Les documents du FBI enregistrent 21 milliards de dollars de pertes dues à la cybercriminalité pour 2025
Le Federal Bureau of Investigation a publié son rapport annuel sur la criminalité sur Internet le 7 avril 2026, révélant que les victimes américaines ont perdu près de 21 milliards de dollars à cause de crimes facilités par la cybernétique tout au long de 2025. Ce chiffre stupéfiant représente l'un des totaux annuels les plus élevés jamais enregistrés par le Centre de plaintes pour crimes sur Internet (IC3) du FBI, marquant une escalade inquiétante de l'impact financier des activités cybercriminelles ciblant les individus et les organisations aux États-Unis.
Le rapport identifie quatre vecteurs d'attaque principaux responsables de la majorité de ces pertes : les escroqueries d'investissement, les stratagèmes de compromission de courriels professionnels (BEC), la fraude au support technique et les violations de données à grande échelle. La fraude à l'investissement à elle seule a représenté des milliards de pertes, les cybercriminels exploitant tout, des stratagèmes de cryptomonnaie aux fausses plateformes de trading promettant des rendements irréalistes à des victimes sans méfiance.
Les attaques de compromission de courriels professionnels ont continué d'avoir un impact dévastateur sur les entreprises américaines, le FBI documentant des milliers d'incidents où des attaquants ont infiltré des systèmes de messagerie d'entreprise pour rediriger des virements et manipuler des transactions financières. Ces attaques sophistiquées d'ingénierie sociale ciblent souvent les départements financiers et les cadres, utilisant des comptes de messagerie compromis pour autoriser des paiements frauduleux pouvant atteindre des millions de dollars par incident.
Les stratagèmes de fraude au support technique ont également contribué de manière significative au total, les escrocs se faisant passer pour des entreprises technologiques légitimes pour obtenir un accès à distance aux ordinateurs et comptes financiers des victimes. Le catalogue des vulnérabilités exploitées connues de la CISA a documenté de nombreux cas où des attaquants ont exploité des systèmes non corrigés pour faciliter ces escroqueries, soulignant l'importance cruciale des mises à jour de sécurité en temps opportun.
La méthodologie de collecte de données du FBI implique l'analyse des rapports soumis à l'IC3 tout au long de 2025, le recoupement des rapports des institutions financières et la coordination avec les agences internationales d'application de la loi pour suivre les opérations de cybercriminalité transfrontalières. Le bureau a noté que les pertes réelles pourraient être encore plus élevées, car de nombreuses victimes ne signalent jamais les cybercrimes en raison de l'embarras, du manque de sensibilisation aux mécanismes de signalement ou des préoccupations concernant la réputation de l'entreprise.
Impact généralisé sur tous les groupes démographiques et secteurs
Les 21 milliards de dollars de pertes ont touché des victimes de tous les groupes d'âge, régions géographiques et secteurs économiques, bien que certains groupes démographiques aient été ciblés de manière disproportionnée. Les Américains plus âgés, en particulier ceux âgés de 60 ans et plus, ont continué d'être des cibles privilégiées pour la fraude au support technique et les escroqueries d'investissement, perdant en moyenne 35 000 dollars par incident selon l'analyse du FBI. Ces victimes possèdent souvent des économies de retraite substantielles et peuvent être moins familières avec les menaces modernes de cybersécurité.
Les petites et moyennes entreprises ont subi le plus gros des attaques de compromission de courriels professionnels, le FBI documentant plus de 15 000 incidents de BEC ciblant des entreprises de moins de 500 employés. Ces organisations manquent souvent d'équipes de cybersécurité dédiées et de systèmes de filtrage de courriels sophistiqués, les rendant vulnérables aux campagnes de phishing bien conçues qui contournent les mesures de sécurité de base.
Le secteur de la santé a subi des impacts particulièrement sévères, avec des attaques de ransomware et des violations de données affectant les hôpitaux, cliniques et cabinets médicaux à l'échelle nationale. Le FBI a rapporté que les organisations de santé ont payé environ 2,3 milliards de dollars en demandes de rançon et coûts de récupération en 2025, choisissant souvent de payer les attaquants plutôt que de risquer la sécurité des patients lors de pannes prolongées des systèmes.
Les entreprises de services financiers, malgré une infrastructure de sécurité robuste, ont encore subi des pertes importantes dues à des attaques sophistiquées ciblant les comptes clients et les systèmes internes. Le rapport indique que même les institutions dotées de systèmes avancés de détection de la fraude ont eu du mal à faire face aux techniques d'attaque évolutives exploitant des vulnérabilités zero-day et des tactiques d'ingénierie sociale.
Le FBI recommande une stratégie de défense à plusieurs niveaux
Le rapport du FBI souligne que la prévention de ces pertes financières massives nécessite une approche globale combinant contrôles techniques, éducation des utilisateurs et planification de la réponse aux incidents. Les organisations devraient mettre en œuvre l'authentification multi-facteurs sur tous les systèmes, en particulier pour les comptes de messagerie et les applications financières qui traitent des virements ou des données sensibles des clients. Le Microsoft Security Response Center fournit des conseils détaillés sur la sécurisation des systèmes de messagerie d'entreprise contre les attaques BEC.
Pour la prévention de la fraude à l'investissement, le FBI recommande aux individus de vérifier toute opportunité d'investissement via des bases de données réglementaires officielles avant de s'engager financièrement. La Securities and Exchange Commission maintient des dossiers publics des conseillers en investissement enregistrés, et la Commodity Futures Trading Commission suit les plateformes de trading de matières premières légitimes. Les victimes devraient être particulièrement méfiantes envers les offres d'investissement non sollicitées reçues via les réseaux sociaux, les courriels ou les appels à froid.
La fraude au support technique peut être évitée en établissant des protocoles clairs pour l'assistance technique légitime. Les organisations devraient former les employés à ne jamais fournir d'accès à distance à des appelants non sollicités prétendant représenter des entreprises technologiques. Microsoft, Apple et d'autres grands fournisseurs de technologie n'initient pas d'appels de support non sollicités, et le support technique légitime nécessite toujours que le client initie le contact via des canaux officiels.
Le FBI recommande également de mettre en œuvre des procédures de sauvegarde et de récupération robustes pour atténuer les impacts des ransomwares. Les organisations devraient maintenir des sauvegardes hors ligne qui ne peuvent pas être accessibles via des connexions réseau, tester régulièrement les procédures de récupération et développer des plans de réponse aux incidents incluant des protocoles de notification aux forces de l'ordre. L'IC3 du bureau fournit un mécanisme de signalement simplifié qui aide à suivre les tendances de la cybercriminalité et peut aider dans les efforts de récupération lorsqu'il est signalé rapidement.
Les institutions financières et les entreprises devraient mettre en œuvre des systèmes de surveillance de la fraude en temps réel qui signalent des modèles de transaction inhabituels, en particulier les virements internationaux ou les changements d'informations de routage de paiement. Le FBI note que de nombreuses attaques BEC réussissent parce que les organisations manquent de procédures de vérification adéquates pour les transactions financières initiées via des communications par courriel.
