En 2025, 90 failles zero-day ont été activement exploitées dans le monde, selon le rapport annuel de Google Threat Intelligence Group. Parmi elles, 43 visaient spécifiquement les outils utilisés par les entreprises : pare-feu, routeurs, passerelles réseau. Mais derrière ces chiffres se cache une réalité qui touche aussi les petites structures : les groupes d'espionnage liés à la Chine et les vendeurs privés de logiciels espions dominent désormais le paysage des cyberattaques les plus sophistiquées.
Pour rappel, une faille zero-day, c'est une vulnérabilité découverte et exploitée avant même que l'éditeur du logiciel n'en ait connaissance. Autrement dit : zéro jour pour réagir, zéro patch disponible. L'attaquant a une longueur d'avance totale. Et en 2025, cette avance a principalement servi à l'espionnage industriel et gouvernemental.
Pourquoi les entreprises sont devenues la cible privilégiée ?
Depuis 2023, les attaquants ont progressivement délaissé les produits grand public (smartphones, navigateurs) pour se concentrer sur les équipements des entreprises : routeurs, pare-feu, dispositifs réseau installés « en périphérie » du système informatique. Ces équipements, appelés edge devices, sont souvent moins surveillés, rarement équipés d'antivirus, et constituent une porte d'entrée discrète vers l'ensemble du réseau.
Sur les 43 failles zero-day visant l'entreprise en 2025, 21 concernaient des équipements de sécurité ou de réseau. Google précise d'ailleurs que ce chiffre est probablement sous-estimé, car ces appareils ne disposent pas toujours des outils de détection nécessaires pour repérer une intrusion.
Deux types d'attaquants se partagent le terrain
Google a pu attribuer 42 des 90 failles à un type d'attaquant précis. Et deux profils dominent largement :
Les vendeurs privés de logiciels espions (CSVs)
Des entreprises comme NSO Group, Intellexa ou Candiru développent et vendent des spywares clés en main à des gouvernements, des forces de l'ordre, parfois à d'autres acteurs. Officiellement, c'est pour lutter contre le crime ou le terrorisme. Dans les faits, ces outils se retrouvent aussi sur les téléphones de journalistes, militants ou opposants politiques. En 2025, 15 failles zero-day ont été exploitées par ces vendeurs, auxquelles s'ajoutent 3 cas probables.
Les groupes d'espionnage étatiques, notamment chinois
Sur les 12 failles attribuées à des groupes soutenus par un État, 7 provenaient de groupes liés à la Chine. Leur spécialité : cibler les équipements réseau des entreprises pour mener des campagnes d'espionnage industriel ou de vol de propriété intellectuelle. Google mentionne notamment la campagne « Brickstorm », visant directement des entreprises technologiques.
Soyons honnêtes : ces attaques visent en priorité de grandes structures, des secteurs stratégiques. Mais une TPE sous-traitante, un cabinet comptable, un bureau d'études peuvent tout à fait servir de tremplin pour atteindre un client plus gros.
- Microsoft reste la cible n°1, avec le plus grand nombre de failles exploitées en 2025. Google (11 failles) et Apple (8) complètent le podium.
- Les équipements réseau et de sécurité (routeurs, pare-feu, passerelles) représentent près de la moitié des attaques visant l'entreprise.
- Les mises à jour sont votre meilleure défense, mais elles arrivent souvent trop tard face à une faille zero-day. D'où l'importance d'une surveillance active et d'une segmentation réseau.
- Les petites structures ne sont pas à l'abri : vous pouvez être une cible indirecte, un maillon vers un client ou partenaire plus stratégique.