Le braquage de banques virtuelles touche désormais l'ensemble du secteur. Qu'ils soient motivés par le gain ou par la volonté de déstabiliser les systèmes, les cybercriminels s'acharnent sur les services financiers, déterminés à mettre la main sur des données personnelles sensibles à forte valeur telles que les identifiants de comptes et les informations de cartes de paiement.
Les botnets, les vulnérabilités des API et l'adoption rapide de l'intelligence artificielle (IA) convergent pour créer un paysage de menaces extrêmement dynamique et complexe pour les institutions financières du monde entier.
Dernières recherches sur les menaces ciblant les services financiers
Le nouveau rapport État des lieux d'Internet sur la sécurité, intitulé « AI-Empowered Botnets and API Visibility Gaps: Attack Trends in Financial Services », vient d'être publié. En deux ans, depuis notre dernière étude sur le secteur, l'activité s'est nettement intensifiée, avec une hausse marquée à la fois en volume et en complexité.
Notre nouveau rapport analyse en détail les tendances actuelles en matière de menaces, et propose des stratégies d'atténuation pour aider les entreprises à s'adapter et à maintenir leur résilience.
Les menaces liées à l'IA exigent une réponse collective
Le rapport s'ouvre sur une tribune de John « JD » Denning, Chief Security Officer du Financial Services Information Sharing and Analysis Center (FS-ISAC). Il y explique que, si l'IA contribue à transformer les opérations des entreprises, elle étend également leur surface d'attaque et accentue les risques.
Face à l'écosystème des menaces actuel hyperconnecté, une défense collective est indispensable. John Denning souligne l'importance des informations sur les menaces en temps réel à l'échelle de l'écosystème financier, où les défenseurs partagent informations et tactiques pour accroître le coût des attaques.
Les services financiers restent la première cible des attaques
En analysant les tendances dans le temps et en examinant en détail les données de 2025, le rapport État des lieux d'Internet livre des conclusions clés :
Les attaques par déni de service distribué (DDoS) restent la plus grande menace pour le secteur
Le DNS constitue une surface d'attaque invisible
Les attaques Web continuent de progresser
La croissance des API amplifie les risques
Les botnets optimisés par l'IA représentent une menace majeure
Les attaques DDoS restent la plus grande menace pour le secteur
Les établissements de services financiers sont une cible privilégiée des attaques DDoS, largement devant les autres secteurs. Le segment bancaire demeure de loin le plus visé, que ce soit pour les attaques de couches 3 et 4 ou celles de couche 7.
Les attaques DDoS ciblant les couches 3 et 4 ont augmenté de 5,2 % en un an.
Leur taille, leur complexité et leur durée ont également progressé.
Entre 2024 et 2025, le volume maximal des attaques DDoS a bondi de 236 % et leur durée médiane de 738 %.
Cette hausse spectaculaire s'explique par un mélange de failles héritées des anciens systèmes, de l'essor rapide de la banque digitale et de cadres d'attaque boostés par l'IA, qui permettent aux cybercriminels de s'adapter en temps réel aux stratégies d'atténuation, et ainsi d'accroître l'ampleur ainsi que la complexité des menaces.
Le rapport explore en détail ces aspects, notamment les tendances régionales, les botnets IoT et le rôle des hacktivistes comme Keymous+, DieNet, Handala ou encore Cyber Islamic Resistance (CIR).
Le DNS constitue une surface d'attaque invisible
Le DNS est devenu une surface d'attaque critique, souvent négligée, pour les banques, les acteurs de la gestion du patrimoine, les assurances et les fintechs. Souvent, les infrastructures DNS perdurent au-delà des systèmes, produits et unités métiers qu'elles soutenaient à l'origine, ce qui les expose à des risques de prise de contrôle de sous-domaines, d'usurpation d'identité et d'émission de certificats non autorisés.
Le rapport décrit les problèmes DNS courants qui créent des vulnérabilités, telles que des SOA (Start of Authority) mal configurés, des enregistrements CAA (Certificate Authority Authorization) manquants, l'absence de DNSKEY, des enregistrements DNS wildcard inutiles et des verrous de registre désactivés. Dans un environnement de cloud distribué, le DNS n'est plus une simple tâche de maintenance : il s'agit d'un point de contrôle critique pour la confiance digitale et la distribution sécurisée des applications.
Les attaques Web continuent de progresser
Nos recherches révèlent que les attaquants ciblent sans relâche les sites Web de services financiers : les incidents ont augmenté de 11 % à l'échelle mondiale entre 2024 et 2025. Avec 110 milliards d'attaques recensées sur deux ans, le secteur est le deuxième plus touché par les cyberattaques, après le commerce. Les sites bancaires concentrent à eux seuls 60 % de ces attaques.
La croissance des API amplifie les risques
Les points de terminaison d'API représentent un vecteur majeur d'attaques Web, d'où l'importance de renforcer la visibilité et la gouvernance autour des API. Dans un contexte où les entreprises doivent déployer rapidement et en continu de nouvelles fonctionnalités en ligne, les API fantômes et le code assisté par l'IA (vibe coding) ne font qu'accentuer la complexité.
L'émergence de botnets « à la demande » et d'outils faciles à utiliser, associée à des protections DDoS insuffisantes, ouvre la voie à des acteurs peu expérimentés. Cela renforce la nécessité de privilégier l'hygiène de sécurité et les fondamentaux, notamment la maîtrise et la visibilité du parc d'API.
Les botnets optimisés par l'IA représentent une menace majeure
L'activité des bots avancés a bondi de 147 % fin 2025, portée par des techniques d'évasion basées sur l'IA. Aujourd'hui, les botnets zombies à très grande échelle peuvent contrôler des millions de terminaux IoT pour lancer des attaques DDoS massives, tout en contournant les mécanismes classiques de filtrage basés sur la réputation IP.
Notre étude souligne l'importance de dépasser les approches de blocage par signature, au profit d'heuristiques comportementales et de télémétrie de risque utilisateur pour repérer les identités frauduleuses dans les flux transactionnels.
Des stratégies de défense concrètes pour les services financiers
L'IA n'élimine pas les risques de sécurité traditionnels : elle les amplifie. Afin de faire face à l'augmentation du volume et de la sophistication des attaques, les défenseurs doivent donc adopter des architectures de sécurité adaptatives et capables d'intégrer les spécificités de l'IA, plutôt que de se contenter de périmètres statiques.
Le nouveau rapport État des lieux d'Internet sur la sécurité explore des stratégies de défense concrètes pour les services financiers, notamment la MITRE ATT&CK Matrix for Enterprise et les bases de connaissances ATLAS™, qui permettent de mieux comprendre les techniques utilisées par les cybercriminels pour mener leurs attaques.
Il propose également des conseils pratiques pour aider les entreprises de services financiers à évoluer dans un environnement réglementaire de plus en plus strict. En outre, il étudie les outils et les meilleures pratiques qui aident les équipes des opérations de sécurité à affiner leurs évaluations et leurs exercices d'équipe rouge, à renforcer leur stratégie de sécurité et à protéger leurs déploiements d'IA.
Le nouveau rapport État des lieux d'Internet sur la sécurité transforme des risques théoriques en enseignements exploitables, en apportant les données nécessaires pour préserver la sécurité et la confiance dans un contexte de plus en plus instable.
Vous voulez des informations complètes ?
Téléchargez le nouveau rapport État des lieux d'Internet sur la sécurité : AI-Empowered Botnets and API Visibility Gaps: Attack Trends in Financial Services.
Mots-clés
