digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
L’ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025. Comme chaque année, ce rapport constitue la référence pour comprendre l’évolution des menaces qui pèsent sur les organisations françaises. Et cette édition ne rassure pas.
Derrière une baisse apparente du nombre d’événements de sécurité traités – 3 586, soit 18 % de moins qu’en 2024 – la réalité est plus nuancée. Cette diminution s’explique par l’effet des Jeux olympiques et paralympiques de Paris, qui avaient gonflé les signalements l’an passé. Le nombre d’incidents confirmés, lui, reste stable : 1 366 en 2025, contre 1 361 en 2024. Quatre secteurs concentrent à eux seuls 76 % de ces incidents : l’éducation et la recherche (34 %), les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %).
La pression ne baisse pas. Elle change de forme.
Exfiltrations en hausse, rançongiciels en recul : le centre de gravité se déplace
Le chiffre le plus frappant du rapport : +51 % d’incidents liés à des exfiltrations de données – 196 cas portés à la connaissance de l’ANSSI en 2025, contre 130 l’année précédente. Les attaquants changent de stratégie. Plutôt que de chiffrer un SI et espérer une rançon – une méthode de moins en moins rentable face à des victimes qui paient moins – ils préfèrent voler des données et les monétiser autrement : revente, chantage direct, pression médiatique.
Mais attention au bruit. Sur les 460 événements signalés comme de possibles fuites de données, seuls 42 % ont pu être confirmés. Le reste ? Du « bluff », selon les termes de Vincent Strubel, directeur général de l’ANSSI. Des revendications opportunistes, du recyclage de données déjà compromises. Le phénomène n’en reste pas moins coûteux : chaque revendication, avérée ou non, mobilise lourdement les équipes – qualification des données, identification de la source, obligations CNIL, communication de crise.
Côté rançongiciels, 128 compromissions recensées en 2025, contre 141 en 2024. Un léger recul, mais la menace n’a rien de résiduel. Les PME, TPE et ETI restent les premières cibles (48 %), suivies par les collectivités (11 %) et les établissements de santé (8 %, en hausse). L’attaque contre Collins Aerospace en octobre 2025, revendiquée par le groupe Everest, a perturbé plusieurs aéroports européens pendant plusieurs jours.
Qilin domine le paysage avec 21 % des souches identifiées et plus de 700 victimes revendiquées sur l’année. Akira (9 %) et LockBit 3.0 (5 %) complètent le podium. Plus d’une dizaine de nouvelles souches ont fait leur apparition – signe que l’écosystème se renouvelle en permanence.
Un brouillard entre acteurs étatiques et cybercriminels
C’est le constat le plus structurant du rapport. L’ANSSI parle de « brouillard technologique et organisationnel ». Les frontières entre attaquants étatiques et cybercriminels ne tiennent plus.
Des pratiques réservées aux groupes étatiques – exploitation de zero-days, détournement de services légitimes, pré-positionnement durable – se retrouvent désormais chez les cybercriminels. Dans l’autre sens, des acteurs traditionnellement associés à l’espionnage (Chine, Corée du Nord) ont été observés en 2025 en train de déployer des rançongiciels pour de l’argent. Le mode opératoire Moonstone Sleet, réputé lié à la Corée du Nord, aurait ainsi utilisé le RaaS Qilin.
Ce flou a des conséquences très concrètes en réponse à incident. Face à une compromission, il devient difficile de déterminer si l’on est confronté à de l’extorsion, de l’espionnage ou à un pré-positionnement en vue d’opérations futures. Et cette incertitude pèse directement sur les décisions d’endiguement.
L’espionnage lié à la Russie et à la Chine reste très actif. Le rapport mentionne la compromission d’une entité française liée à un organe diplomatique, où l’attaquant a exploité des vulnérabilités d’équipements de bordure pour obtenir des privilèges élevés. Les campagnes de Salt Typhoon (Chine) et Callisto (Russie/FSB) illustrent la persistance de ce ciblage.
Quand l’attaque passe par les outils du quotidien
C’est sans doute l’enseignement le plus opérationnel du panorama. L’ANSSI observe une recrudescence du détournement d’outils et services légitimes à des fins malveillantes – et cette fois, ce ne sont plus seulement les acteurs étatiques qui s’y adonnent.
La liste dressée par l’Agence parle d’elle-même : AnyDesk, TeamViewer, Atera, LogMeIn côté accès distant ; Google Drive, Dropbox, MEGA côté stockage ; Cloudflare Workers, AWS Lambda côté développement. Ces outils sont utilisés à toutes les étapes de la chaîne de compromission parce qu’ils passent sous le radar des dispositifs de détection. AnyDesk est l’outil le plus fréquemment observé dans les incidents – il a notamment été déployé par le groupe Inc Ransom lors d’une attaque contre un centre hospitalier en octobre 2025.
La technique « ClickFix » gagne du terrain. Le principe : pousser la victime à copier-coller elle-même une commande malveillante dans son terminal, sous prétexte de résoudre un problème technique. Des infostealers comme Lumma Stealer et Rhadamanthys se propagent massivement par ce biais. Des groupes étatiques (Callisto, APT28) l’ont également adoptée.
Côté IA, l’ANSSI a identifié des sites web générés par intelligence artificielle, à l’apparence légitime, servant à héberger des charges malveillantes ou à profiler des cibles.
Pour les équipes sécurité, le message est clair : cartographier les outils utilisés au sein du SI et traquer ceux dont la présence n’est pas attendue devient un levier de détection à part entière.
La chaîne d’approvisionnement, point d’entrée privilégié
Le rapport confirme une tendance déjà identifiée les années précédentes : le prestataire est un vecteur de compromission majeur. L’ANSSI décrit des cas concrets où un attaquant a compromis un prestataire, exfiltré des données clients, puis exploité les interconnexions pour se latéraliser vers d’autres organisations. Dans un autre cas, un rançongiciel chez un prestataire a perturbé l’accès de l’ensemble de ses clients à l’application fournie – avec un impact sectoriel massif.
Les environnements cloud ne sont pas épargnés. En juillet 2025, le chiffrement de ressources cloud d’une entité d’importance a provoqué une indisponibilité de services pour des clients professionnels et grand public en France. En octobre, une instance GitLab de RedHat a été compromise, exposant des données d’entités françaises. Le même mois, une solution SaaS sur AWS a été victime d’un rançongiciel.
Entre janvier et juin 2025, plusieurs sous-traitants de la BITD (Base Industrielle et Technologique de Défense) ont été compromis par des rançongiciels. Des informations potentiellement sensibles ont été exposées. L’ANSSI précise que ces attaques ne semblent pas coordonnées, mais elles rappellent l’urgence de sécuriser les sous-traitants critiques.
Point souvent sous-estimé : les mesures d’endiguement prises lors d’un incident chez un prestataire peuvent elles-mêmes aggraver la situation côté client, en coupant l’accès à des ressources critiques.
Des vulnérabilités massivement exploitées, des correctifs trop lentement appliqués
Les équipements de bordure – pare-feu, VPN, passerelles – restent la porte d’entrée préférée des attaquants. L’ANSSI a émis six alertes majeures en 2025, concernant Ivanti, Fortinet, Citrix et Microsoft SharePoint.
Un cas illustre bien le problème : un attaquant a exploité une vulnérabilité Fortinet connue depuis plusieurs mois pour prendre le contrôle total d’un pare-feu et restreindre les droits des administrateurs légitimes. Lors de ce seul signalement, le CERT-FR a constaté plus de 3 700 interfaces d’administration exposées en France.
Plus préoccupant encore : dans un incident traité par l’ANSSI, un attaquant a lui-même corrigé les vulnérabilités qu’il venait d’exploiter sur des équipements Ivanti, pour que les scans internes ne détectent rien. La gestion des correctifs ne peut donc plus se limiter à vérifier qu’un équipement apparaît « à jour ».
Fin 2025, plus de 6 200 actifs en France restaient affectés par des vulnérabilités majeures identifiées depuis 2023 et 2024.
Le spectre du sabotage se rapproche de l’Europe
L’édito de Vincent Strubel s’ouvre sur un signal d’alarme : les attaques informatiques coordonnées contre les infrastructures électriques polonaises fin 2025. Attribuées à des acteurs liés à la Russie, elles constituent une première pour un État membre de l’UE. L’objectif : provoquer des coupures d’électricité et de chauffage à grande échelle.
L’ANSSI y voit l’amorce du scénario auquel la France se prépare : une intensification massive, d’ici 2030, des attaques hybrides contre les infrastructures critiques. En parallèle, des groupes hacktivistes pro-russes comme Z-Pentest Alliance s’en prennent à des micro-installations industrielles en exploitant des automates exposés sans authentification. Les effets physiques restent limités, mais la stratégie est avant tout médiatique et psychologique.
La directive NIS 2 et le Cyber Resilience Act constituent les réponses réglementaires à cette escalade. L’ANSSI le rappelle : la mise en application des mesures de base décrites dans ces textes permettrait déjà de protéger une grande partie des entités françaises.
Ce que cela implique concrètement
Ce panorama ne décrit pas une explosion de la menace. Il montre une transformation profonde : des attaques plus furtives, plus hybrides, plus dépendantes des interconnexions entre organisations. La menace ne se présente plus sous la forme d’un exécutable suspect – elle se fond dans l’ordinaire du SI.
Les priorités qui en découlent sont connues mais trop rarement appliquées avec rigueur : cartographier les outils et flux légitimes au sein du SI, évaluer en continu la sécurité des prestataires, disposer de PCA/PRA testés et opérationnels, appliquer les correctifs sans délai sur les équipements exposés. Le rapport cite d’ailleurs un cas où un débranchement électrique précipité d’un data center a provoqué des perturbations durables – la gestion de crise ne s’improvise pas.
La conformité NIS 2, DORA, CRA n’est pas un exercice administratif. C’est un socle de mesures concrètes qui réduit mécaniquement la surface d’attaque.
Besoin d’un regard extérieur sur votre posture de sécurité ?
Ces constats, nos équipes les retrouvent au quotidien en mission. Si vous cherchez à objectiver votre niveau d’exposition ou à structurer votre feuille de route, parlons-en.