Catégories d'attaques informatiques : comment les nommer
Les catégories d’attaques informatiques portent des noms précis selon la cible ou la méthode employée : ingénierie sociale, maliciel, déni de service, attaque réseau et injection de code. Chaque famille regroupe des techniques aux mécanismes proches. En 2025, l’ANSSI a traité 1 366 incidents de cybersécurité en France, répartis sur ces grandes familles.
Comment nomme-t-on les catégories d’attaques informatiques
Le vocabulaire suit deux grilles de lecture complémentaires. La première s’appuie sur le pilier de sécurité atteint, ce que les spécialistes appellent la triade CIA : confidentialité, intégrité, disponibilité. Une attaque qui vole des données vise la confidentialité, une attaque qui falsifie des informations vise l’intégrité, une attaque qui rend un service inaccessible vise la disponibilité. Cette grille structure les objectifs de la sécurité et se retrouve dans les trois piliers fondamentaux de la cybersécurité enseignés en formation.
La seconde grille classe les attaques par vecteur, autrement dit la porte d’entrée. Quatre vecteurs dominent : l’humain, le logiciel, le réseau et le code applicatif. Selon le rapport DBIR 2025 de Verizon, le facteur humain intervient dans 60 % des brèches constatées. C’est pourquoi la première catégorie qu’un défenseur examine reste presque toujours celle qui passe par les personnes.
Ces deux grilles ne s’opposent pas. L’ANSSI les combine dans son Panorama de la cybermenace : un même incident se décrit à la fois par son vecteur (un email frauduleux) et par son objectif (chiffrer des fichiers pour extorquer une rançon). Les sections qui suivent détaillent chaque grande famille par son nom consacré.
Ingénierie sociale : les attaques qui visent l’humain
L’ingénierie sociale désigne toute manipulation poussant une personne à divulguer une information confidentielle ou à exécuter une action compromettante. L’attaquant ne force aucune serrure technique. Il exploite la confiance, l’urgence ou la peur. Selon l’ENISA, le phishing reste le premier vecteur d’intrusion avec 60 % des cas, et début 2025 plus de 80 % de l’activité observée dans cette catégorie était assistée par intelligence artificielle.
Le phishing, ou hameçonnage, en est la forme la plus connue. Un message imite un organisme de confiance (banque, administration, fournisseur) pour soutirer des identifiants ou faire ouvrir une pièce jointe piégée. Plusieurs sous-catégories portent des noms distincts selon le canal et la cible :
- Spear phishing : message ciblant un individu précis, souvent identifié au préalable
- Smishing : hameçonnage par SMS, en forte progression
- Vishing : arnaque téléphonique, parfois avec une voix clonée par IA
- Whaling : ciblage exclusif des dirigeants et cadres supérieurs
Le point commun de ces variantes ? Le mécanisme reste identique : tromper la cible pour qu’elle agisse contre son propre intérêt. L’IA a effacé les fautes d’orthographe qui trahissaient autrefois ces messages, rendant les filtres classiques insuffisants. Selon l’ENISA, les plateformes d’attaque clé en main permettent désormais à des assaillants peu qualifiés de monter des campagnes sophistiquées, en s’appuyant sur des contenus générés automatiquement et des médias synthétiques.
Une sous-famille mérite un nom à part : la fraude au président, où l’attaquant usurpe l’identité d’un dirigeant pour ordonner un virement urgent. Elle combine ingénierie sociale et parfois clonage vocal, et vise directement la trésorerie de l’entreprise. Ce glissement vers des cibles financières précises montre que la catégorie humaine n’a rien de marginal : elle s’industrialise. Comprendre qui orchestre ces campagnes éclaire leur sophistication croissante.
Maliciels : la famille des logiciels malveillants
Le terme maliciel traduit l’anglais malware et regroupe tout logiciel conçu pour nuire. C’est une catégorie parapluie. Sous elle se rangent plusieurs types nommés selon leur mode de propagation ou leur effet. Confondre malware et ransomware revient à confondre le genre et l’espèce.
Voici les sous-catégories que tout glossaire reprend :
- Virus : code qui s’attache à un fichier légitime et s’active à son exécution
- Ver : programme qui se réplique seul à travers le réseau, sans action humaine
- Cheval de Troie : logiciel d’apparence inoffensive qui dissimule une charge malveillante
- Logiciel espion : outil qui surveille la victime, des frappes clavier aux captures d’écran
- Rançongiciel : maliciel qui chiffre les données et réclame une rançon
Le rançongiciel (ransomware) concentre aujourd’hui l’attention. Le Panorama de la cybermenace 2025 de l’ANSSI le classe comme la menace numéro un pour les organisations françaises, tous secteurs confondus. Le coût moyen d’une attaque atteint 466 000 euros pour une PME française selon l’ANSSI, soit 5 à 10 % de son chiffre d’affaires. Conséquence directe : 60 % des PME victimes d’une attaque majeure déposent le bilan dans les dix-huit mois.
La tendance dominante s’appelle la double extorsion. Les attaquants exfiltrent les fichiers avant de les chiffrer, puis menacent de les publier si la rançon n’est pas versée. La victime subit alors une double pression : récupérer l’accès et éviter la fuite. Ce raffinement explique pourquoi le rançongiciel pèse autant dans le coût global des incidents, et pourquoi l’argent reste le premier des objectifs visés par une cyberattaque.
Attaque par déni de service : saturer pour rendre indisponible
L’attaque par déni de service distribué (DDoS, Distributed Denial of Service) submerge un serveur de requêtes jusqu’à le rendre inaccessible. Elle ne vole ni n’altère les données : elle s’attaque à la disponibilité. Les assaillants pilotent un botnet, un réseau de machines infectées, pour générer un flux que la cible ne peut absorber.
Cette catégorie a explosé. Selon l’ENISA, les attaques DDoS représentent 76,7 % de l’activité hacktiviste observée en 2025, et près de 80 % de ces opérations étaient motivées par l’idéologie. Le déni de service est devenu l’arme de prédilection des groupes militants, car il frappe la visibilité d’une organisation sans nécessiter de compétence avancée.
Une nuance de vocabulaire distingue le déni de service simple, lancé depuis une seule source, de sa version distribuée (DDoS), orchestrée depuis des milliers de machines simultanées. Seul le second pèse réellement aujourd’hui, car la puissance distribuée submerge des infrastructures que l’attaque mono-source n’égratignerait pas.
Les motivations varient au-delà de l’activisme : extorsion (payer pour faire cesser l’attaque), concurrence déloyale, ou diversion pendant qu’une intrusion plus discrète se déroule ailleurs. Cette dernière tactique inquiète particulièrement les défenseurs : le bruit du déni de service masque alors une exfiltration silencieuse, et l’équipe de sécurité concentre ses ressources sur la mauvaise menace. La protection repose sur des services de filtrage en amont et une répartition des ressources sur plusieurs serveurs, deux réflexes au cœur de la protection contre les nouvelles menaces en ligne.
Attaques réseau : intercepter ou détourner les communications
Les attaques réseau s’intercalent entre deux interlocuteurs ou détournent les flux qui circulent. La plus emblématique porte le nom d’attaque de l’homme du milieu (MITM, Man-in-the-Middle). Elle se produit quand un tiers s’insère dans une communication entre deux systèmes pour lire, voler ou modifier les échanges à leur insu.
Un réseau Wi-Fi public non chiffré offre un terrain idéal à cette interception. L’attaquant capte les données qui transitent en clair : identifiants, cookies de session, messages. Une variante nommée Evil Twin consiste à créer un faux point d’accès imitant un réseau légitime, par exemple celui d’un café ou d’une gare, pour piéger les connexions.
Le chiffrement de bout en bout constitue la parade la plus solide. Un protocole comme TLS sécurise aujourd’hui la grande majorité des échanges sur internet, rendant l’interception inexploitable même lorsqu’elle réussit techniquement. Sur un réseau public, un VPN ajoute une couche de chiffrement qui neutralise l’écoute. Sans ces protections, la confidentialité des communications repose sur la simple chance de ne croiser personne de malveillant.
Injections et failles applicatives : exploiter le code
La dernière grande famille vise directement les applications web et leur code. Le principe : insérer une commande malveillante là où le logiciel attend une donnée ordinaire. Selon l’ENISA, l’exploitation de vulnérabilités représente 21,3 % des accès initiaux observés en 2025, et les failles fraîchement divulguées sont souvent armées en quelques jours.
Deux noms reviennent constamment dans cette catégorie :
- Injection SQL : l’attaquant glisse du code SQL dans un champ de saisie (formulaire, recherche) pour interroger ou détourner la base de données. Une application qui ne filtre pas les entrées laisse passer ces commandes et expose ses tables entières.
- Cross-Site Scripting (XSS) : l’attaquant injecte un script malveillant dans une page web, qui s’exécute ensuite dans le navigateur des visiteurs pour voler des sessions ou rediriger vers un site piégé.
Ces techniques ne s’excluent pas : une faille XSS ou une injection SQL peut servir de tremplin à une attaque plus large, jusqu’à une interception de type homme du milieu. La défense tient en quelques règles : valider et assainir chaque entrée utilisateur, utiliser des requêtes paramétrées, et maintenir les logiciels à jour. Le délai moyen de détection d’une intrusion atteint pourtant 167 jours en France, ce qui laisse aux attaquants un temps considérable une fois la faille franchie.
Vue d’ensemble des grandes catégories
Le tableau ci-dessous récapitule les familles, leur cible prioritaire au sens de la triade CIA et le vecteur d’entrée associé.
| Catégorie | Cible prioritaire | Vecteur |
|---|---|---|
| Ingénierie sociale | Confidentialité | Humain |
| Maliciel | Intégrité, disponibilité | Logiciel |
| Déni de service (DDoS) | Disponibilité | Réseau |
| Attaque réseau (MITM) | Confidentialité | Réseau |
| Injection, XSS | Intégrité, confidentialité | Code applicatif |
Cette cartographie aide à diagnostiquer un incident : identifier la catégorie oriente immédiatement vers les bonnes contre-mesures. Une attaque sur la disponibilité appelle du filtrage de trafic, une attaque sur la confidentialité appelle du chiffrement et un durcissement des accès. Savoir nommer précisément la menace est la première étape pour la traiter, et cela rejoint la distinction entre sécurité informatique et cybersécurité, deux disciplines aux périmètres voisins mais distincts.
Au-delà des cinq familles détaillées, des catégories hybrides émergent. L’attaque par chaîne d’approvisionnement compromet un prestataire pour atteindre ses clients en cascade. La menace interne, qu’elle vienne d’un employé négligent ou malveillant, échappe à toute classification par vecteur externe. Ces formes mixtes rappellent qu’aucune grille n’enferme totalement la créativité des attaquants.
Prochaine étape : cartographier les actifs sensibles de votre organisation, puis associer à chacun les catégories d’attaques qui le menacent réellement. Cet inventaire oriente le budget de défense vers les vecteurs effectivement exposés, plutôt que de disperser l’effort sur des menaces théoriques.