ou de données clients dans des outils externes non maîtrisés.

L’entreprise doit :

• Fixer des règles claires sur ce qui peut / ne peut pas être partagé.
• Sensibiliser sur le fait que ces données peuvent être stockées ou réutilisées.

6. Recommandations clés pour une entreprise en 2025

En résumé, pour une PME / ETI :

1. Accepter que le risque est réel

• Se dire “nous sommes trop petits pour intéresser les hackers” est faux.

1. Commencer par l’essentiel

• Sauvegardes, mises à jour, antivirus modernes, authentification forte.

1. Impliquer la direction

• La cybersécurité doit être un sujet de gouvernance, pas uniquement de technique.

1. Travailler avec des experts

• Audits réguliers.
• Accompagnement pour la mise en place de politiques, procédures, plans de réponse.

1. Mettre l’humain au centre

• Sensibilisation, communication, soutien en cas d’incident.

En résumé

• En 2025, les cyberattaques sont plus ciblées, plus discrètes et amplifiées par l’IA.
• Les PME sont autant – voire plus – exposées que les grands groupes.
• La réponse doit être globale : technique, organisationnelle et humaine.