Le Centre pour la Cybersécurité Belgique (CCB) a présenté lors de son webinaire sur le rapport trimestriel sur les cybermenaces (QCTR) du quatrième trimestre 2025 les principales évolutions observées en matière de cybermenaces au cours du dernier trimestre 2025 et a donné un aperçu de ce à quoi les organisations peuvent s'attendre en 2026. Organisée sous le thème « Ce que le quatrième trimestre révèle sur 2026 », la session a réuni des experts des secteurs public et privé afin d'analyser les tendances qui façonnent le paysage des cybermenaces en Belgique.
Miguel De Bruycker, directeur général du CCB, a présenté en ouverture du webinaire les chiffres clés de l’année. Le CCB a reçu en 2025 635 notifications d’incidents, soit une augmentation de 70 % par rapport à 2024. Au cours du seul quatrième trimestre, 170 notifications ont été soumises, dont 149 concernaient des cyberincidents.
Cette augmentation reflète plusieurs facteurs. Si de nouveaux cadres réglementaires tels que NIS2 et DORA ont élargi les obligations de notification, cette hausse témoigne également d’une interconnexion numérique accrue, d’une amélioration des capacités de détection et d’une sensibilisation croissante des organisations. Il est à noter que près de la moitié des notifications provenaient d’entités qui ne sont pas officiellement soumises à la directive NIS2, ce qui souligne le renforcement des pratiques de notification volontaire.
L’administration publique est restée le secteur le plus ciblé, suivi par les transports, l’énergie et la santé, conformément aux tendances européennes plus générales qui se concentrent sur les services critiques.
Continuité des menaces principales
Le paysage des cybermenaces en Belgique a été marqué en 2025 moins par des perturbations que par une certaine continuité. Les risques dominants au quatrième trimestre, et tout au long de l’année, ont été les perturbations opérationnelles et le vol de données.
Les types d’incidents les plus fréquemment signalés étaient les suivants :
- Le piratage de comptes, la catégorie la plus importante
- Les ransomwares
- Le phishing, avec le DDoS et le spear phishing comme principaux contributeurs
Le piratage de comptes a considérablement augmenté après l’entrée en vigueur de la directive NIS2. Souvent rendu possible par le phishing et l’ingénierie sociale, il est de plus en plus soutenu par des leurres améliorés par l’IA qui renforcent sa crédibilité et son ampleur. Il est important de noter que le piratage de comptes sert souvent de point d’entrée à des incidents plus graves, notamment les ransomwares et l’exfiltration de données.
Les ransomwares sont restés une menace persistante et intersectorielle. Des groupes criminels établis et émergents ont ciblé des organisations belges. Les méthodes d’extorsion ont évolué, certains acteurs adoptant des modèles de « quadruple extorsion » pour intensifier la pression. La combinaison des ransomwares en tant que service (RaaS) et des outils d’IA accessibles continue de réduire les barrières techniques pour les attaquants.
Contrairement aux ransomwares, les attaques DDoS ont suivi des cycles géopolitiques. Cinq campagnes majeures ont été observées en 2025, dont deux au quatrième trimestre. Ces campagnes, souvent attribuées à des groupes de hacktivistes pro-russes, ont généralement été de courte durée, mais ont reflété l’influence continue des tensions géopolitiques dans le cyberespace.
Des techniques familières, une sophistication croissante
Les acteurs malveillants se sont largement appuyés tout au long de l’année 2025 sur des méthodes d’attaque éprouvées. Il s’agissait notamment de l’exploitation de vulnérabilités connues, en particulier dans les périphériques et les plateformes largement utilisées telles que SharePoint, ainsi que des chevaux de Troie d’accès à distance (RAT), des voleurs d’informations et des identifiants compromis.
La Belgique a également été confrontée à des attaques visant la chaîne d’approvisionnement, à des campagnes de malvertising et à la distribution de faux logiciels, notamment une campagne frauduleuse d’éditeurs PDF touchant à la fois les particuliers et les organisations. La fraude au président via des plateformes de messagerie telles que WhatsApp a gagné en popularité.
Les activités parrainées par des États observées au quatrième trimestre étaient principalement liées à des acteurs associés à la Chine, à la Russie et à la Corée du Nord. Ces groupes se sont concentrés sur l’accès à long terme, la collecte de renseignements et l’exploitation de vulnérabilités connues. L’IA et les grands modèles linguistiques (LLM) accélèrent de plus en plus les activités de reconnaissance et d’ingénierie sociale.
Perspectives pour 2026
Selon l’évaluation du CCB, 2026 ne devrait pas apporter de catégories de menaces fondamentalement nouvelles. Les acteurs motivés par l’appât du gain, les hacktivistes et les groupes soutenus par des États resteront actifs. Le piratage de comptes, les ransomwares, le phishing et les attaques DDoS devraient continuer à dominer les rapports d’incidents.
Ce qui évoluera, c’est l’ampleur et la rapidité des opérations. L’IA et les LLM devraient devenir des outils standard pour les attaquants, automatisant le développement de logiciels malveillants et améliorant les campagnes d’ingénierie sociale. Combinée aux modèles criminels « as-a-service », cette tendance réduira encore les barrières à l’entrée et augmentera le rythme des opérations.
Pour la Belgique, la priorité reste claire : renforcer la résilience grâce à des fondamentaux solides : gestion efficace des correctifs, sécurité renforcée des identifiants, résistance au phishing et préparation aux ransomwares, tout en adaptant les stratégies défensives à un environnement de menaces accéléré par l’IA.