Vous trouverez ICI le rapport complet, et ci-dessous un résumé des principaux enseignements ainsi qu’une citation de David Grout, CTO chez Google Cloud Security (Mandiant).

Voici les principaux enseignements de ce rapport :

Les cybercriminels qui agissent par motivation financière restent largement majoritaires. Parmi les groupes de menaces suivis par Mandiant, 55 % des acteurs actifs en 2024 étaient motivés par des objectifs financiers, contre 52 % en 2023 et 48 % en 2022. En comparaison, seuls 8 % étaient motivés par l’espionnage, en légère baisse par rapport aux 10 % enregistrés en 2023.
Le vecteur d’infection initial le plus courant reste l’exploitation de vulnérabilités (33 %) – pour la cinquième année consécutive. Les identifiants volés (16 %) deviennent en 2024 le deuxième vecteur le plus répandu, une première qui souligne leur popularité croissante. Les trois autres vecteurs les plus fréquents sont : le phishing (hameçonnage) par e-mail (14 %), les compromissions de sites web (9 %) et les compromissions antérieures (8 %).
Région EMEA : Dans les investigations de Mandiant menées en 2024 en zone EMEA, les vecteurs initiaux les plus fréquemment identifiés sont les exploits (39 %), suivis du phishing (15 %) et des attaques par force brute (10 %). Le phishing et les attaques par force brute représentent une proportion plus élevée dans la région EMEA par rapport aux enquêtes mondiales.
Les secteurs les plus ciblés étaient la finance (17,4 %), les services professionnels (11,1 %), les nouvelles technologies (10,6 %), le secteur public (9,5 %) et la santé (9,3 %). Ces tendances restent globalement stables par rapport aux années précédentes.
Dans 57 % des cas, les entreprises ont été informées d’une compromission en 2024 par une source externe, contre 43 % où la détection a été faite en interne. Parmi les cas signalés par des sources externes, 43 % émanent d’organismes tels que les forces de l’ordre ou des prestataires en cybersécurité, et 14 % provenaient directement des attaquants, souvent via des demandes de rançon.
Région EMEA : En 2024, les intrusions analysées par Mandiant ont été détectées en interne dans 41 % des cas, tandis que dans 59 % des cas, une organisation externe a informé l’entreprise de la compromission.
Le délai médian de détection est passé à 11 jours en 2024, contre 10 jours en 2023, mais reste en baisse par rapport aux 16 jours observés en 2022.
Région EMEA : En 2024, le délai médian de détection s’élève à 27 jours : 20 jours pour les compromissions détectées en interne, et 32 jours pour celles notifiées par une source externe. Bien que ces chiffres soient en hausse par rapport à 2023 (22 jours au total, 12 jours pour les notifications externes), la tendance à long terme reste à la baisse.

David Grout, CTO, Google Cloud Security (Mandiant) explique :
« L’utilisation par les attaquants de nouveaux vecteurs comme les vulnérabilités sur les périphériques de bordures est une tendance de plus en plus marquée sur cette année 2024 et depuis le début de l’année 2025. »
« La motivation première des attaquants est aujourd’hui le gain financier, on observe un grand nombre d’acteurs voler des données pour demander des rançons, et ce phénomène ne ralentit pas. »
« Le phénomène des attaques internes à travers des recrutements de faux employés issues de la Corée du Nord est inquiétant pour les entreprises françaises et européennes. »

« Publier le rapport M-Trend chaque année est une obligation pour nous afin de mettre à jour les techniques utilisées par les attaquants et accompagner les défenseurs dans leur protection. »