Le 11 mars 2026, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié son panorama de la cybermenace 2025, un rapport de 60 pages qui dresse l’état des lieux le plus complet de la menace pesant sur la France. Le constat tient en une phrase : la cyberattaque est devenue ordinaire. L’agence a reçu 2 209 signalements et traité 1 366 incidents de sécurité sur l’année, un volume quasi stable par rapport aux 1 361 incidents de 2024. Derrière cette stabilité apparente se cache une mutation profonde des modes opératoires, une explosion du vol de données et un brouillage croissant entre cybercriminels et services étatiques.

Nous avons analysé le panorama de la cybermenace 2025, croisé ses chiffres avec le rapport IOCTA 2026 d’Europol et l’édition 2025 du Cost of a Data Breach d’IBM, et recueilli les déclarations de Vincent Strubel, directeur général de l’ANSSI. Voici ce que révèle ce bilan, ce qu’il signifie pour les entreprises et les collectivités françaises, et ce qui attend le pays en 2026 et 2027.

Panorama de la cybermenace 2025 : ce que dit le rapport de l’ANSSI

Le panorama de la cybermenace 2025 est le document de référence produit chaque année par le CERT-FR, la cellule opérationnelle de l’ANSSI. Il agrège l’ensemble des signalements et incidents portés à la connaissance de l’agence sur l’année civile. Pour 2025, le compteur affiche 2 209 signalements et 1 366 incidents traités. À titre de comparaison, l’ANSSI avait reçu 3 004 signalements et traité 1 361 incidents en 2024, sur un total de 4 386 événements de sécurité.

La baisse du nombre de signalements ne traduit pas un recul de la menace. Elle reflète plutôt une meilleure qualification des alertes en amont et une concentration des moyens de l’ANSSI sur les incidents à fort impact. Le nombre d’incidents confirmés, lui, reste figé d’une année sur l’autre. C’est cette banalisation qui inquiète : la France subit désormais un flux continu d’attaques de moyenne intensité, sous le radar médiatique, qui usent les défenses des organisations sans jamais provoquer de crise nationale spectaculaire.

1 366 incidents traités : la stabilité des chiffres masque une mutation

Stabilité ne veut pas dire immobilisme. Le rapport 2025 met en avant trois ruptures par rapport à l’édition précédente. D’abord, les attaquants industrialisent leurs opérations : ils partagent les tâches, externalisent l’accès initial à des courtiers spécialisés et réutilisent des outils communs. Ensuite, l’ingénierie sociale gagne en sophistication. L’ANSSI a observé en 2025 des techniques avancées comme le SIM-swapping, la fatigue de l’authentification multifacteur (MFA fatigue), l’usurpation d’identité et le vishing, employées principalement à des fins d’espionnage et de surveillance.

Enfin, la donnée devient la cible centrale. Là où le rançongiciel chiffrait pour extorquer, les groupes misent désormais sur le vol pur et la menace de publication. Cette bascule explique pourquoi le nombre de compromissions par rançongiciel recule légèrement alors que les incidents d’exfiltration de données bondissent. La menace ne diminue pas, elle change de visage.

Rançongiciels en France : 128 attaques en 2025, un recul en trompe-l’œil

L’ANSSI a recensé 128 compromissions par rançongiciel en 2025, contre 141 en 2024. Ce léger reflux, environ 9 %, ne signe pas la fin de l’extorsion. Il marque une réorientation stratégique des groupes criminels. Plutôt que de paralyser un système entier, beaucoup préfèrent désormais voler discrètement les données et négocier leur non-divulgation. Le chiffrement reste une arme, mais il n’est plus systématique.

Les victimes restent majoritairement des structures peu protégées. Dans son panorama 2024, l’ANSSI relevait que 37 % des victimes connues de rançongiciel étaient des TPE, PME et ETI, devant les collectivités territoriales (17 %), les établissements d’enseignement supérieur (12 %) et les entreprises stratégiques (12 %). Ces organisations cumulent un patrimoine numérique de valeur et des moyens de défense limités, un profil idéal pour des attaquants à la recherche du meilleur rapport effort-rançon.

Indicateur ANSSI20242025Évolution
Signalements reçus3 0042 209En baisse
Incidents traités1 3611 366Stable
Compromissions par rançongiciel141128-9 %
Incidents d’exfiltration de données130196+51 %
Événements de sécurité traités4 386n.c.n.c.
Sources : ANSSI, Panorama de la cybermenace 2024 et 2025 (CERT-FR).

L’exfiltration de données explose : 196 incidents en 2025

C’est le chiffre le plus parlant du panorama 2025. L’ANSSI a été informée de 196 incidents relatifs à des exfiltrations de données, associées ou non à un rançongiciel, contre 130 l’année précédente. La progression dépasse 50 % en un an. Le vol de données s’impose comme le mode opératoire dominant, parce qu’il est plus rentable et plus discret que le chiffrement.

Le cas le plus emblématique de cette tendance est survenu en France au tout début de 2026. Fin janvier, un intrus a accédé au fichier national des comptes bancaires (FICOBA), exposant les données rattachées à 1,2 million de comptes : IBAN, noms, adresses et, dans certains cas, numéro fiscal délivré par la DGFiP. L’intrusion n’a exploité aucune faille logicielle, mais des identifiants compromis d’un agent autorisé. FICOBA recense près de 300 millions de comptes liés à environ 80 millions de personnes, ce qui donne la mesure du risque systémique. Nous détaillons cette affaire dans notre analyse du piratage de FICOBA.

Pour les organisations, le message est limpide : la protection ne se résume plus à sauvegarder pour résister au chiffrement. Elle impose de cloisonner les accès, de chiffrer les données au repos et de surveiller les flux sortants. Notre guide sur les fuites de données détaille les mécanismes d’une exfiltration et les parades concrètes.

Quels secteurs sont les plus visés ? Éducation, État et santé en tête

Le panorama 2025 cartographie précisément les cibles. Quatre secteurs concentrent l’essentiel des incidents traités par l’ANSSI. L’éducation et la recherche arrivent largement en tête avec 34 % des incidents, devant les ministères et les collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %).

Cette hiérarchie n’est pas un hasard. Les universités et laboratoires détiennent des travaux de recherche à forte valeur, convoités par des acteurs étatiques en quête de propriété intellectuelle. Les collectivités gèrent des données personnelles massives avec des budgets cyber souvent symboliques. Les hôpitaux, eux, restent une cible de choix pour les rançongiciels parce que l’urgence vitale les pousse à payer vite. L’attaque contre l’ANTS et la fuite de 11,7 millions de comptes illustre la vulnérabilité du secteur public français.

Secteur viséPart des incidents 2025Motivation principale
Éducation et recherche34 %Espionnage, propriété intellectuelle
Ministères et collectivités territoriales24 %Données personnelles, déstabilisation
Santé10 %Extorsion, rançongiciel
Télécommunications9 %Espionnage, accès rebond
Source : ANSSI, Panorama de la cybermenace 2025.

La frontière entre États et cybercriminels s’efface

C’est l’un des avertissements les plus forts du rapport. L’ANSSI constate que la ligne séparant les acteurs étatiques des groupes cybercriminels se brouille progressivement. Des modes opératoires associés à des services de renseignement réutilisent des outils criminels, tandis que des groupes lucratifs servent occasionnellement des intérêts géopolitiques. Cette porosité complique l’attribution et brouille la frontière entre espionnage, sabotage et extorsion.

L’agence pointe en particulier le risque d’attaques contre les infrastructures critiques. Vincent Strubel a rappelé que la série de cyberattaques visant les infrastructures électriques polonaises fin 2025 « fait planer le spectre du scénario redouté auquel la France se prépare ». Ce type d’incident préfigure une menace hybride où le cyber sert d’arme stratégique. La France l’a anticipé dans sa stratégie nationale de cybersécurité 2026-2030.

Vincent Strubel : « la France a les moyens de contrer »

Le directeur général de l’ANSSI livre dans le rapport une lecture à la fois lucide et résolue. Sa principale crainte porte sur l’horizon 2030. « Un scénario central dans lequel nous ferions face, d’ici 2030, à une augmentation massive des attaques dites “hybrides”, avec une composante cyber majeure et des effets concrets, voire destructeurs, sur nos infrastructures critiques », décrit-il.

Vincent Strubel refuse pour autant le catastrophisme. « La France a les moyens de contrer, dissuader ou à tout le moins de compliquer significativement la tâche des attaquants », affirme-t-il. Le directeur général insiste aussi sur la nécessité de garder du recul face aux revendications de vol de données, qu’il décrit comme relevant souvent « soit du bluff complet, soit du recyclage de données déjà dans la nature ou déjà publiques ». Un rappel utile à l’heure où chaque fuite alléguée déclenche une panique disproportionnée.

Le coût d’une fuite de données : 4,44 millions de dollars en moyenne

Combien coûte une violation de données ? Selon le rapport Cost of a Data Breach 2025 d’IBM, le coût moyen mondial s’établit à 4,44 millions de dollars, en recul de 9 % par rapport aux 4,88 millions de 2024. C’est la première baisse en cinq ans. IBM l’attribue à une détection et à un confinement plus rapides des incidents, portés notamment par l’automatisation et l’intelligence artificielle défensive.

Cette baisse mérite d’être nuancée. Le coût des attaques impliquant de l’IA malveillante, lui, grimpe. IBM chiffre à 5,08 millions de dollars le coût moyen des violations liées à l’exploitation de l’IA dans son rapport 2025, contre 4,62 millions un an plus tôt. Autrement dit, les organisations qui maîtrisent leur sécurité paient moins, mais celles qui se laissent dépasser par les nouveaux vecteurs paient davantage. L’écart se creuse entre les bons et les mauvais élèves.

Indicateur IBM Cost of a Data Breach20242025
Coût moyen mondial d’une violation4,88 M$4,44 M$
Évolution annuelle+10 %-9 %
Coût moyen des violations liées à l’IA malveillante4,62 M$5,08 M$
Source : IBM, Cost of a Data Breach Report 2024 et 2025.

Europe : plus de 120 marques de rançongiciels actives

Le panorama français ne s’analyse pas en vase clos. À l’échelle européenne, le rapport IOCTA 2026 d’Europol confirme que le rançongiciel reste la menace dominante dans l’Union, avec plus de 120 marques de rançongiciels actives observées en 2025. Cette fragmentation est un effet direct du modèle Ransomware-as-a-Service : des plateformes louent leurs outils à des affiliés, ce qui multiplie les enseignes et complique le démantèlement.

Europol souligne que les opérations de police, malgré des coups d’éclat contre certaines infrastructures, ne suffisent pas à endiguer le phénomène. Dès qu’une marque tombe, ses affiliés migrent vers une autre. Cette résilience criminelle explique pourquoi la pression sur la France ne faiblit pas, même quand les chiffres bruts se stabilisent. L’agence européenne ENISA dresse le même constat dans son panorama des menaces : rançongiciel et déni de service (DDoS) restent les deux risques les plus prévalents pour les organisations européennes.

La France dans le contexte européen : une cible parmi les plus exposées

Comparée à ses voisins, la France figure parmi les nations les plus ciblées d’Europe, aux côtés de l’Allemagne, du Royaume-Uni et de l’Italie. Cette exposition tient à son poids économique, à sa présence diplomatique et à ses échéances stratégiques. Les grands rendez-vous internationaux organisés sur le sol français ces dernières années ont fait du pays un terrain d’entraînement pour des acteurs hostiles.

La réponse française s’inscrit dans le cadre européen de la directive NIS2, qui élargit drastiquement le périmètre des entités soumises à des obligations de cybersécurité. La transposition reste un chantier sensible, marqué par des retards et des tensions juridiques que nous avons documentés dans notre dossier NIS2 en France et la saisine de la CJUE. L’enjeu : faire passer des dizaines de milliers d’organisations d’une posture de conformité minimale à une véritable résilience opérationnelle.

Source de référence 2025-2026Chiffre cléPortée
ANSSI, Panorama 20251 366 incidents traitésFrance
ANSSI, Panorama 2025128 rançongiciels recensésFrance
Europol, IOCTA 2026120+ marques de rançongicielsUnion européenne
IBM, Cost of a Data Breach 20254,44 M$ par violationMondial
ANSSI, Panorama 2025196 exfiltrations de donnéesFrance
Sources : ANSSI, Europol, IBM (2025-2026).

Contexte historique : du pic de 2024 à la banalisation de 2025

Pour mesurer le tournant de 2025, il faut le replacer dans une trajectoire pluriannuelle. En 2024, l’ANSSI avait traité 4 386 événements de sécurité, un volume historiquement élevé porté par les grands rendez-vous internationaux de l’année et par une vague de rançongiciels visant les collectivités. Le rapport 2024 avait alors employé le mot « mobilisation » pour décrire l’état d’alerte permanent des défenseurs.

Un an plus tard, le vocabulaire change. Le rapport 2025 raconte la banalisation de l’attaque invisible : moins de pics spectaculaires, mais un bruit de fond constant qui sature les équipes. Cette évolution rappelle celle d’autres menaces devenues structurelles. Le phishing, par exemple, est passé du statut d’événement à celui de risque permanent, comme nous l’expliquons dans notre guide sur l’hameçonnage. La cybermenace suit la même courbe : elle ne disparaît pas, elle s’installe.

Cinq prédictions pour la cybermenace 2026-2027

À partir des tendances du panorama 2025, voici cinq évolutions probables pour les dix-huit prochains mois.

  1. Le vol de données dépassera durablement le chiffrement. Avec 196 exfiltrations recensées en 2025 contre 130 en 2024, la trajectoire est claire. L’extorsion par menace de publication deviendra le mode dominant en 2026.
  2. L’IA offensive abaissera le coût des attaques. Génération de courriels d’hameçonnage parfaits, automatisation de la reconnaissance, deepfakes vocaux : les barrières techniques s’effondrent, ce qui élargira le vivier d’attaquants.
  3. Les collectivités et le secteur de la santé resteront les maillons faibles. Sous-dotés et fortement numérisés, ils continueront de concentrer une part disproportionnée des incidents.
  4. La menace hybride sur les infrastructures critiques montera en puissance. Le scénario décrit par Vincent Strubel à l’horizon 2030 se manifestera par des incidents de plus en plus visibles dès 2026-2027.
  5. NIS2 rebattra les cartes de la conformité. La mise en conformité de dizaines de milliers d’entités créera un appel d’air sur le marché des services de cybersécurité, mais aussi un risque de conformité de façade.

Comment réduire son exposition face à la cybermenace 2025

Le panorama 2025 ne se contente pas d’alerter, il oriente l’action. Trois priorités ressortent pour les organisations françaises. La première est l’authentification multifacteur résistante au phishing, car le SIM-swapping et la MFA fatigue ciblent justement les seconds facteurs faibles. La deuxième est la maîtrise des accès à privilèges : l’affaire FICOBA a montré qu’un seul identifiant compromis suffit à exposer des millions d’enregistrements. La troisième est la surveillance des flux sortants, indispensable pour détecter une exfiltration avant qu’elle ne soit complète.

Quelques réflexes d’hygiène réduisent immédiatement la surface d’attaque, en particulier sur les services exposés.

# Recenser les services réseau exposés sur un serveur Linux
ss -tulpn

# Vérifier les connexions sortantes inhabituelles
ss -tp state established

# Surveiller les tentatives d'accès SSH échouées
# (un outil comme Fail2ban automatise ensuite le blocage)
grep "Failed password" /var/log/auth.log | tail -20

Au-delà de la technique, la gouvernance compte. Tester régulièrement ses sauvegardes, cartographier ses données sensibles et préparer un plan de réponse à incident font la différence entre une crise maîtrisée et une catastrophe. C’est précisément la baisse du temps de détection que récompense le rapport IBM, avec un coût moyen en recul pour les organisations les mieux préparées.

Foire aux questions sur le panorama de la cybermenace 2025

Combien d’incidents l’ANSSI a-t-elle traités en 2025 ?

Selon le panorama de la cybermenace 2025, l’ANSSI a reçu 2 209 signalements et traité 1 366 incidents de sécurité, un volume quasi identique aux 1 361 incidents de 2024.

Le nombre de rançongiciels a-t-il vraiment baissé en France ?

L’ANSSI a recensé 128 compromissions par rançongiciel en 2025, contre 141 en 2024, soit un recul d’environ 9 %. Mais ce reflux est compensé par une hausse de plus de 50 % des incidents d’exfiltration de données, qui passent de 130 à 196. La menace se déplace du chiffrement vers le vol.

Quels secteurs sont les plus visés en France ?

L’éducation et la recherche arrivent en tête avec 34 % des incidents, devant les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %).

Combien coûte une fuite de données en moyenne ?

D’après le rapport IBM Cost of a Data Breach 2025, le coût moyen mondial d’une violation s’élève à 4,44 millions de dollars, en baisse de 9 % par rapport aux 4,88 millions de 2024, première diminution en cinq ans.

Qu’est-ce que le panorama de la cybermenace de l’ANSSI ?

C’est le rapport annuel publié par le CERT-FR, la cellule opérationnelle de l’ANSSI. Il synthétise les signalements et incidents traités sur l’année et identifie les tendances de la menace. L’édition 2025 a été publiée le 11 mars 2026.

Combien de groupes de rançongiciels sont actifs en Europe ?

Le rapport IOCTA 2026 d’Europol fait état de plus de 120 marques de rançongiciels actives dans l’Union européenne en 2025, une fragmentation alimentée par le modèle Ransomware-as-a-Service.

Sources externes : ANSSI, Panorama de la cybermenace 2025 · CERT-FR, rapport CTI 2025 (PDF) · Europol, IOCTA 2026 · IBM, Cost of a Data Breach 2025 · Infosecurity Magazine