Panorama de la cybermenace 2026 selon l'ANSSI

La cybersécurité en France en 2025 n’est plus un sujet réservé à des spécialistes techniques ou à des grandes entreprises. Les données publiées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) confirment une réalité simple. Les attaques sont fréquentes, variées, complexes et touchent toutes les tailles d’organisation.

Ce constat repose sur 3 586 événements de sécurité traités en 2025, parmi lesquels 1 366 incidents qualifiés après analyse par l’agence. Ce niveau reste proche de celui observé en 2024 malgré une baisse apparente du nombre total d’événements.

Télécharger le rapport complet : https://drive.google.com/file/d/1PPr9x6qUnxE5X-mBxNWDXB4OsmHMddHV/view?usp=drive_link

Une menace élevée, stable et multi‑facettes

L’ANSSI met en garde. Il ne s’agit pas d’un simple pic d’activité, mais d’un plateau élevé de cybermenace qui se maintient en France depuis plusieurs années. Le nombre d’incidents qualifiés a presque doublé depuis 2022 (831 en 2022 vs 1 366 en 2025).

Cette « pression constante », comme la décrit l’agence, se manifeste dans différents secteurs : éducation et recherche, institutions publiques, santé, télécommunications et administrations locales sont particulièrement exposés. Ces attaques peuvent viser à la fois des systèmes techniques et des processus humains ou organisationnels.

Cybercriminalité et espionnage étatique peuvent coexister

L’un des enseignements les plus nets du rapport est l’érosion des frontières traditionnelles entre cybercriminels et acteurs étatiques. Des méthodes similaires, parfois partagées, sont utilisées par des groupes opérant pour le profit comme par des services de renseignement, ce qui complique l’attribution des attaques.

En parallèle, les tensions géopolitiques mondiales continuent d’être un facteur d’intensification des attaques visant les réseaux d’entités diplomatiques ou stratégiques. Des opérateurs réputés liés à des services russes ou chinois sont régulièrement observés dans ce contexte.

Cette tendance rejoint des observations plus larges en Europe où des agences comme Europol soulignent une convergence entre cybercriminalité organisée et objectifs stratégiques de certains États, avec des attaques hybrides amplifiées par des technologies comme l’intelligence artificielle.

Détournement d’outils légitimes, failles humaines, exposition des vulnérabilités

L’une des évolutions clefs retenues par l’ANSSI est l’usage croissant d’outils ou services normalement légitimes comme vecteurs d’attaque. Ces techniques rendent plus difficile la détection, car elles n’impliquent pas nécessairement des logiciels malveillants classiques ou des signatures connues.

Autre point souligné, l’ingénierie sociale n’est plus cantonnée aux bon vieux « phishing par email ». Les attaques exploitent désormais les messageries internes, les plateformes cloud ou les applications collaboratives pour manipuler ou tromper des utilisateurs, leur faire divulguer des accès ou détourner des sessions.

Des données issues d’analyses sectorielles confirment ce mouvement. Dans de nombreux cas, plus de 32 % des cyberattaques exploitent des vulnérabilités connues mais non corrigées et une grande partie des intrusions proviennent de comptes compromis.

Le rançongiciel décline, l’exfiltration de données augmente

Une tendance marquante du rapport 2025 est la légère baisse de l’usage des rançongiciels, ces logiciels qui chiffrent des données en échange d’une rançon.

Cela ne veut pas dire que le risque disparaît. Les ransomwares restent une menace sérieuse pour les PME et ETI, souvent sans moyens internes de mitigation suffisants.

Cependant, l’ANSSI note une augmentation plus significative des intrusions aboutissant simplement à l’exfiltration de données, parfois revendiquées ou mises en circulation sur des forums, parfois simplement revendues ou exploitées silencieusement.

Cette réalité est confirmée par des statistiques industrielles. Plus des deux tiers des attaques de ransomware observées en 2025 impliquent le vol de données plutôt que l’encryptage pur et beaucoup d’extorsions de données revendiquent la suppression de données volées plutôt que le déchiffrement.

Quatre secteurs prioritairement touchés

Les données françaises indiquent que 76 % des incidents portés à l’ANSSI en 2025 concernaient seulement quatre secteurs :

• Éducation et recherche : 34 %

• Ministères et collectivités : 24 %

• Santé : 10 %

• Télécommunications : 9 %

Ces chiffres montrent que même des organisations non commerciales ou sans gros budgets de sécurité peuvent être fortement ciblées.

Impacts directs et indirects

Pour une PME ou ETI, les conséquences peuvent être lourdes :

• Opérationnelles : interruption d’activité, perte d’accès aux systèmes essentiels, dépendance à des prestataires externes pour le rétablissement des services.

• Informationnelles : fuite de données sensibles, compromission de comptes internes, divulgation d’informations stratégiques.

• Réglementaires : obligations de notification sous RGPD, sanctions possibles en cas de manquement à la protection des données.

• Réputationnelles : perte de confiance des clients, partenaires ou prospects.

Dans certains cas, des attaques ont perturbé des services stratégiques à grande échelle, comme des attaques DDoS massives ou des intrusions dans des services publics critiques, illustrant l’impact potentiel bien au‑delà des frontières d’une entreprise individuelle.

Ce que les entreprises doivent retenir

À partir de ces constats, plusieurs messages sont clairs pour les décideurs :

• La cybersécurité est un enjeu stratégique, pas seulement une contrainte technique.

• La gouvernance interne doit intégrer la sécurité dans les décisions opérationnelles et stratégiques.

• La surveillance active des vulnérabilités et la réponse rapide aux incidents sont indispensables pour limiter l’exploitation des failles.

• La formation continue des collaborateurs est un levier de protection essentiel, car les intrusions exploitent souvent des erreurs humaines ou des comportements mal protégés.

Ces mesures ne suppriment pas le risque, elles en réduisent la probabilité et l’impact.

Une menace hybride, exigeante et permanente

L’année 2025 confirme une tendance qui n’est plus nouvelle mais bien ancrée : la cybermenace est élevée, polymorphe et constamment présente. Elle combine des acteurs divers, des méthodes innovantes et des objectifs à la fois criminels et stratégiques.

Pour une PME ou une ETI française, ignorer cette réalité ou la traiter par intermittence expose à des interruptions, à des fuites de données ou à des chocs réputationnels difficiles à absorber. Construire ou renforcer une stratégie de cybersécurité qui intègre la gouvernance, l’humain et la technologie est aujourd’hui un impératif opérationnel aussi important que la sécurisation financière.