En 2025, l’email reste la porte d’entrée la plus rentable pour les attaquants. Un rapport mondial décrit des violations fréquentes, coûteuses et liées au ransomware, avec une réponse freinée par l’humain et l’automatisation.

Selon le Rapport 2025 sur les violations de la sécurité des emails de Barracuda, fondé sur une enquête auprès de 2 000 décideurs IT et sécurité (avril-mai 2025), 78 % des organisations interrogées ont subi une violation liée à l’email sur douze mois . Les attaques les plus citées mêlent phishing et spear phishing (27 % des victimes), compromission de messagerie professionnelle, dite BEC (24 %), et piratage de compte (22 %). L’étude souligne un enchaînement typique, le phishing ouvrant la voie à des compromissions plus profondes, jusqu’au ransomware. Elle chiffre aussi l’impact, de la réputation aux arrêts d’activité, et met en évidence un point dur pour les petites structures, qui supportent un coût par employé nettement plus élevé.

Une chaîne d’attaque structurée autour de l’email

L’enquête, menée dans plusieurs zones (États-Unis, Royaume-Uni, France, DACH, Benelux, Nordiques, Australie, Inde, Japon) auprès d’organisations de 50 à 2 000 employés, décrit un paysage où les menaces s’emboîtent. Le rapport insiste sur un mécanisme de « premier domino » : l’hameçonnage sert souvent de point de départ, puis les identifiants volés alimentent l’usurpation d’identité interne, le piratage de comptes et, dans certains cas, la livraison de charges malveillantes .

Dans les réponses, les victimes citent aussi virus et malwares (29 %), spam (28 %), usurpation de marque (23 %), détournement de conversations (17 %) et menace interne intentionnelle (19 %). Cette diversité est un indicateur utile côté renseignement : la surface d’attaque ne se limite pas au « mail piégé », elle inclut la crédibilité de l’expéditeur, la continuité des fils de discussion et les techniques de spoofing. Le rapport rappelle que les attaquants peuvent falsifier le nom d’affichage, le domaine ou recourir à des domaines sosies pour obtenir un clic, un virement ou un identifiant.

La BEC est décrite comme une menace ciblée et financièrement motivée : l’objectif n’est pas seulement l’intrusion, mais la tromperie opérationnelle, pousser un employé à transférer de l’argent ou à divulguer des informations sensibles. Dans une logique renseignement, cela met l’accent sur la connaissance de l’organisation par l’adversaire, ses procédures de paiement, ses habitudes d’échanges et ses « signaux de confiance » internes.

Des dégâts mesurables, une réputation fragile

Le rapport situe la conséquence la plus fréquente au niveau de la marque : 41 % des répondants citent une atteinte à la réputation, avec, pour une partie d’entre eux, une perte d’opportunités commerciales qui pèse sur la croissance . Les effets opérationnels suivent de près : interruptions d’activité et temps d’arrêt (38 %), baisse de productivité (36 %). La perte de données sensibles est également mentionnée par 36 % des organisations, et les impacts commerciaux se traduisent par une perte de nouvelles affaires (27 %) et de clients (25 %) .

Le rapport note que l’atteinte à la réputation peut dépasser la perception immédiate, en entraînant des conséquences juridiques, contractuelles et stratégiques. Dit autrement, l’email n’est pas qu’un vecteur technique : c’est une zone de confiance. Lorsqu’elle est compromise, la capacité d’une organisation à convaincre, signer et encaisser peut se dégrader, même après remise en état des systèmes.

Pour objectiver l’impact, l’étude donne un coût moyen de réponse et de récupération de 217 068 $ (199 702,56 €), conversion indicative calculée avec l’hypothèse 1 $ = 0,92 € (217 068 × 0,92 = 199 702,56) . Cette moyenne cache un point clé : le choc relatif est plus violent pour les petites structures. La mesure d’atténuation la plus coûteuse atteint en moyenne 145 921 $ (134 247,32 €) pour les organisations de 50 à 100 employés, contre 364 132 $ (335 001,44 €) pour celles de 1 000 à 2 000 employés, toujours avec la même hypothèse de conversion . Le rapport traduit surtout cette asymétrie en coût par employé : 1 946 $ (1 790,32 €) dans les petites organisations, contre 243 $ (223,56 €) dans les plus grandes. Le calcul est direct, 1 946 × 0,92 = 1 790,32 et 243 × 0,92 = 223,56.

Détection, réponse, ransomware : le temps comme facteur de risque

La donnée la plus opérationnelle concerne la vitesse. La moitié des organisations indiquent avoir détecté la violation en moins d’une heure . Pourtant, le rapport relie les retards à un risque accru de ransomware : 71 % des organisations ayant subi une violation email déclarent aussi un ransomware sur la même période . L’explication avancée est une continuité de chaîne : un message de phishing « anodin » sert de tremplin, via identifiants volés ou accès compromis, puis les pièces jointes et liens malveillants facilitent la livraison et l’extension de l’attaque.

L’étude compare les profils. Parmi les victimes de violations email non touchées par un ransomware, 58 % détectent en moins d’une heure et 47 % atténuent la menace dans l’heure suivant la détection. À l’inverse, chez celles touchées aussi par ransomware, 51 % mettent de deux heures à une journée ouvrée pour détecter, et 56 % nécessitent de deux à huit heures après détection pour atténuer . Le rapport résume : 64 % des victimes de ransomware mettent plus de deux heures à corriger une violation email.

Pourquoi ce délai ? Trois familles d’obstacles ressortent. D’abord, la sophistication et l’évasion : 47 % citent les techniques d’évasion avancées comme principal frein à une réponse rapide, et 43 % pointent des emails plus convaincants dans le langage et la mise en forme . Ensuite, l’humain : 46 % observent une forme de complaisance, les employés supposant que les outils les protègent quoi qu’il arrive, et 34 % indiquent que les mails suspects ne sont pas signalés. Enfin, l’outillage : 44 % estiment que l’absence de réponse automatisée retarde détection, confinement et nettoyage des boîtes de réception, tandis que 40 % évoquent le manque de personnel qualifié .

La recommandation implicite côté renseignement est claire : réduire la fenêtre d’exploitation exige des signaux exploitables vite, des procédures d’isolement, et des capacités de suppression post-livraison. Le rapport évoque une approche intégrée, mêlant détection avancée, formation, automatisation, authentification multifacteur et protocoles d’authentification (SPF, DKIM, DMARC), ainsi que l’usage de flux de renseignements sur les menaces pour suivre domaines malveillants et tactiques émergentes .

Le tableau dressé est celui d’une menace email industrialisée, où la compromission initiale conditionne la suite, BEC ou ransomware, et où le facteur temps, plus encore que l’outil, décide souvent de l’ampleur des dégâts. Si 44 % des organisations lient leurs retards au manque d’automatisation, jusqu’où une réponse orchestrée et nourrie par le renseignement sur les menaces peut-elle raccourcir la fenêtre qui sépare l’email reçu de l’attaque réussie ?