Cybersécurité 2025 : un e-mail sur quatre est malveillant selon Barracuda Networks
Un e-mail sur quatre est désormais malveillant. Ce chiffre alarmant provient du 2025 Email Threats Report de Barracuda Networks, entreprise spécialisée en cybersécurité. Phishing sophistiqué, QR codes frauduleux, pièces jointes piégées, IA générative au service des cybercriminels : les menaces se multiplient et se perfectionnent. Décryptage d'un rapport qui devrait alerter toutes les entreprises — et tous les particuliers.
Le rapport Barracuda Networks 2025
Chaque année, Barracuda Networks analyse des centaines de millions d'e-mails pour établir un état des lieux de la menace cyber. Le rapport 2025 Email Threats Report dresse un constat particulièrement alarmant : les cyberattaques se multiplient à une vitesse inquiétante, et ce ne sont plus seulement les entreprises qui sont visées.
L'essor de l'intelligence artificielle a considérablement facilité la création de contenus malveillants, rendant les campagnes d'attaque plus crédibles, plus ciblées, et plus accessibles aux cybercriminels. Un phénomène qui s'inscrit dans la montée en puissance de l'IA dans tous les secteurs. Les particuliers sont désormais eux aussi exposés à des tentatives de fraude de plus en plus élaborées.
Chiffre clé : 23% des e-mails analysés sont malveillants — soit près d'un message sur quatre. Ce pourcentage inclut le spam, le phishing, les malwares et toutes les formes de courriers frauduleux circulant sur le réseau mondial.
Les organisations touchées
Le rapport révèle également que 78% des organisations ont subi au moins une violation de sécurité des e-mails au cours de l'année 2024. Seule la moitié d'entre elles a détecté la violation en moins d'une heure. Un chiffre qui révèle l'ampleur du problème — et le manque de préparation de nombreuses structures.
Violations détectées
Piratage de compte
Les principales menaces identifiées
L'analyse de Barracuda Networks met en évidence la persistance des pièces jointes malveillantes, un vecteur d'attaque pourtant ancien mais toujours redoutablement efficace. Certaines méthodes, vieilles de plus de 10 ans, restent actives en raison de pratiques par défaut non corrigées dans les logiciels de messagerie.
Les types de fichiers les plus dangereux
| Type de fichier | % Malveillant | Usage frauduleux |
|---|---|---|
| 📄 HTML | 23% | Exécution de code malveillant |
| Très élevé | Phishing, demandes de rançon crypto | |
| 📊 Word / Excel | Élevé | Macros malicieuses |
| 🎨 SVG | En hausse | Scripts intégrés, charge utile cachée |
| 📦 ZIP | Élevé | Dissimulation de malwares |
Alerte HTML : 23% des pièces jointes HTML sont malveillantes, ce qui en fait le type de fichier texte le plus utilisé à des fins frauduleuses. Le formatage automatique des e-mails en HTML par certains clients de messagerie favorise ces attaques.
Les QR codes : nouvelle arme des cybercriminels
Popularisés pendant la crise sanitaire, les QR codes sont aujourd'hui massivement détournés par les cybercriminels. Intégrés dans des e-mails malveillants, ils redirigent les utilisateurs vers des sites frauduleux, pages de phishing ou fausses interfaces de paiement. Une menace qui rappelle les risques liés aux nouvelles technologies.
QR codes intégrés
QR codes intégrés
PDF frauduleux
Les nouvelles techniques d'attaque
L'intelligence artificielle a bouleversé le paysage de la cybercriminalité. Les acteurs malveillants utilisent désormais l'IA non seulement pour automatiser les attaques, mais également pour concevoir des tentatives de phishing hautement sophistiquées et personnalisées — une évolution qui n'est pas sans rappeler les préoccupations sur l'IA et la vie privée.
Vitesse d'exécution d'une attaque phishing
⚡ Anatomie d'une attaque réussie
Moins de 60 secondes : C'est le temps médian nécessaire pour qu'un employé tombe dans le piège d'un e-mail de phishing — 21 secondes pour cliquer sur le lien, puis 28 secondes pour saisir ses données. Une fois les identifiants volés, les pirates passent immédiatement à l'étape suivante.
Les kits Phishing-as-a-Service (PhaaS)
Le rapport met en lumière l'essor des plateformes de Phishing-as-a-Service qui permettent à des cybercriminels peu qualifiés de lancer des attaques sophistiquées. Ces kits clé-en-main incluent des pages de phishing professionnelles, des systèmes de contournement MFA et des capacités d'interaction en temps réel avec les victimes.
Kit PhaaS actif depuis 2022
Kit PhaaS avancé
Kit PhaaS sophistiqué
L'IA au service des attaquants
Les acteurs malveillants utilisent des outils d'IA pour créer et déployer des attaques depuis 2018 au moins. Mais les GPT personnalisés et l'IA générative ont changé la donne en 2023. Ces technologies permettent de produire des e-mails de phishing grammaticalement parfaits, remplis d'informations personnelles, ainsi que des logiciels malveillants hautement adaptatifs capables de contourner les systèmes de détection.
Les cybermenaces pilotées par l'IA seront conçues pour être indétectables, y compris des manœuvres échappatoires plus avancées qui contournent la détection et la réponse aux terminaux (EDR) ainsi que les défenses classiques.
Prédictions cybermenaces 2025
Le coût d'une violation de sécurité
Au-delà des risques techniques, les violations de sécurité des e-mails représentent un coût financier considérable pour les organisations. Le rapport 2025 sur les violations de la sécurité de la messagerie, basé sur une enquête internationale auprès de 2 000 décideurs IT, révèle l'ampleur des dégâts.
💸 Coût moyen d'une violation e-mail en 2025
217 068 $Les PME plus impactées : Les petites entreprises de 50 à 100 employés engagent des coûts moyens de 1 946 $ par personne lors d'une violation, contre seulement 243 $ par employé pour les grandes organisations. Une disproportion qui s'explique par le manque de ressources dédiées à la cybersécurité.
Les obstacles à une réponse rapide
Une réponse rapide aux incidents permet de contenir et limiter les dégâts. Mais plusieurs obstacles freinent les organisations : la complexité des menaces par e-mail, la pénurie de compétences en cybersécurité, et l'absence de réponse automatisée aux incidents.
Comment se protéger
Face à cette explosion des menaces, Barracuda Networks préconise une approche multicouche de la sécurité des e-mails, combinant technologies de détection basées sur l'IA et bonnes pratiques organisationnelles. Un enjeu qui concerne aussi les applications de messagerie instantanée.
🛡️ Recommandations Barracuda Networks
Le cas critique du DMARC
Le rapport souligne une faille majeure : 47% des domaines professionnels étudiés n'utilisent pas encore de DMARC (Domain-based Message Authentication, Reporting and Conformance). Ce protocole permet pourtant d'éviter efficacement les usurpations de domaines sur le web — et donc de protéger à la fois l'entreprise et ses clients contre les e-mails frauduleux envoyés en son nom.
Bonne nouvelle : L'IA multimodale améliore significativement la détection des fichiers et URL malveillants en analysant simultanément le texte, les images, le comportement et les métadonnées. Ces technologies permettent de repérer des menaces "zero-day" jamais identifiées auparavant.
❓ Questions fréquentes
Quel pourcentage d'e-mails est malveillant en 2025 ?
Selon le rapport 2025 Email Threats Report de Barracuda Networks, 23% des e-mails sont aujourd'hui malveillants, soit près d'un e-mail sur quatre. Cette statistique inclut les tentatives de phishing, les pièces jointes piégées, les QR codes frauduleux et les escroqueries diverses.
Quels types de pièces jointes sont les plus dangereux ?
Les pièces jointes HTML sont les plus dangereuses avec 23% d'entre elles qui sont malveillantes. Les fichiers PDF sont également très utilisés pour le phishing et les demandes de rançon. 68% des PDF malveillants et 83% des documents Microsoft malveillants contiennent des QR codes frauduleux redirigeant vers des sites de phishing.
Comment se protéger des e-mails malveillants ?
Barracuda Networks recommande de désactiver l'affichage automatique du HTML dans les clients de messagerie, de vérifier manuellement toute pièce jointe (surtout les PDF), d'activer le protocole DMARC avec SPF et DKIM, et de former régulièrement les collaborateurs aux dangers du phishing et des ransomwares.
Combien coûte une violation de sécurité par e-mail ?
Le coût moyen d'une violation de sécurité par e-mail en 2025 est de 217 068 dollars. Les PME de 50 à 100 employés sont les plus impactées avec un coût de 1 946 dollars par personne, contre 243 dollars par employé pour les grandes entreprises de 1000 à 2000 employés.
La vigilance comme première défense
Les conclusions du rapport Barracuda Networks 2025 appellent à une mobilisation immédiate. Les e-mails malveillants représentent désormais un quart du trafic mondial. Ignorer cette menace, c'est exposer ses données, ses comptes et son identité numérique à des risques majeurs.
La cybersécurité par e-mail ne relève plus de l'optionnel, mais du nécessaire. Et si les technologies de détection basées sur l'IA progressent, la première ligne de défense reste humaine : formation, vigilance et bonnes pratiques constituent le socle d'une protection efficace.
Pour les entreprises comme pour les particuliers, le message est clair : chaque e-mail mérite une attention particulière. Car derrière un message anodin peut se cacher une attaque qui ne prend que 60 secondes pour réussir.
Sources et références
- Barracuda Networks – 2025 Email Threats Report
- Barracuda Networks – Rapport violations sécurité messagerie 2025
- Barracuda Networks – Prédictions cybermenaces 2025
Besoin d'un site web sécurisé ?
WY-Créations intègre les meilleures pratiques de sécurité dès la conception de votre site.
Demander un devis gratuit