Cybermenaces : Après les Etats-Unis, l'Europe devient la cible privilégiée d'un écosystème criminel mondialisé

Après les Etats-Unis, l'Europe devient la deuxième région la plus visée au monde par les attaques par ransomware et extorsion. Près d'un quart des victimes identifiées sur les sites de fuite de données sont européennes entre janvier 2024 et septembre 2025, d'après le nouveau rapport European Threat Landscape 2025 de CrowdStrike. 

Le Royaume-Uni, le pays le plus touché

Les groupes de ransomware ont ainsi nommé plus 2100 victimes européennes sur plus de 100 sites d'extorsion. Les pays les plus touchés sont le Royaume-Uni, l'Allemagne, la France, l'Italie et l'Espagne, principalement dans les secteurs de la fabrication, des services professionnels, du commerce et de la technologie.

De manière générale, l'entreprise américaine identifie plusieurs facteurs rendant l'Europe attractive, tels que la présence de grandes entreprises valorisées, la réglementation européenne exploitée comme levier d'extorsion ainsi que l'instabilité géopolitique. 

Montée en puissance du vishing

Le rapport note une accélération inquiétante : le groupe "Scattered Spider" a réduit à 24 heures le délai entre l'intrusion et le déploiement du ransomware, contre 35 heures en 2024. Autre constat : l'hameçonnage par téléphone, également appelé vishing, s'impose comme une méthode d'accès majeure pour obtenir des identifiants. Près de 1000 incidents ont été observés en 2024-2025, souvent couplés à des campagnes de faux Captcha afin d'inciter les victimes à exécuter du code malveillant. 

De plus, malgré des arrestations retentissantes, comme celle dans l'affaire BreachForums, les forums criminels russophones et anglophones restent le coeur du commerce souterrain. CrowdStrike recense 260 courtiers d'accès initiaux (Initial access broker, IAB) proposant plus de 1400 accès à des réseaux européens. 

Par ailleurs, l'offre de malware-as-a-service (MaaS) prospère, d'après le rapport. Elle permet à des acteurs sans compétences techniques de louer des outils de vol ou de chiffrement. 

Les conflits géopolitiques redessinent les menaces

CrowdStrike montre également comment les conflits en Ukraine et au Moyen-Orient redessinent la carte des menaces. Parmi les observations, il note une coopération accrue entre la Corée du Nord et la Russie, notamment pour les opérations contre des entités de défense européennes. Egalement, des acteurs iraniens et des hacktivistes pro-palestiniens ou pro-russes ont multiplié les attaques par déni de service (DDoS). 

Sur un autre volet, le rapport souligne la montée d'une violence hybride : 17 attaques physiques liées au vol de cryptomonnaies ont été recensées en 2025, dont 13 en France.