2025 : une année rouge pour les fuites de données en France… Et une prise de conscience collective ?

En 2024, le bilan des cyberattaques pour les entreprises françaises est sans précédent. Quelles sont les premières tendances de 2025 ?

D’après Statista, le coût annuel des cyberattaques en France a explosé en 2024 : évalué désormais à plus de 100 milliards d'euros. L’une des attaques qui a le plus affecté les entreprises, et indirectement les consommateurs, est celle du credential stuffing. À titre d'exemple, DataDome en 2024 a détecté une attaque de credential stuffing consistant en 5,7 millions de requêtes sur deux jours, provenant de 250 000 adresses IP réparties dans 8 000 réseaux et 215 pays. Sans protection avancée, des milliers de comptes auraient pu être compromis. Dès lors, l’année 2025 s’annonce-t-elle encore plus préoccupante en matière de cyberattaques, ou les entreprises et consommateurs, mieux avertis, vont-ils redoubler d’attention pour renforcer leur protection en ligne ?

Le credential stuffing : une méthode bien rodée des cyber attaquants…

Free, SFR, Picard, ou encore Kiabi et Showroomprivé, qui ont récemment été touchées, font partie des nombreuses enseignes françaises ayant subi des cyberattaques qui visent les comptes en ligne de leurs clients. Ces marques ont majoritairement été victimes d'attaques de credential stuffing à grande échelle, une méthode où les cybercriminels tentent d'accéder aux comptes des clients en exploitant des données compromises. Ce type d’attaque repose sur une faille humaine majeure : la réutilisation des mots de passe par les utilisateurs. Les conséquences pour les entreprises et les utilisateurs peuvent être considérables, tant sur le plan économique que pour la réputation de la marque. En effet, les données volées les plus sensibles, telles que des informations d’identité ou bancaires, peuvent faciliter des tentatives de phishing ou permettre aux cybercriminels de profiler les utilisateurs en vue de futures attaques.

Les internautes qui sont globalement éduqués sur l'importance de ne pas révéler leur mot de passe par exemple, ou reconnaître les tentatives de phishing basiques. Ce qui pousse donc les fraudeurs à redoubler de stratagèmes. Néanmoins, les pirates trouvent la faille et utilisent des informations partielles pour lancer des campagnes de phishing, visant à obtenir les identifiants manquants. Une fois ces identifiants en main, ils lancent des attaques de credential stuffing en testant automatiquement des combinaisons de mots de passe sur des sites où les utilisateurs pourraient avoir réutilisé leurs identifiants. Face à l’urgence proclamée par l’augmentation incessante des cyber incidents, les entreprises doivent accentuer leurs efforts pour élaborer des stratégies de protection renforcées. Qu’en sera-t-il en 2025 ? 

Entreprises et particuliers : sont-ils mieux armés face au credential stuffing en 2025 ?

En 2025, les entreprises et les consommateurs, mieux avertis, doivent redoubler de prudence pour faire face aux risques cybers. Pour les entreprises, cela se traduit par la mise en place de systèmes rigoureux de sauvegardes régulières, la formation continue des équipes IT aux meilleures pratiques de défense et le recrutement d’experts capables de rester à la pointe des innovations technologiques en matière de cybersécurité.

Il existe plusieurs méthodes efficaces pour se prémunir contre ce type d’attaque, telles que : mettre en place l’authentification multifactorielle (MFA), limiter le débit dans une période de temps données, les CAPTCHA et des tests de réponse aux challenges, mettre en place des listes de blocage de mots de passe et surveiller les identifiants compromis, et enfin, l’analyse comportementale grâce à l’intelligence artificielle. Lorsqu’elles sont combinées, ces cinq méthodes de prévention forment une barrière efficace pour les entreprises dans la lutte contre le credential stuffing et la compromission d’identifiants.

Cette année plus que jamais, l’accompagnement des entreprises, des collectivités, des hôpitaux ou encore des consommateurs est primordial pour prévenir les cyberattaques. La formation, les campagnes de sensibilisation, ou encore la souscription à des solutions proposant des services de sécurité avancés, sont essentielles pour lutter contre l’expansion de la fraude en ligne, et ce, à grande échelle.