Cybersécurité : bilan des cybermenaces majeures de l’automne 2025 au Canada
L’intelligence artificielle, moteur principal des cyberattaques ciblant les processus démocratiques
À l’automne 2025, on observe une utilisation sans précédent de l’intelligence artificielle générative et prédictive par des acteurs étatiques hostiles comme la République populaire de Chine, la Russie et l’Iran. Ces derniers déploient des campagnes sophistiquées visant à perturber les processus démocratiques canadiens par la désinformation, le cyberespionnage et le harcèlement ciblé.
Hypertrucages et désinformation ciblée
Les campagnes se servent d’hypertrucages profonds audio, vidéo et images (deepfakes) pour discréditer des acteurs politiques, avec une dimension particulièrement inquiétante de harcèlement sexuel envers des femmes politiques et des membres de la communauté 2SLGBTQI+. Cette menace amplifie la vulnérabilité de ces groupes au sein de la sphère publique et politique.
L’exploitation des modèles de langage (LLM)
L’emploi massif de modèles avancés tels que GPT-4 permet de générer en masse des emails de spearphishing hyperciblés, déjouant les protections classiques et augmentant la réussite des attaques contre les personnalités politiques et administratives au Canada.
Manipulation des réseaux sociaux
Des réseaux de zombies pilotés par IA manipulent les algorithmes de recommandation sur des plateformes variées comme X, Facebook et TikTok pour amplifier la désinformation et orienter l’opinion publique, particulièrement en période électorale. Parallèlement, le machine learning analyse des mégadonnées pour créer un profilage psychographique fin des électeurs, ciblant les campagnes d’influence de manière personnalisée et en temps réel, fragilisant ainsi la confiance dans les institutions et le processus électoral.
Explosion des attaques par rançongiciels impactant infrastructures critiques et entreprises
Les rançongiciels dominent plus que jamais le paysage cybercriminel au Canada, avec une hausse record des attaques contre les infrastructures essentielles telles que la santé et l’énergie, ainsi que les entreprises privées. Ces attaques génèrent de lourds impacts financiers et opérationnels.
Complexification du modèle RaaS
Le modèle “Rançongiciel comme service” (RaaS) facilite l’entrée sur le marché de cybercriminels sans compétences techniques, ce qui augmente considérablement la volumétrie et la diversité des attaques sur le territoire canadien. Ce mode opératoire rend les défenses plus complexes à mettre en place en raison de la multiplicité des acteurs et des chaînes d’approvisionnement criminelles.
Tactiques d’extorsion sophistiquées
Outre le chiffrement des données, les cybercriminels utilisent la publication publique de données volées, la menace juridique et la manipulation psychologique pour forcer le paiement des rançons. Ces tactiques avancées s’accompagnent de méthodes d’obscurcissement complexes qui gênent la détection et l’intervention des forces de l’ordre.
Implication d'États-nations
Des groupes liés à des États comme la Chine, la Russie et l’Iran emploient ces mécanismes non seulement pour l’extorsion, mais aussi pour espionner, saboter ou influencer des infrastructures stratégiques et des chaînes d’approvisionnement gouvernementales et industrielles.
Phishing sophistiqué et deep phishing renforcés par l’IA avec un fort risque pour les organisations
Le phishing reste la cyberattaque la plus répandue, mais il s’est transformé grâce à l’intégration de l’intelligence artificielle qui permet de personnaliser les messages en tenant compte du contexte, du poste et des données nominatives. Cette évolution rend les filtres traditionnels inefficaces et augmente le taux de réussite des campagnes malveillantes.
Deep phishing et usurpation en temps réel
Le deep phishing utilise des technologies de deepfake pour usurper en temps réel l’identité vocale ou visuelle lors d’appels ou visioconférences. Cette technique complique fortement la détection des fraudes et augmente les risques financiers et de réputation pour les entreprises et institutions ciblées.
Campagnes de spearphishing ciblées
L’usage de grands modèles linguistiques pour créer des emails hyperciblés entraîne des attaques qui contourner non seulement les protections techniques mais aussi la vigilance humaine, en adaptant parfaitement le contenu aux caractéristiques des victimes potentielles.
Mesures nécessaires
Face à cette progression, il devient indispensable de renforcer la formation des collaborateurs, d’installer des technologies avancées de détection et de prévention, et d’instaurer une gouvernance stricte des accès numériques au sein des organisations.
Exploitation accrue des vulnérabilités zero-day et des failles dans les API amplifiant les risques d’infiltration
Les groupes APT étatiques exploitent très activement des vulnérabilités zero-day dans les applications professionnelles comme les ERP, CRM et outils de gestion des ressources humaines ou comptables. Ces exploits permettent une infiltration furtive des systèmes, une exfiltration massive de données sensibles et provoquent des perturbations critiques.
Failles dans les API et impact du Shadow IT
Les failles dans les API, notamment REST et GraphQL, découlant d’erreurs d’authentification ou d’autorisation comme Broken Object Level Authorization (BOLA) et Insecure Direct Object References (IDOR), causent d’importantes expositions de données confidentielles. En parallèle, l’essor du Shadow IT, avec jusqu’à 80 % des outils cloud hors du contrôle des DSI, élargit considérablement la surface d’attaque, facilité par des erreurs de configuration telles que des buckets S3 publics ouverts.
Stratégies d’atténuation recommandées
Pour limiter ces risques, il convient de cartographier précisément les usages, de sensibiliser les utilisateurs et de déployer des solutions de contrôle adaptées comme les Cloud Access Security Broker (CASB), renforçant ainsi la maîtrise et la sécurisation des environnements numériques.
Coopération et mesures de cybersécurité « by design » renforcent la résilience face aux cybermenaces
Le Centre canadien pour la cybersécurité, intégré au Centre de la sécurité des télécommunications (CST), occupe une position stratégique dans la protection des infrastructures critiques et des processus démocratiques, notamment en concertation étroite avec Élections Canada.
Actions coordonnées et dispositifs proactifs
Les initiatives incluent le déploiement de programmes de détection avancée, l’installation de capteurs cyber, et la conduite de cyberopérations défensives proactives bénéficiant d’autorisations ministérielles spécifiques. Parallèlement, des campagnes de sensibilisation publiques comme “Pensez cybersécurité”, accompagnées de guides pratiques, outillent la population et les acteurs politiques face à l’ingérence étrangère et la désinformation numérique.
Intégration de la cybersécurité dès la conception
L’intégration de pratiques « by design » dans les systèmes électoraux ainsi que dans les infrastructures critiques vise à réduire les vecteurs d’attaque en construisant des architectures résilientes face aux intrusions et manipulations par IA.
Coopération intersectorielle et internationale
Enfin, la coopération entre secteurs et à l’échelle internationale est capitale pour suivre l’évolution rapide des cybermenaces. Cette synergie permet de mutualiser connaissances, outils et méthodologies afin d’assurer la continuité des opérations essentielles et préserver la confiance démocratique dans un contexte géopolitique particulièrement tendu(1)(2).
Sources
- Centre canadien pour la cybersécurité — cyber.gc.ca — https://www.cyber.gc.ca/fr/orientation/cybermenaces-contre-processus-democratique-canada-mise-jour-2025
- Centre canadien pour la cybersécurité — cyber.gc.ca — https://www.cyber.gc.ca/fr/orientation/evaluation-cybermenaces-nationales-2025-2026
- Oodrive — oodrive.com — https://www.oodrive.com/fr/blog/securite/cybersecurite/top-10-des-cyberattaques-2025
