Le paysage des cybermenaces en Belgique a été marqué, en 2025, par une double tendance : une forte hausse des activités hostiles et une augmentation significative du nombre de signalements d’incidents.
Le Centre pour la Cybersécurité Belgique (CCB) a enregistré 635 notifications d’incidents, soit une hausse de près de 70 % par rapport à 2024, dont 556 liées à la cybersécurité (+58 % sur un an). Le renforcement des obligations de signalement dans le cadre des directives NIS2 et DORA, ainsi que l’amélioration des capacités de détection, expliquent en partie cette évolution mais ces chiffres témoignent aussi d’une pression soutenue et croissante sur les organisations de tous les secteurs.
Les chiffres clés en bref
- 635 incidents signalés au total (+70 %)
- 556 incidents liés à la cybersécurité (+58 %)
- 144 cas de compromission de comptes (menace principale)
- 105 incidents de ransomware (stables mais plus impactants)
- Environ 10 millions d’e-mails de phishing signalés via Safeonweb
Compromission de comptes et hameçonnage : toujours le principal point d’entrée
Les incidents les plus fréquemment signalés ont été les compromissions de comptes (144 cas) principalement dues au vol et à l’utilisation abusive d’identifiants.
Le phishing demeure un vecteur central de la cybercriminalité, et son ampleur est saisissante : la plateforme « BePhish » de Safeonweb a traité près de 10 millions d’e-mails suspects en 2025, illustrant l’industrialisation des campagnes d’hameçonnage.
Les attaquants font évoluer leurs techniques en permanence :
- Ils combinent e-mails et plateformes de messagerie pour accroître la pression sur leurs cibles.
- Ils recourent à des scénarios de fraude au PDG pour déclencher des paiements urgents.
- Ils déploient des tactiques de type « hands-on-keyboard », comme ClickFix et FileFix, incitant les utilisateurs à exécuter eux-mêmes des commandes malveillantes.
Malgré l’attention médiatique considérable accordée au phishing, ces conclusions confirment que les attaques ciblant les personnes restent l’un des points d’entrée les plus efficaces et les plus évolutifs.
Ransomware : moins de cas, un impact plus important
Si le nombre d’incidents liés aux rançongiciels est resté relativement stable (105 en 2025 contre 109 en 2024) leur impact s’est nettement intensifié.
Les attaquants combinent de plus en plus plusieurs stratégies de pression :
- le chiffrement des données
- l’exfiltration de données
- des tactiques d’extorsion de plus en plus agressives
Après le démantèlement de LockBit, l’écosystème s’est fragmenté, avec des groupes comme Qilin, Akira et Clop qui figurent parmi les plus actifs à cibler les organisations belges.
Attaques DDoS : fréquentes, visibles, mais efficacement atténuées
La Belgique figurait en 2025 parmi les pays européens les plus fréquemment visés par des groupes de hacktivistes pro-russes, principalement via des attaques par déni de service distribué (DDoS).
À noter :
- Le groupe NoName057(16) a lancé cinq campagnes coordonnées en 2025.
- Les attaques étaient souvent synchronisées avec des événements géopolitiques.
- Les listes de cibles étaient parfois rendues publiques à l’avance.
Malgré leur fréquence, l’impact concret de ces attaques est resté limité.
Ce résultat est en grande partie attribuable à la procédure de coordination « Red Button » du CCB, qui permet :
- une coordination rapide et en temps réel des interventions
- une collaboration étroite entre les victimes, les FAI, les hébergeurs et les autorités
- une atténuation efficace des perturbations de service
Cela démontre que la préparation et la coordination permettent de réduire considérablement l’impact visible des cyberopérations à grande échelle, même lorsque le volume des attaques augmente.
Des attaques plus rapides, moins de temps pour réagir
Un changement majeur en 2025 a concerné la vitesse d’exécution : le délai moyen entre la divulgation d’une vulnérabilité et son exploitation active est tombé à cinq jours, tandis que près d’un tiers des vulnérabilités ont été exploitées dans les 24 heures.
Cela laisse peu de place aux cycles de correctifs traditionnels basés sur le calendrier et renforce la nécessité d’une hiérarchisation rapide, axée sur les risques.
Risques systémiques : chaîne d’approvisionnement et vol d’identifiants
Le rapport met également en lumière des faiblesses structurelles plus générales : en compromettant un fournisseur ou un composant logiciel largement utilisé, les attaquants peuvent provoquer un effet en cascade sur plusieurs organisations simultanément.
Les tendances en matière de logiciels malveillants montrent par ailleurs que le vol d’identifiants occupe une place de plus en plus centrale : les outils d’accès à distance et les infostealers constituent souvent la première étape d’intrusions plus importantes.
Réponse du CCB : renforcer la défense et la sensibilisation
Le CCB a combiné réponse aux incidents et défense proactive :
- 103 opérations d’intervention d’urgence, dont un soutien en matière cyber-investigation forensique
- 32 005 « alertes ciblées » (+42 %)
- Renforcement de la protection contre les attaques DDoS via la procédure « Red Button »
- Signalement de tentatives de phishing via Safeonweb : 10 millions d’e-mails suspects traités en 2025
- Programme « Connect & Share » : 15 sessions réunissant plus de 13 000 participants
Perspectives
Le CCB anticipe la persistance des mêmes catégories de menaces principales (compromission de comptes, rançongiciels et DDoS), les attaquants s’appuyant sur une automatisation croissante et l’intelligence artificielle pour étendre leurs opérations.
Les recommandations fondamentales restent d’ordre pratique : renforcer les contrôles de sécurité des identités, déployer des correctifs rapides basés sur les risques, améliorer la résilience face aux attaques DDoS, gérer les risques liés aux fournisseurs tiers et maintenir un investissement soutenu dans la sensibilisation des utilisateurs et la préparation à la réponse aux incidents.