Rapport Zero-day 2025 : évolutions record d’exploitation Le GTIG expose les évolutions des failles zero-day en 2025, ciblant infrastructures critiques et chaînes d’approvisionnement, avec une attribution plus complexe. Le Google Threat Intelligence Group (GTIG) publie son rapport annuel sur les failles zero-day, montrant des évolutions structurelles majeures dans l’exploitation des vulnérabilités en 2025.
Le Google Threat Intelligence Group (GTIG) publie son rapport annuel sur les failles zero-day, montrant des évolutions structurelles majeures dans l’exploitation des vulnérabilités en 2025. Le document met en lumière une intensification des attaques visant les infrastructures d’entreprise, des tendances d’attribution plus complexes et une progression des campagnes autour du cloud, des environnements SaaS et des systèmes industriels.
Ce que révèle le rapport sur les failles zero-day en 2025
Le rapport détaille une évolution structurelle: les acteurs adoptent des chaînes d’attaque plus sophistiquées, combinant exploitation de vulnérabilités non découvertes et vecteurs d’accès multiples. Si l’année précédente montrait des campagnes ponctuelles, 2025 observe une hausse de campagnes coordonnées, ciblant des environnements critiques et des réseaux d’entreprise.
Autre point saillant: les délais entre la découverte publique d’une vulnérabilité et son exploitation active se réduisent, alimentant une dynamique d’attaque en temps réel. Les analystes observent aussi une meilleure préparation des acteurs, avec des outils automatisés et des techniques d’intrusion plus persistantes.
Les cibles et les vecteurs d’exploitation
Les infrastructures d’entreprise restent une cible privilégiée, tout comme les environnements cloud et les systèmes opérationnels (OT). Les exploitations passent par des chaînes d’approvisionnement logicielles, des plug-ins tiers et des applications largement déployées, ce qui accroît l’impact potentiel.
- Cibles : infrastructures d'entreprise, environnements cloud, systèmes OT et applications SaaS largement utilisées.
- Vecteurs : chaînes d’approvisionnement logicielles corrompues, vulnérabilités zero-day publiées mais non corrigées, ou divulgations rapides suivies d’exploits automatisés.
- Modus operandi : campagnes multi-vues combinant spear-phishing, exploitation réseau et montée en privilèges.
Attribution et paysage des acteurs
Le GTIG décrit un paysage partagé entre acteurs étatiques et criminels. Des acteurs nationaux utilisent les zero-days pour des objectifs géopolitiques, tandis que des groupes cybercriminels tirent parti de ces vulnérabilités pour des gains financiers et pour l’accès initial à des réseaux. Le rôle des « initial access brokers » (IAB) se renforce, facilitant la revente d’accès et d’exploits à d’autres malfaiteurs.
- Acteurs étatiques : usage des zéro-days pour des objectifs politiques ou stratégiques.
- Groupes criminels : exploitation commerciale et diffusion d’exploits via des marchés underground.
- Initial access brokers : rassemblent et revendent des vecteurs d’accès et des zéro-days.
Limites et zones d’incertitude
Malgré l’ampleur des observations, le sujet comporte des zones grises. L’attribution demeure délicate lorsqu’un acteur mélange des opérateurs et des outils, et les chiffres publiés dépendent fortement des disclosures officiels et de la transparence des opérateurs privés. Les risques de sous‑déclaration et de biais sectoriel peuvent influencer l’interprétation des tendances.
Pour terminer
En 2025, les failles zero-day restent une menace complexe, alimentée par des chaînes d’approvisionnement logicielles et des environnements hybrides. Pour limiter l’impact, les entreprises doivent renforcer le patch management, surveiller les indicateurs d’exploitation et améliorer la collaboration entre sécurité, opérations et direction. Une question demeure : jusqu’où les équipes peuvent-elles accélérer les réponses sans sacrifier la fiabilité des correctifs ?
