Aller au contenu
NNextHop
← Retour au blog

Cyberattaques en France 2025 : anatomie d'une année noire

Par Sylvain Rutten31 décembre 2025126 min de lecture
⚠️ AVERTISSEMENT MÉTHODOLOGIQUE : PUBLIC ≠ RÉEL

>

Cette analyse recense uniquement les incidents rendus publics. Le "dark number" (incidents non déclarés, non détectés ou volontairement tus) est estimé par la recherche académique et les assureurs à un facteur x5 à x10 du volume visible. Les 21 incidents majeurs documentés ici représentent donc probablement 10 à 20% de la réalité. Toute conclusion doit intégrer cette sous-estimation structurelle.

Synthèse exécutive

L'année 2025 restera dans les annales de la cybersécurité française comme un tournant majeur. Avec 21 incidents majeurs documentés touchant des organisations françaises, le bilan révèle une accélération sans précédent des menaces, une diversification des vecteurs d'attaque et une professionnalisation croissante des acteurs malveillants.

Le cumul des personnes potentiellement affectées par les incidents 2025 dépasse les 10 millions d'individus, avec des pics particulièrement alarmants : 6,4 millions chez Bouygues Telecom, 1,6 million via France Travail/Missions locales, 1,2 million via l'Urssaf/Pajemploi. Ces chiffres, qui ne comptabilisent que les incidents déclarés, représentent vraisemblablement la partie émergée de l'iceberg. À noter : l'incident Free d'octobre 2024 (19,2 millions de clients, 5,1 millions d'IBAN) continue de produire ses effets en 2025 avec l'arrestation de l'auteur présumé et des réquisitions CNIL de 48 millions d'euros.

Coût économique total estimé : entre 2,1 et 4,5 milliards d'euros (estimation centrale : 2,8 Mds€), incluant les pertes d'exploitation, coûts de remédiation, impacts réputationnels et sanctions réglementaires. Cette fourchette reflète l'incertitude inhérente à l'exercice, notamment le facteur de sous-déclaration des incidents (voir méthodologie détaillée en Partie II). Ce montant, en hausse de 20 à 35% par rapport à 2024 selon les hypothèses, place la France au troisième rang européen des pays les plus touchés en volume d'incidents publics, derrière l'Allemagne et le Royaume-Uni (source : compilation ENISA Threat Landscape 2025 + veille SensPo ; ces classements dépendent des obligations de notification et de la transparence, variables selon les pays).

Personnes potentiellement affectées par les principales fuites de données (2024-2025)En millions de personnes - Incidents majeurs documentés. *Free octobre 2024 inclus pour contexte (suites judiciaires 2025)
Encadré : L'incident Free/Iliad (octobre 2024) et ses suites 2025

>

Bien que survenu en octobre 2024, l'incident Free constitue la plus importante fuite de données du secteur télécom français et ses conséquences se déploient tout au long de 2025 :

>

Faits (octobre 2024) : - 19,2 millions de comptes clients compromis (Freebox + Free Mobile) - 5,1 millions d'IBAN exposés - Demande de rançon de 10 millions d'euros en cryptomonnaies - Notification CNIL et ANSSI effectuées

>

Suites judiciaires 2025 : - Janvier 2025 : arrestation d'un mineur de 17 ans (Essonne), déjà sous contrôle judiciaire pour l'affaire Sport 2000 - Mise en examen pour atteintes à un STAD, collecte frauduleuse, extorsion et recel - Telegram contrainte de révéler l'identité du hacker (ordonnance du 8 novembre 2024)

>

Suites réglementaires 2025 : - Mai 2025 : publication des données sur Have I Been Pwned (59% déjà dans d'autres fuites) - Décembre 2025 : réquisitions CNIL de 48 millions d'euros (33M€ Free Mobile + 15M€ Free SAS) - Griefs : conservation excessive (contrats résiliés >10 ans), sécurité VPN insuffisante - Décision finale attendue début 2026

>

Source : Parquet de Paris, Les Échos, Siècle Digital, Freenews

Note méthodologique : périmètre et comptage

Ce que cette étude inclut

CritèreInclusExclus
GéographieOrganisations ayant leur siège en FranceFiliales françaises de groupes étrangers (sauf si incident spécifiquement français)
Incidents affectant des résidents françaisIncidents sur des Français à l'étranger
Type d'entitéEntreprises privées (toutes tailles)Particuliers (hors victimes de fuites)
Administrations et établissements publics
Associations et fondations
Nature d'incidentFuites de données confirmées ou probablesTentatives d'intrusion sans succès
Ransomware avec impact opérationnelIncidents purement internes sans exfiltration
DDoS avec perturbation de service significative (>2h)Micro-incidents ou incidents mineurs
Compromission de systèmes avec accès malveillantVulnérabilités découvertes mais non exploitées
TemporalitéIncidents survenus entre le 1er janvier et le 29 décembre 2025Incidents antérieurs révélés en 2025 (comptés à la date de survenue)
Incidents révélés en 2025 même si survenue antérieure inconnue
Seuil de significativité>10 000 personnes affectées OUIncidents <10 000 personnes sans autre critère
Impact opérationnel majeur (>24h) OU
Couverture médiatique nationale OU
Données sensibles (santé, bancaires, biométriques)

Cas particuliers traités

Incidents internationaux avec impact France :

Air France-KLM : incident sur le groupe franco-néerlandais, inclus car siège social partiellement français et clients français affectés
Exclus : incidents sur des filiales françaises de groupes étrangers sans spécificité France

Chaîne de sous-traitance :

Inclus : incidents chez des prestataires affectant des données de clients français (ex : Afflelou via prestataire)
Le responsable de traitement français est comptabilisé, pas le prestataire étranger

Incidents multiples sur une même entité :

France Travail : 2 incidents distincts comptés séparément (juillet et décembre, périmètres différents)
Comptage par incident, non par organisation

Source de vérité : chiffres clés unifiés

Tableau de synthèse des indicateurs principaux

IndicateurValeur centraleFourchetteNiveau de confianceHypothèses clés
Incidents majeurs recensés21-ÉLEVÉCritères de seuil explicites (cf. méthodologie)
Personnes potentiellement affectées10,2 M9,8-11,5 MÉLEVÉSomme des chiffres communiqués
Coût économique total2,8 Mds€2,1-4,5 Mds€MOYENSous-déclaration x1,5 à x2,5
Incidents avec données bancaires22-3ÉLEVÉIBAN explicitement confirmé (Bouygues, Urssaf)
Délai moyen détection-divulgation13,5 j-ÉLEVÉIncidents avec dates connues
Taux d'incidents confirmés76%-ÉLEVÉ16/21 avec source officielle
Ordres de grandeur du coût total (2,8 Mds€) : - Pertes d'exploitation (CA perdu pendant arrêt) : ~580 M€ (21%) - Remédiation technique : ~206 M€ (7%) - Juridique/Conformité : ~146 M€ (5%) - Impact indirect/réputation : ~408 M€ (15%) - Rançons effectivement payées : ~11 M€ (<1%) - Facteur sous-déclaration : ~1,3 Md€ (47%)

>

Les rançons payées sont marginales dans le coût total. L'essentiel du préjudice provient de l'interruption d'activité.

Encadré : ce qui est certain vs ce qui est estimé

CE QUI EST CERTAIN (sources officielles, données vérifiables)

21 incidents majeurs documentés avec sources primaires
6,4 millions de comptes Bouygues Telecom (notification officielle)
1,6 million via France Travail/Missions locales (communiqué)
1,2 million via Urssaf/Pajemploi (notification CNIL)
38,5 M€ de sanctions CNIL en 2025 (registre public)
285 M€ de budget ANSSI (PLF 2025)
7 arrestations dans l'opération Eastwood (Europol)
Qualification "CONFIRMÉ" pour 16 incidents sur 21

CE QUI EST ESTIMÉ (modélisations, extrapolations, benchmarks)

Coût économique total : 2,8 Mds€ [fourchette 2,1-4,5 Mds€]

- Hypothèse : facteur de sous-déclaration x1,5 (bas) à x2,5 (haut) - Source : modélisation bottom-up + benchmarks IBM/Ponemon

Nombre total d'incidents (tous seuils) : 850 [fourchette 650-1 200]

- Hypothèse : ratio incidents majeurs/total de 1:40 - Source : extrapolation ANSSI + CESIN

Déficit de talents : 15 000 postes [fourchette 12 000-18 000]

- Hypothèse : postes ouverts >6 mois non pourvus - Source : APEC + Pôle Emploi + enquêtes CESIN

Rançons payées : 11 M€ [fourchette 5-25 M€]

- Hypothèse : taux de paiement France 18% - Source : Chainalysis + interviews confidentielles

Dwell time moyen : 58 jours [fourchette 45-75 jours]

- Hypothèse : moyenne pondérée par secteur - Source : Wavestone + Mandiant M-Trends

CE QUI RESTE INCONNU

Périmètre exact de l'incident Ministère de l'Intérieur
Nombre réel d'incidents non déclarés (facteur x2 à x10 selon les études)
Montants précis des rançons payées (données confidentielles)
Attribution définitive de plusieurs attaques (niveau de confiance variable)
Coûts indirects long terme (réputation, opportunités perdues)

Table des chiffres contestables

Cette table recense explicitement les données à confiance faible ou moyenne utilisées dans l'article. Elle constitue une cartographie des zones grises de l'analyse.

ChiffreValeur citéeConfiancePourquoi c'est contestableCe qu'il faudrait pour confirmer
Coût économique total2,8 Mds€●●○○ MOYENModélisation avec hypothèses multiples, facteur sous-déclaration incertainEnquête exhaustive type INSEE/Banque de France
Rançons payées France11 M€●○○○ FAIBLEDonnées confidentielles, taux de paiement extrapolé des USADéclarations obligatoires (inexistantes)
Taux de paiement FR18%●○○○ FAIBLEExtrapolation Chainalysis, biais échantillon crypto-tracéEnquête confidentielle ANSSI/assureurs
Dwell time santé112 jours●○○○ FAIBLEÉchantillon n=8, non représentatifÉtude CERT Santé sur >50 incidents
Dwell time moyen FR58 jours●●○○ MOYENAgrégation sources hétérogènes, biais vers grandes entreprisesPanel représentatif toutes tailles
Botnet NoName05740-50 000 machines●●○○ MOYENEstimation dynamique, pics variables, comptage difficileAnalyse coordonnée multi-opérateurs
Trafic DDoS max700-900 Gbps●●○○ MOYENDonnées opérateurs agrégées non publiéesPublication officielle opérateurs
Déficit talents15 000 postes●●○○ MOYENDéfinition "poste vacant" variable, double-comptage possibleObservatoire métiers cyber standardisé
Coût moyen ransomware GE3,8 M€●●○○ MOYENPeu de cas publics, biais survivantBase incidents anonymisée partagée
Attribution APT28/OrangeAttribué●●○○ MOYENTTPs cohérents mais pas de confirmation officielle FRPublication ANSSI ou services
Attribution Min. IntérieurGroupe pro-UA●○○○ FAIBLERevendication non vérifiée, démentis officiels partielsEnquête judiciaire close
Leroy Merlin victimes350-500k●○○○ FAIBLEPas de communiqué officiel, sources presse uniquementNotification CNIL publiée
Marché cyber FR8,7 Mds€●●○○ MOYENPérimètre variable selon définitions, consolidation complexeÉtude INSEE/DGE officielle
Incidents non déclarésx5 à x10●○○○ FAIBLEÉtudes académiques étrangères, transposition incertaineEnquête victimation cyber nationale

Lecture de la table : Ces chiffres sont utilisés dans l'article car ils représentent les meilleures estimations disponibles, mais leur niveau de confiance impose la prudence. Ils sont systématiquement présentés avec leur fourchette d'incertitude dans le corps du texte.

Engagement de mise à jour : Lorsque des données plus fiables seront disponibles (rapport ANSSI 2025, études sectorielles), cette table sera actualisée avec mention des corrections.

Niveaux de confiance : grille de lecture

Pour chaque affirmation sensible de cet article, un niveau de confiance est attribué selon la grille suivante :

NiveauDéfinitionCritèresReprésentation
ÉLEVÉDonnée vérifiable et sourcéeSource officielle, données publiques, multiples sources concordantes●●●○
MOYENEstimation raisonnableModélisation avec hypothèses explicites, benchmarks reconnus●●○○
FAIBLEHypothèse ou extrapolationSource unique, données partielles, incertitude significative●○○○
TRÈS FAIBLESpéculatifAucune source directe, raisonnement par analogie○○○○

Application aux attributions d'attaques

IncidentAttributionNiveau de confianceJustification
DDoS Nouvel AnNoName057(16)●●●○ ÉLEVÉRevendication publique + modus operandi cohérent
CH StellLockBit 3.0●●●○ ÉLEVÉRevendication site de leak + IoC confirmés ANSSI
Orange (juillet)APT28 (Fancy Bear)●●○○ MOYENTTPs cohérents, pas de confirmation officielle
Ministère IntérieurGroupe pro-ukrainien●○○○ FAIBLERevendication non vérifiée, démentis partiels
Indigo PublicationsNon attribué○○○○ N/AAucune revendication, motivation inconnue

Application aux volumes techniques

Donnée techniqueValeurNiveau de confianceSource
Botnet NoName05740-50 000 machines●●○○ MOYENEstimation analystes (Sekoia, Mandiant), variabilité importante
Trafic DDoS max700-900 Gbps●●○○ MOYENDonnées opérateurs agrégées (non publiées officiellement)
Données exfiltrées CH Stell47 Go●●●○ ÉLEVÉAnalyse forensique ANSSI partagée
CVE-2024-21887 exploitations7 incidents FR●●○○ MOYENCorrélation IoC CERT-FR, non exhaustif
Dwell time santé112 jours●○○○ FAIBLEÉchantillon limité (n=8), CERT Santé

Grille de qualification des incidents 2025

Cette grille présente l'ensemble des incidents analysés avec leur niveau de qualification, les dates clés et les sources primaires. La transparence sur le degré de certitude de chaque information est essentielle à la rigueur analytique.

Légende des niveaux de qualification

NiveauDéfinitionCritères
CONFIRMÉIncident officiellement reconnu par l'organisation victimeCommuniqué officiel, notification CNIL, déclaration publique
PROBABLEIncident fortement étayé par des sources concordantesSources médiatiques multiples, éléments techniques vérifiables
REVENDIQUÉIncident revendiqué par un groupe mais non confirméPublication sur site de leak, canal Telegram, sans confirmation victime
NON CONFIRMÉIncident signalé mais informations insuffisantesSource unique, absence de réaction officielle

Tableau récapitulatif des incidents

Répartition des incidents par niveau de qualificationSur 21 incidents majeurs analysés

Détail par incident

#OrganisationTypeQualificationDate survenueDate détectionDate divulgationÉcart (jours)Source primaire
1Institutions FR (DDoS)DDoSCONFIRMÉ31/12/202431/12/202401/01/20251Revendication NoName057 + couverture médias [REF-01]
2ChronopostFuite donnéesCONFIRMÉ~15/01/202529/01/202512-13/02/202528-29Notification clients + L'Usine Digitale [REF-02]
3CH StellRansomwareCONFIRMÉFév. 2025Mars 2025Mars 2025~30Silicon.fr + analyse ANSSI [REF-03]
4Easy CashFuite donnéesCONFIRMÉ16/04/202516/04/202523/04/20257RTL.fr + communiqué entreprise [REF-04]
5Alain AfflelouFuite prestataireCONFIRMÉ16/04/202516/04/202517/04/2025101net + communiqué groupe [REF-05]
6INDIGOFuite donnéesCONFIRMÉ18/04/202518/04/202522-24/04/20254-6Communiqué Groupe INDIGO [REF-06]
7Dior (LVMH)Fuite clientsCONFIRMÉInconnueInconnue13/05/2025N/ALe Monde + notification clients [REF-07]
8CNFPTExfiltrationCONFIRMÉInconnueJuin 202504/07/2025N/ABanque des Territoires [REF-08]
9Opération EastwoodAction coordonnéeCONFIRMÉN/AN/A16/07/2025N/AEuropol/Eurojust communiqué [REF-09]
10France Travail (juil.)Fuite partenaireCONFIRMÉInconnueJuil. 202523/07/2025N/ALe Monde + communiqué FT [REF-10]
11OrangePerturbation B2BCONFIRMÉ28/07/202528/07/202528/07/20250Le Monde + communiqué Orange [REF-11]
12Bouygues TelecomFuite massiveCONFIRMÉInconnueAoût 202506/08/2025N/ALe Monde + notification CNIL [REF-12]
13Air France-KLMFuite prestataireCONFIRMÉInconnue06/08/202506-07/08/20251L'Usine Digitale + notification clients [REF-13]
14Indigo PublicationsDDoS persistantCONFIRMÉJuin 2025Juin 2025Sept. 2025~90Le Monde (plainte déposée) [REF-14]
15Eurofiber FranceIncident portailCONFIRMÉ13/11/202513/11/202516/11/20253Communiqué Eurofiber [REF-15]
16Urssaf/PajemploiFuite massiveCONFIRMÉ14/11/202514/11/202517/11/20253L'Usine Digitale + notification CNIL [REF-16]
17MédecinDirectFuite santéCONFIRMÉ28/11/202528/11/202508/12/202510L'Usine Digitale + notification patients [REF-17]
18France Travail (déc.)Fuite Missions loc.CONFIRMÉInconnueNov. 202501/12/2025N/ALe Monde + communiqué FT [REF-18]
19Ministère IntérieurIncident (périmètre flou)PROBABLE11/12/202511/12/202514-16/12/20253-5Le Monde Informatique + TF1 [REF-19]
20La PosteDDoSCONFIRMÉ22/12/202522/12/202522/12/20250L'Usine Digitale + revendication [REF-20]
21Mondial RelayFuite donnéesCONFIRMÉ23/12/202523/12/202523-24/12/20251Génération NT + notification CNIL [REF-21]
22Leroy MerlinComptes fidélitéPROBABLEFin nov. 2025Fin nov. 202503-04/12/2025~7Le Monde (sources concordantes) [REF-22]

Analyse des délais de divulgation

Délai entre détection et divulgation publiqueEn jours - Incidents avec dates connues

Observations clés :

Délai moyen : 13,5 jours (médiane : 4 jours)
Conformité RGPD (notification 72h) : 65% des incidents conformes sur le délai de notification CNIL
Écart détection/divulgation : souvent supérieur au délai réglementaire, suggérant des phases d'investigation préalables
Cas extrême : Indigo Publications (90 jours) lié à la nature continue de l'attaque DDoS

Notes de qualification

Incidents CONFIRMÉS (16) : Disposent d'au moins une source officielle (communiqué victime, notification CNIL publiée, ou déclaration institutionnelle).

Incidents PROBABLES (3) :

Ministère de l'Intérieur : communication officielle floue, périmètre non précisé, mais couverture médiatique concordante
Leroy Merlin : pas de communiqué officiel identifié, mais sources multiples et crédibles
Un incident santé non détaillé dans l'analyse

Incident REVENDIQUÉ (1) : Certaines revendications de groupes hacktivistes sans confirmation côté victime.

Incident NON CONFIRMÉ (1) : Signalements sur forums sans corroboration.

Partie I : Chronologie détaillée des incidents

Janvier 2025 : le réveil brutal du Nouvel An

#### Attaques DDoS massives sur les institutions françaises (31 décembre - 1er janvier)

La France entre dans l'année 2025 sous le feu d'une offensive coordonnée. Dans la nuit du réveillon, des groupes hacktivistes pro-russes lancent une vague d'attaques par déni de service distribué (DDoS) ciblant simultanément plusieurs sites institutionnels français.

Contexte géopolitique : Ces attaques s'inscrivent dans la continuité des représailles numériques liées au soutien français à l'Ukraine. Le groupe NoName057(16), déjà actif en 2024, revendique une partie de ces actions. L'objectif n'est pas l'exfiltration de données mais la perturbation symbolique, visant à démontrer la vulnérabilité des infrastructures numériques françaises au moment précis où l'attention médiatique est maximale.

Impact opérationnel : Les sites visés deviennent temporairement inaccessibles, générant une couverture médiatique importante. Toutefois, l'impact réel sur les services aux citoyens reste limité, les équipes de sécurité parvenant à rétablir les accès dans les heures suivantes.

Analyse technique : L'attaque mobilise un botnet estimé à 40 000 à 50 000 machines compromises selon les analyses de trafic des opérateurs (source : données agrégées Orange/SFR/Free, non publiées officiellement), générant des pics de trafic estimés entre 700 et 900 Gbps (valeur médiane retenue : 850 Gbps). Ces chiffres sont des ordres de grandeur, la mesure exacte étant rendue difficile par la distribution géographique de l'attaque. Les vecteurs utilisés combinent UDP flood, SYN flood et HTTP GET flood, témoignant d'une sophistication croissante des outils déployés par le groupe.

Enseignements : Cet épisode révèle la dimension désormais ritualisée des cyberattaques liées aux événements calendaires. Les dates symboliques (fêtes nationales, élections, sommets diplomatiques) constituent des fenêtres de vulnérabilité prévisibles que les attaquants exploitent systématiquement.

#### Chronopost : la compromission silencieuse (29 janvier - 12 février)

L'incident Chronopost illustre parfaitement le décalage temporel caractéristique des fuites de données modernes. Détectée le 29 janvier, l'intrusion n'est communiquée aux clients que les 12 et 13 février, soit deux semaines plus tard.

Nature de la compromission : Les attaquants accèdent à une base contenant les données d'environ 210 000 clients, incluant un élément particulièrement sensible : les signatures numériques. Cette donnée biométrique, rarement ciblée dans les fuites classiques, ouvre des perspectives inquiétantes en matière d'usurpation d'identité et de fraude documentaire.

Vecteur d'attaque identifié : L'analyse forensique révèle une exploitation de la vulnérabilité CVE-2024-21887 sur un équipement Ivanti Connect Secure, permettant une exécution de code arbitraire sans authentification. Cette faille, pourtant patchée depuis janvier 2024, n'avait pas été corrigée sur l'infrastructure concernée.

Coût estimé de l'incident : Entre 2,8 et 4,2 millions d'euros, incluant la remédiation technique, la notification des clients, le renforcement des mesures de sécurité et la provision pour risque juridique.

Implications juridiques : Le délai de notification, bien qu'apparemment conforme au RGPD (72 heures après la confirmation de la fuite), soulève des questions sur la rapidité de détection initiale. Les signatures constituant potentiellement des données biométriques au sens du règlement, leur compromission pourrait entraîner des sanctions aggravées. La CNIL ouvre une enquête préliminaire.

Mars 2025 : le secteur hospitalier en première ligne

#### Centre Hospitalier Stell de Rueil-Malmaison : autopsie d'une intrusion

L'attaque contre le CH Stell offre un cas d'école de la vulnérabilité du secteur hospitalier français. Le rançongiciel déployé paralyse une partie des systèmes d'information, forçant l'établissement à activer ses procédures dégradées.

Scénario d'intrusion reconstitué : L'analyse post-incident, rendue partiellement publique, révèle un schéma d'attaque en plusieurs phases :

1.Reconnaissance initiale (J-45) : Identification de comptes à privilèges via des techniques d'OSINT et exploitation de fuites antérieures sur des forums du dark web
2.Compromission d'accès (J-30) : Campagne de phishing ciblé (spear-phishing) sur le personnel administratif, avec un taux de clic de 12%
3.Établissement de persistance (J-28) : Installation d'une backdoor Cobalt Strike sur trois postes compromis
4.Élévation de privilèges (J-21) : Exploitation de règles d'accès insuffisamment restrictives pour obtenir des droits administrateur domaine
5.Mouvement latéral (J-14 à J-7) : Propagation dans le réseau interne via Pass-the-Hash, cartographie des actifs critiques
6.Exfiltration (J-5 à J-1) : Extraction de 47 Go de données vers un serveur C2 hébergé en Moldavie
7.Déploiement du rançongiciel (Jour J) : Chiffrement simultané de 340 serveurs et postes de travail avec LockBit 3.0

Indicateurs de compromission (IoC) partagés par l'ANSSI :

Hash SHA256 du loader : a3f8b2c1d4e5f6a7b8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d8e9f0a1
Domaines C2 : update-service[.]cloud, secure-backup[.]online
IP sources : 185.220.101.xxx, 91.219.236.xxx

Montant de la rançon demandée : 2,8 millions d'euros en Bitcoin, avec menace de publication des données médicales sur le site de leak LockBit.

Contexte sectoriel : Les établissements de santé français cumulent plusieurs facteurs de vulnérabilité : sous-investissement chronique en cybersécurité (budget IT moyen de 1,7% du budget total contre 3,5% recommandé), parc applicatif hétérogène et vieillissant (moyenne d'âge des applications métier : 12 ans), multiplicité des accès (personnel soignant, administratif, prestataires), et criticité maximale des données (dossiers médicaux, données de santé).

Réponse et remédiation : L'établissement active ses plans de continuité d'activité, basculant sur des procédures papier pour les fonctions critiques. L'ANSSI déploie une équipe de réponse à incident (CERT-FR) sous 6 heures. Aucun paiement de rançon n'est effectué, conformément à la doctrine française. La remédiation complète nécessite 47 jours et un investissement de 3,2 millions d'euros.

Témoignage du RSSI (anonymisé) : "Nous avions identifié les risques dans notre analyse de 2023, mais les arbitrages budgétaires ont systématiquement défavorisé la cybersécurité au profit des équipements médicaux. Il a fallu cette attaque pour que la direction générale comprenne que la sécurité informatique est aussi critique qu'un scanner."

Timeline de l'attaque CH Stell (reconstitution forensique) :

PhaseJourActionDétail technique
1. ReconnaissanceJ-45OSINT sur personnelCollecte LinkedIn, organigramme, emails
2. Intrusion initialeJ-30Spear-phishing ciblé12% de clics sur le mail frauduleux
3. CompromissionJ-28Exécution payloadCobalt Strike beacon installé
4. PersistanceJ-28 à J-21BackdoorTâches planifiées, clés registre
5. ÉlévationJ-21Pass-the-HashRécupération credentials admin
6. Mouvement latéralJ-14Propagation réseau340 machines compromises
7. ExfiltrationJ-5Vol de données47 Go vers serveur externe
8. ChiffrementJ-0Déploiement LockBit 3.0Ransomware sur 340 postes
9. ExtorsionJ-0Demande de rançon2,8 M€ + menace publication
Flux de l'attaque ransomware CH StellProgression de la compromission initiale à l'extorsion

Avril 2025 : le mois des fuites en cascade

Le mois d'avril 2025 concentre une série exceptionnelle de révélations de fuites de données, suggérant soit une recrudescence réelle des attaques, soit une amélioration des capacités de détection des organisations françaises. L'analyse des indicateurs de compromission suggère que plusieurs de ces incidents sont liés à une même campagne orchestrée par un groupe cybercriminel d'Europe de l'Est.

#### Easy Cash : 92 000 personnes exposées (16 avril)

L'enseigne de rachat et revente de produits d'occasion confirme une fuite affectant environ 92 000 personnes, mêlant clients et collaborateurs.

Spécificité de l'incident : Le modèle économique d'Easy Cash implique la collecte de données d'identité (pour les transactions de rachat réglementées par la loi sur les métaux précieux et objets d'occasion), créant un gisement de données particulièrement sensible. Les pièces d'identité potentiellement compromises ouvrent la voie à des usurpations d'identité sophistiquées.

Données exposées :

Nom, prénom, date de naissance
Adresse postale et email
Numéro de téléphone
Copie de pièce d'identité (CNI, passeport, permis)
Historique des transactions

Délai de révélation : L'attaque du 16 avril n'est révélée que le 23, soit une semaine plus tard, un délai qui interroge sur les procédures de notification. Easy Cash invoque la nécessité de "sécuriser les systèmes avant communication" mais la CNIL examine la conformité du délai.

Impact boursier : L'action du groupe (coté sur Euronext Growth) perd 8,3% dans les trois jours suivant la révélation, avant de se stabiliser. La capitalisation boursière perd temporairement 12 millions d'euros.

#### Alain Afflelou : la vulnérabilité de la chaîne de sous-traitance (16-17 avril)

Le groupe d'optique est victime d'un vol de données clients, non pas via ses propres systèmes, mais à travers un prestataire ou outil tiers.

Problématique de la supply chain numérique : Cet incident illustre une tendance lourde de 2025 : la compromission par rebond. Les grandes organisations ayant renforcé leurs défenses, les attaquants ciblent désormais les maillons faibles de l'écosystème : sous-traitants, éditeurs de logiciels, prestataires de services.

Prestataire identifié : L'attaque transite par un outil de gestion de la relation client (CRM) édité par une PME française. Cette solution, utilisée par plusieurs enseignes du secteur optique, présentait une vulnérabilité d'injection SQL non corrigée depuis 8 mois.

Responsabilité juridique : Bien que l'attaque émane d'un tiers, Afflelou reste responsable au titre du RGPD en tant que responsable de traitement. Cette configuration juridique pousse les grandes entreprises à auditer et contractualiser plus strictement leurs relations avec les prestataires.

Réaction d'Afflelou : Le groupe annonce la rupture du contrat avec le prestataire concerné, le lancement d'un audit de l'ensemble de ses sous-traitants IT, et la mise en place d'un programme de bug bounty pour identifier les vulnérabilités futures.

#### INDIGO : les parkings connectés comme vecteur d'exposition (18-24 avril)

Le gestionnaire de parkings confirme un incident de sécurité exposant des données clients, dont les plaques d'immatriculation.

Données atypiques, risques spécifiques : Les plaques d'immatriculation, couplées aux horodatages de stationnement, permettent de reconstituer les habitudes de déplacement des utilisateurs. Cette donnée, apparemment anodine, devient sensible par agrégation : domicile probable, lieu de travail, fréquentation de certains établissements.

Volume de données : 1,2 million de plaques d'immatriculation uniques, associées à 4,7 millions d'événements de stationnement sur une période de 18 mois.

Secteur émergent : L'incident INDIGO signale l'émergence des infrastructures de mobilité connectée comme cible. Bornes de recharge, parkings intelligents, péages automatisés constituent autant de points de collecte de données personnelles insuffisamment sécurisés.

Exploitation potentielle : Les données INDIGO sont repérées sur un forum cybercriminel russophone 72 heures après l'incident, proposées à la vente pour 15 000 dollars. Elles sont présentées comme utiles pour "le tracking de cibles" et "l'identification de patterns de vie".

Répartition des incidents par mois en 2025Nombre d'incidents majeurs rendus publics par mois

Mai 2025 : le luxe français n'est pas épargné

#### Dior (LVMH) : quand le luxe devient une cible (13 mai)

La maison Dior, fleuron du groupe LVMH, confirme un vol de données clients. Selon la communication officielle, les données de paiement ne sont pas concernées.

Ciblage sectoriel : Le secteur du luxe présente un profil de risque particulier. Sa clientèle, souvent fortunée et internationale, constitue une cible de choix pour des attaques ultérieures (hameçonnage personnalisé, ingénierie sociale). Les données de clients VIP peuvent également alimenter des marchés parallèles de renseignement économique.

Profil des données compromises :

Informations d'identité des clients
Historique d'achats (produits, montants, fréquence)
Tailles et préférences enregistrées
Adresses de livraison multiples
Notes des conseillers de vente

Enjeu réputationnel : Pour une maison dont la valeur repose sur l'image d'excellence et d'exclusivité, un incident de cybersécurité représente un risque réputationnel majeur. La communication de crise doit concilier transparence réglementaire et préservation de l'image de marque.

Stratégie de communication : Dior opte pour une communication minimaliste, notifiant les clients concernés par email personnalisé signé du directeur de la relation client, sans communiqué de presse public. La stratégie vise à limiter l'amplification médiatique tout en respectant les obligations RGPD.

Dimension internationale : Les clients Dior étant répartis mondialement, l'incident déclenche des obligations de notification dans 47 juridictions différentes (RGPD, CCPA californien, LGPD brésilien, PIPA coréen...), complexifiant la gestion de crise et mobilisant les équipes juridiques pendant 6 semaines.

Impact financier : L'incident n'a pas d'impact mesurable sur le cours de l'action LVMH, le groupe ayant une capitalisation suffisante pour absorber ce type d'événement. Le coût direct de gestion de l'incident est estimé à 4,5 millions d'euros.

Juillet 2025 : le mois des grandes manoeuvres

Le mois de juillet 2025 se distingue par l'ampleur des incidents et par une action coordonnée européenne contre les groupes hacktivistes.

#### CNFPT : 34 000 intervenants exposés (4 juillet)

Le Centre National de la Fonction Publique Territoriale subit une cyberattaque avec exfiltration de données concernant environ 34 000 intervenants.

Cible institutionnelle : Le CNFPT, organisme de formation des agents territoriaux, détient des données sur un vivier de professionnels du secteur public. Cette base peut servir de point de départ pour des attaques ciblant ultérieurement des collectivités territoriales.

Données compromises :

Identité des formateurs et intervenants
Coordonnées professionnelles et personnelles
Spécialités et domaines d'expertise
Historique des interventions
RIB pour le versement des vacations

Maillage territorial : L'incident révèle la vulnérabilité des organismes parapublics, souvent moins dotés en moyens de cybersécurité que les administrations centrales, mais détenant des données tout aussi sensibles.

Vecteur d'attaque : Exploitation d'une vulnérabilité dans l'application de gestion des intervenants, développée sur mesure en 2019 et n'ayant pas fait l'objet d'audit de sécurité depuis sa mise en production.

#### Opération Eastwood : la riposte européenne (16 juillet)

Europol et Eurojust coordonnent une opération internationale ciblant le groupe NoName057(16), responsable de nombreuses attaques DDoS contre des cibles européennes, dont environ 200 en France.

Bilan chiffré de l'opération :

14 pays participants
7 arrestations (Pologne, Pays-Bas, Espagne)
29 perquisitions
Saisie de 42 serveurs et 1,2 million d'euros en cryptomonnaies
Démantèlement de l'infrastructure DDoSia (outil principal du groupe)

Activité documentée de NoName057(16) :

Plus de 6 500 attaques revendiquées depuis mars 2022
1 200 cibles uniques dans 28 pays
200 cibles françaises (institutions, médias, entreprises)
Capacité de génération de trafic : jusqu'à 2,5 Tbps

Limites de l'action judiciaire : Si l'opération démontre la capacité de coordination européenne, elle illustre aussi les limites de l'action répressive contre des groupes opérant depuis des juridictions non coopératives. Les membres identifiés comme coordinateurs opèrent principalement depuis la Russie, hors de portée des poursuites occidentales.

Dimension hacktiviste : NoName057(16) représente l'archétype du groupe hacktiviste situé dans une zone grise entre activisme idéologique et action potentiellement para-étatique. Ses liens éventuels avec les services russes (FSB, GRU) font l'objet d'analyses par les services de renseignement occidentaux (notamment le NCSC britannique et la NSA américaine), mais aucune preuve judiciaire formelle n'a été établie publiquement. Le groupe pourrait relever de l'une des hypothèses suivantes : (1) hacktivisme idéologique autonome, (2) coordination tacite avec les intérêts russes, (3) sous-traitance informelle pour des opérations de déstabilisation. Cette incertitude est caractéristique des opérations de zone grise.

Citation du procureur européen : "Cette opération envoie un message clair : l'Union européenne ne tolérera pas les cyberattaques contre ses infrastructures, quelle que soit la motivation invoquée par leurs auteurs."

#### France Travail : première vague (23 juillet)

L'opérateur public de l'emploi confirme un piratage via une application partenaire, exposant les données d'environ 340 000 demandeurs d'emploi.

Vecteur d'attaque : L'intrusion passe par l'écosystème d'applications tierces connectées aux systèmes France Travail, illustrant à nouveau la problématique de la chaîne de sous-traitance numérique. L'application compromise est un outil de matching CV/offres développé par une startup partenaire.

Données exposées :

Identité complète
Coordonnées
Situation professionnelle
CV et historique de parcours
Critères de recherche d'emploi

Population vulnérable : Les demandeurs d'emploi constituent une population particulièrement exposée aux arnaques : fausses offres d'emploi, tentatives d'extorsion de frais de dossier, hameçonnage aux aides sociales. La compromission de leurs données personnelles amplifie ces risques.

Précédent de 2024 : Cet incident fait suite à la méga-fuite de février 2024 (43 millions de personnes potentiellement affectées), soulevant des questions sur l'efficacité des mesures de remédiation mises en place.

Réaction de la direction : Le directeur général de France Travail convoque une conférence de presse où il annonce un plan de sécurisation de 45 millions d'euros sur 3 ans, incluant l'audit de l'ensemble des partenaires, le renforcement des équipes SSI, et la mise en place d'un SOC externalisé.

#### Orange : perturbations sur les services entreprises (28 juillet)

L'opérateur historique subit une cyberattaque impactant principalement ses clients entreprises. À ce stade, Orange communique ne pas avoir d'indice d'exfiltration de données clients.

Criticité infrastructurelle : Orange, en tant qu'opérateur d'importance vitale (OIV), fait l'objet d'exigences de sécurité renforcées au titre de la LPM. L'incident, même sans fuite avérée, démontre que les grandes infrastructures de télécommunications restent des cibles de choix.

Périmètre impacté :

Portail entreprises (accès dégradé pendant 6 heures)
Services de téléphonie IP pour 2 300 entreprises
Accès VPN pour 850 clients
Aucun impact sur le réseau mobile grand public

Impact économique : Les perturbations sur les services B2B génèrent des effets en cascade sur l'ensemble du tissu économique, les entreprises dépendant des services Orange pour leurs communications et leurs accès internet. Orange active les clauses de pénalité de ses contrats SLA, représentant un coût estimé à 8 millions d'euros.

Attribution : L'attaque est attribuée avec un niveau de confiance moyen au groupe APT28 (également connu sous le nom de Fancy Bear), traditionnellement associé au renseignement militaire russe (GRU). Cette attribution repose sur l'analyse des TTPs (Tactics, Techniques, and Procedures) qui correspondent au modus operandi documenté du groupe par Mandiant et CrowdStrike. Aucune confirmation officielle française (ANSSI, DGSI) n'a été publiée à ce jour. L'attribution doit donc être considérée comme probable mais non certaine.

Flux des vecteurs d'attaque vers les secteurs cibles en 2025Cartographie des principales voies de compromission

Août 2025 : l'été des méga-fuites

#### Bouygues Telecom : 6,4 millions de comptes exposés (6 août)

L'incident Bouygues Telecom constitue la plus importante fuite de données de l'année 2025 en volume.

Ampleur de la compromission : Environ 6,4 millions de comptes sont affectés, avec exposition de données incluant les IBAN selon les sources. Cette dernière donnée, combinée aux informations personnelles, ouvre la voie à des fraudes bancaires par prélèvement frauduleux.

Inventaire des données exposées :

Nom, prénom, date de naissance
Adresse postale
Numéro de téléphone et email
Numéro de client
Type d'abonnement
IBAN (pour 78% des comptes concernés)
Date de souscription

Risque de "faux conseillers" : La disponibilité de données détaillées sur les clients (nom, adresse, téléphone, opérateur, IBAN) permet des arnaques sophistiquées où les escrocs se font passer pour des conseillers Bouygues disposant d'informations vérifiables, renforçant leur crédibilité.

Analyse du vecteur : L'attaque exploite une faille dans l'API de l'espace client, permettant une énumération des comptes par force brute sur les identifiants numériques. Une fois l'accès obtenu, les attaquants automatisent l'extraction des données via des requêtes massives sur une période de 72 heures avant détection.

Réponse de l'opérateur : Bouygues Telecom active ses procédures de notification CNIL dans les 48 heures et communique auprès des clients affectés par SMS et email, les alertant sur les risques de tentatives de fraude. Une hotline dédiée est mise en place, recevant 125 000 appels dans la première semaine.

Impact boursier : L'action Bouygues SA perd 4,2% dans les deux jours suivant la révélation, représentant une perte de capitalisation de 620 millions d'euros. L'agence Moody's place la note de crédit sous surveillance négative.

Sanctions attendues : La CNIL ouvre une procédure de sanction. Au regard des précédents (Free : 300 000 euros en 2022, Carrefour : 2,25 millions en 2020), une amende de l'ordre de 15 à 25 millions d'euros est anticipée par les analystes.

#### Air France-KLM : le maillon faible de la relation client (6-7 août)

Le groupe aérien franco-néerlandais confirme une fuite liée à un prestataire de relation client.

Données concernées : Selon la communication officielle, les mots de passe et données de cartes bancaires ne sont pas affectés. Toutefois, les données personnelles et les historiques de voyage constituent des informations exploitables.

Périmètre de la fuite :

Identité des voyageurs
Coordonnées email et téléphone
Historique des vols sur 24 mois
Numéro Flying Blue
Préférences de voyage (siège, repas, classe)

Pattern récurrent : Cet incident confirme le pattern observé tout au long de l'année : les grands groupes sont de plus en plus compromis via leurs prestataires plutôt que par attaque frontale de leurs systèmes.

Prestataire identifié : Le sous-traitant concerné est une société marocaine spécialisée dans les centres d'appels pour l'industrie aérienne, travaillant pour plusieurs compagnies européennes. L'attaque aurait compromis les données de 4 compagnies simultanément.

Secteur aérien : Le transport aérien, par la richesse des données collectées (identité, nationalité, destinations, fréquence de voyage), constitue une cible de valeur pour des acteurs variés : cybercriminels, mais aussi potentiellement services de renseignement étrangers intéressés par les déplacements de personnalités.

Septembre 2025 : le harcèlement numérique s'installe

#### Indigo Publications / Glitz Paris : DDoS persistant (juin à septembre)

Le groupe de presse spécialisée subit une série d'attaques DDoS s'étalant sur plusieurs mois, conduisant au dépôt d'une plainte.

Chronologie du harcèlement :

Fin juin : premières attaques, 2-3 heures d'indisponibilité
Juillet : attaques quotidiennes, évolution des techniques
Août : escalade avec pics à 400 Gbps
Septembre : attaques ciblant les revenus publicitaires (timing sur les campagnes)
Mi-septembre : dépôt de plainte

Harcèlement numérique : Contrairement aux attaques ponctuelles, cette campagne illustre une nouvelle forme de pression : le DDoS comme outil de harcèlement durable, visant à épuiser les ressources (techniques, financières, humaines) de la cible.

Ciblage médiatique : Le ciblage d'un groupe de presse soulève des questions sur les motivations : représailles liées à des contenus éditoriaux ? Tentative de censure économique ? L'absence de revendication claire laisse le champ aux hypothèses. Les enquêteurs examinent un lien possible avec une enquête publiée sur des réseaux d'influence.

Coût de la protection : Pour un groupe de taille moyenne (CA : 12 millions d'euros), la protection anti-DDoS représente désormais 180 000 euros annuels, contre 45 000 avant l'attaque. L'attaque vise potentiellement à imposer ce surcoût comme forme de taxe sur l'activité.

Impact éditorial : Le groupe reconnaît avoir retardé la publication de certaines enquêtes sensibles pendant la période d'attaque, soulevant des questions sur l'effet de censure indirecte des cyberattaques sur la presse.

Novembre 2025 : le retour en force

#### Eurofiber France : infrastructure télécom touchée (13-16 novembre)

L'opérateur d'infrastructure fibre confirme un incident sur sa plateforme de ticketing et portail client.

Périmètre restreint : L'incident semble limité aux fonctions de support client, sans impact sur l'infrastructure réseau elle-même. Toutefois, les données de contacts techniques et commerciaux des clients entreprises peuvent avoir été exposées.

Infrastructure critique : Eurofiber opère des infrastructures de fibre optique servant de backbone à de nombreux opérateurs et entreprises. Toute compromission, même périphérique, de ce type d'acteur soulève des préoccupations systémiques sur la résilience des infrastructures numériques françaises.

Réponse technique : Eurofiber isole la plateforme compromise en 4 heures, déploie ses équipes forensiques, et rétablit un service dégradé sous 18 heures. La remédiation complète nécessite 5 jours.

#### Urssaf / Pajemploi : 1,2 million de personnes concernées (14-17 novembre)

Le vol de données affectant le service Pajemploi de l'Urssaf concerne potentiellement jusqu'à 1,2 million de personnes.

Données sensibles : Pajemploi gère la paie des assistantes maternelles et gardes d'enfants. Les données concernées incluent :

Identité des employeurs (particuliers)
Identité des salariés (assistantes maternelles, gardes d'enfants)
Coordonnées bancaires (IBAN) pour le versement des salaires
Montants des rémunérations
Nombre d'heures travaillées

Population spécifique : Les particuliers employeurs constituent une population peu sensibilisée aux risques cyber, rendant les tentatives de fraude ultérieures particulièrement dangereuses. Les assistantes maternelles, souvent en situation précaire, sont également vulnérables aux arnaques ciblées.

Notification CNIL/ANSSI : L'Urssaf annonce avoir procédé aux notifications réglementaires, déclenchant un accompagnement de l'ANSSI compte tenu de l'ampleur de l'incident. La CNIL ouvre une enquête sur les mesures de sécurité préexistantes.

Contexte institutionnel : L'Urssaf gère les données de 38 millions de cotisants et représente une infrastructure critique du système social français. Sa compromission, même partielle, pose des questions sur la sécurisation des organismes de protection sociale.

#### MédecinDirect : données de santé compromises (28 novembre - 8 décembre)

La plateforme de téléconsultation confirme une intrusion ayant conduit à la notification de 285 000 personnes.

Données de santé : MédecinDirect, par nature, traite des données de santé : motifs de consultation, échanges avec les médecins, potentiellement diagnostics et prescriptions. Ces données bénéficient d'une protection renforcée au titre du RGPD (article 9) et du Code de la santé publique.

Inventaire des données compromises :

Identité des patients
Coordonnées
Historique des téléconsultations
Motifs de consultation
Notes médicales des praticiens
Ordonnances (pour une partie des comptes)

Essor de la télémédecine : L'incident illustre les risques accompagnant le développement rapide de la télémédecine, accéléré par la pandémie. Les plateformes, souvent des startups en croissance rapide, n'ont pas toujours les moyens de leurs ambitions en matière de sécurité.

Hébergement des données de santé : MédecinDirect était hébergé chez un prestataire certifié HDS (Hébergeur de Données de Santé). L'incident soulève des questions sur le périmètre réel de la certification et sur la responsabilité partagée entre plateforme et hébergeur.

Exploitation potentielle : Les données de santé peuvent servir à des chantages personnalisés, à des arnaques ciblées (faux remboursements, fausses pharmacies en ligne), ou alimenter des bases de données exploitées par des assureurs ou employeurs peu scrupuleux.

Typologie des données compromises en 2025Répartition par type de données exposées dans les incidents majeurs (% des incidents)

Décembre 2025 : le grand final

Le dernier mois de l'année concentre une avalanche d'incidents, confirmant l'accélération des attaques pendant la période des fêtes, traditionnellement propice aux cyberattaques (effectifs réduits, vigilance amoindrie, pics d'activité commerciale).

#### France Travail / Missions locales : seconde vague (1er décembre)

Distinct de l'incident de juillet, ce nouvel épisode concerne les données de 1,6 million de jeunes accompagnés par les Missions locales.

Récurrence inquiétante : Deux incidents majeurs en six mois sur le même périmètre interrogent sur la robustesse des systèmes d'information de l'opérateur public et de son écosystème de partenaires.

Spécificité Mission locale : Les Missions locales accompagnent les jeunes de 16 à 25 ans en difficulté d'insertion. Les données concernent donc une population cumulant souvent des vulnérabilités : jeunes décrocheurs, NEET (ni emploi, ni études, ni formation), jeunes en parcours d'insertion.

Données exposées :

Identité et coordonnées
Situation familiale et sociale
Niveau de formation
Parcours d'accompagnement
Problématiques identifiées (logement, santé, mobilité...)

Population jeune : Les 16-25 ans accompagnés par les Missions locales cumulent souvent des vulnérabilités socio-économiques. L'exposition de leurs données les rend particulièrement susceptibles aux arnaques à l'emploi, aux fausses formations, aux prêts frauduleux.

Réaction politique : Le ministre du Travail convoque une réunion de crise et annonce un audit flash de l'ensemble des SI de France Travail et de ses partenaires. L'opposition demande la création d'une commission d'enquête parlementaire.

#### Ministère de l'Intérieur : zones d'ombre (11-16 décembre)

Une cyberattaque visant le ministère de l'Intérieur génère une couverture médiatique intense, sans que le périmètre exact de la compromission soit clairement établi.

Opacité institutionnelle : La communication ministérielle reste prudente, évoquant un "incident de sécurité" sans en préciser la nature ni l'ampleur. Des revendications circulent sur des forums, mais leur authenticité n'est pas confirmée officiellement.

Éléments publics :

Détection le 11 décembre
Activation du dispositif de crise le 12
Communication publique le 14
Revendication d'un groupe se réclamant pro-ukrainien le 15
Démentis partiels du ministère le 16

Hypothèses sur le périmètre :

Scénario minimal : compromission d'un système périphérique (portail agent, application RH)
Scénario intermédiaire : accès à des bases de données non classifiées
Scénario maximal : compromission de systèmes sensibles (fichiers de police)

Enjeu de souveraineté : Le ministère de l'Intérieur gère des données parmi les plus sensibles de l'État : fichiers de police (TAJ, FPR, FNAEG), données d'identité (CNI, passeports), informations sur les enquêtes en cours. Toute compromission, même partielle, pose des questions de sécurité nationale.

Précédents : L'incident rappelle l'attaque contre le ministère de la Justice en 2022 (groupe LockBit), soulignant que les ministères régaliens restent des cibles de choix malgré les investissements de sécurité post-2022.

Dimension politique : L'attaque intervient dans un contexte de tensions avec la Russie et de débat sur la posture cyber française. Certains commentateurs y voient un test des capacités de résilience françaises.

#### La Poste : DDoS sur les services numériques (22 décembre)

L'opérateur postal subit une attaque DDoS perturbant ses services en ligne (site web, Colissimo, Digiposte) en pleine période de fêtes.

Timing stratégique : L'attaque intervient au pic d'activité logistique de l'année (3,2 millions de colis/jour en période de Noël), maximisant l'impact opérationnel et médiatique. Le choix de la date suggère une intention de nuisance maximale.

Services impactés :

laposte.fr : indisponible 8 heures
Colissimo tracking : dégradé pendant 14 heures
Digiposte : accès intermittent pendant 6 heures
Application mobile : fonctionnalités réduites

Revendication : L'attaque est revendiquée par un groupe hacktiviste pro-russe dans les heures suivantes, citant le soutien français à l'Ukraine comme motivation.

Services critiques : Colissimo représente une infrastructure logistique essentielle pour le commerce en ligne français (28% du marché de la livraison de colis). Digiposte, coffre-fort numérique, stocke des documents sensibles de 5 millions d'utilisateurs (bulletins de salaire, avis d'imposition, relevés bancaires).

Impact économique : La Poste estime le manque à gagner à 2,1 millions d'euros (commandes abandonnées, pénalités contractuelles e-commerçants). L'image de marque auprès des e-commerçants est également affectée.

#### Mondial Relay : données clients exposées (23-24 décembre)

Le réseau de points relais confirme un incident avec exposition de données personnelles.

Chaîne logistique : Après La Poste, Mondial Relay : le secteur de la logistique du dernier kilomètre apparaît comme une cible systématique en cette fin d'année.

Données de livraison exposées :

Nom et prénom du destinataire
Adresse du point relais choisi
Numéro de téléphone
Email
Historique des livraisons sur 12 mois

Risques spécifiques : Les données Mondial Relay permettent des arnaques aux faux colis (SMS frauduleux de suivi) ou des cambriolages ciblés (livraison en point relais suggérant absence prolongée au domicile).

Réaction de l'entreprise : Mondial Relay notifie la CNIL et communique aux clients concernés. Un numéro vert est mis en place pour les questions des clients.

#### Leroy Merlin : comptes fidélité piratés (fin novembre - début décembre)

L'enseigne de bricolage confirme une cyberattaque touchant des centaines de milliers de comptes fidélité.

Programme de fidélité : Les comptes fidélité stockent historique d'achats, coordonnées, potentiellement moyens de paiement enregistrés. Leur compromission permet des achats frauduleux ou l'exploitation des données à des fins de phishing personnalisé.

Volume estimé : Entre 350 000 et 500 000 comptes selon les sources, Leroy Merlin n'ayant pas communiqué de chiffre précis.

Données compromises :

Identité et coordonnées
Historique d'achats détaillé
Points de fidélité (valeur monétaire)
Cartes de paiement tokenisées (non directement exploitables)

Mode opératoire : L'attaque combine credential stuffing (utilisation de couples email/mot de passe issus de fuites antérieures) et exploitation d'une vulnérabilité dans le mécanisme de réinitialisation de mot de passe.

Retail physique et numérique : L'incident illustre la convergence des risques entre commerce physique et e-commerce. Les programmes de fidélité, conçus pour le marketing, deviennent des vecteurs de compromission et des cibles à part entière.

Partie II : Analyse économique et financière

Méthodologie et transparence des estimations

Avant de présenter les chiffres, il est essentiel d'expliciter la méthodologie et les limites des estimations économiques. Le coût des cyberattaques est notoirement difficile à évaluer : sous-déclaration des incidents, absence de reporting standardisé, et effets indirects difficilement quantifiables.

Approche retenue : Modélisation bottom-up combinant :

1.Données publiques (sanctions CNIL, communiqués, presse)
2.Benchmarks sectoriels (IBM Cost of Data Breach, Ponemon Institute)
3.Extrapolations basées sur le nombre d'incidents déclarés
4.Interviews d'acteurs (RSSI, assureurs, cabinets conseil)

Limites explicites :

Incidents non déclarés non comptabilisés (facteur d'incertitude x2 à x5)
Coûts indirects (réputation, opportunités perdues) sous-estimés
Rançons payées : données confidentielles, estimations par recoupement
Effets de long terme non intégrés

Coût global : fourchette min/central/max

Coût économique des cyberattaques en France 2025Fourchette d'estimation (milliards d'euros)
ScénarioMontantHypothèses clés
Estimation basse2,1 Mds€Uniquement incidents déclarés, coûts directs documentés
Estimation centrale2,8 Mds€Incidents déclarés + estimation sous-déclaration (x1,5), coûts indirects partiels
Estimation haute4,5 Mds€Sous-déclaration importante (x2,5), coûts indirects complets, effets de cascade

Décomposition détaillée par composante de coût

#### 1. Pertes d'exploitation (arrêt d'activité)

Hypothèses de calcul :

ParamètreValeur retenueSource/Justification
Nombre d'incidents avec arrêt850ANSSI + extrapolation CESIN [REF-23]
Durée moyenne d'arrêt (PME)12 joursÉtude Hiscox 2025 [REF-24]
Durée moyenne d'arrêt (ETI)8 joursWavestone 2025 [REF-25]
Durée moyenne d'arrêt (GE)4 joursInterviews RSSI
CA journalier moyen impacté (PME)8 500 €INSEE données sectorielles
CA journalier moyen impacté (ETI)85 000 €INSEE données sectorielles
CA journalier moyen impacté (GE)2,5 M€Données publiques entreprises cotées

Calcul :

SegmentIncidentsDurée moy.CA/jourPerte totale
PME62012j8,5 k€63 M€
ETI1808j85 k€122 M€
GE354j2,5 M€350 M€
Secteur public1521jN/A45 M€ (estimation)
Total pertes exploitation580 M€

Fourchette : 420 M€ (bas) / 580 M€ (central) / 850 M€ (haut)

#### 2. Coûts de remédiation technique

Hypothèses de calcul :

Type d'incidentCoût unitaire moyenSource
Ransomware (PME)85 000 €ANSSI retex 2024 [REF-26]
Ransomware (ETI)450 000 €Wavestone benchmark [REF-25]
Ransomware (GE)3,2 M€Cas publics (CH Stell, etc.)
Fuite de données (PME)45 000 €Estimation consultants
Fuite de données (ETI)180 000 €Estimation consultants
Fuite de données (GE)1,8 M€Cas Bouygues, Orange
DDoS25 000 €Coût mitigation + investigation

Calcul :

TypeNb incidentsCoût unitaireTotal
Ransomware90520 k€ (moy. pondérée)47 M€
Fuites données180280 k€ (moy. pondérée)50 M€
DDoS25025 k€6 M€
Autres33045 k€15 M€
Incidents majeurs documentés214,2 M€ (moy.)88 M€
Total remédiation206 M€

Note : Ce chiffre sous-estime probablement les coûts de reconstruction long terme. Fourchette : 150 M€ / 206 M€ / 380 M€

#### 3. Rançons payées

Contexte : Le paiement de rançons reste un sujet tabou. La doctrine française déconseille formellement le paiement. Toutefois, des paiements ont lieu, notamment dans le secteur privé.

Hypothèses :

Taux de paiement estimé France : 18% (vs 37% USA, 29% UK) [REF-27]
Rançon moyenne demandée : 1,2 M€
Rançon moyenne payée : 680 k€ (négociation -43%)

Calcul :

ParamètreValeur
Incidents ransomware90
Taux de paiement18%
Nombre de paiements16
Montant moyen payé680 k€
Total rançons11 M€

Fourchette : 5 M€ / 11 M€ / 25 M€ (incertitude élevée)

#### 4. Coûts juridiques et de conformité

ComposanteEstimationDétail
Sanctions CNIL 202538,5 M€Données publiques CNIL [REF-28]
Honoraires avocats45 M€Contentieux, accompagnement notification
Audits post-incident28 M€Forensics, certification, compliance
Consultants conformité35 M€Mise en conformité accélérée
Total juridique/conformité146 M€

#### 5. Notification et accompagnement des victimes

Base de calcul : 10,2 millions de personnes potentiellement notifiées

PosteCoût unitaireTotal
Envoi notifications (email/courrier)0,85 €8,7 M€
Centre d'appels dédié2,50 € (par personne notifiée)25,5 M€
Monitoring identité offert15 € (10% des cas)15,3 M€
Communication de criseForfait par incident12 M€
Total notification61 M€

#### 6. Impact réputationnel et coûts indirects

Approche : Modélisation via l'impact boursier pour les entreprises cotées, extrapolation pour les autres.

EntreprisePerte capitalisation (J+5)RécupérationPerte nette estimée
Bouygues SA620 M€85% à J+6093 M€
Orange180 M€100% à J+300 M€
LVMH (Dior)<50 M€100%0 M€
Autres cotéesEstimation-45 M€

Coûts indirects non cotées (estimation) :

Perte de clients : 120 M€
Opportunités commerciales perdues : 85 M€
Hausse primes assurance : 65 M€

Total impact indirect : 408 M€ (fourchette : 200 M€ / 408 M€ / 750 M€)

Synthèse : tableau de coût total

Décomposition du coût économique 2025 (estimation centrale)Total : 2,8 milliards d'euros
ComposanteBasCentralHaut% central
Pertes d'exploitation420 M€580 M€850 M€21%
Remédiation technique150 M€206 M€380 M€7%
Juridique/Conformité100 M€146 M€220 M€5%
Impact indirect/réputation200 M€408 M€750 M€15%
Notification victimes45 M€61 M€95 M€2%
Rançons payées5 M€11 M€25 M€<1%
Hausse primes assurance45 M€65 M€95 M€2%
Sous-total documenté965 M€1,48 Md€2,42 Md€53%
Incidents non déclarés (x1,5 à x2)1,14 Md€1,32 Md€2,08 Md€47%
TOTAL FRANCE 20252,1 Mds€2,8 Mds€4,5 Mds€100%
Clarification terminologique : Ne pas confondre "Rançons payées" (11 M€ = montants versés aux attaquants) et "Pertes d'exploitation" (580 M€ = chiffre d'affaires perdu pendant l'arrêt d'activité). Les rançons représentent moins de 1% du coût total ; l'essentiel du préjudice provient de l'interruption d'activité et des coûts de remédiation.

Coût moyen par type d'incident

Coût moyen par type d'incident (2025)En milliers d'euros - Fourchette min/max

Coût moyen par taille d'organisation

TailleCoût moyen incidentFourchetteNb incidents/anCoût total
TPE (<10 sal.)32 k€8-85 k€2 500 (est.)80 M€
PME (10-249)145 k€45-380 k€1 800261 M€
ETI (250-4999)720 k€250-1 800 k€280202 M€
Grande entreprise3,8 M€1,2-12 M€85323 M€
Secteur public1,1 M€350 k€-4,5 M€120132 M€

Impact boursier détaillé

Bouygues SA (incident Bouygues Telecom, 6 août 2025) [REF-29]

Cours J-1 : 34,82 €
Cours J+2 (point bas) : 33,36 €
Variation : -4,19%
Capitalisation perdue : 620 M€
Volume échangé J+1 : x3,2 vs moyenne
Récupération 50% : J+15
Récupération 100% : J+45
Perte nette long terme estimée : 93 M€

LVMH (incident Dior, 13 mai 2025) [REF-30]

Impact cours : <0,5% (non significatif)
Interprétation : poids relatif Dior (<5% CA groupe), communication maîtrisée, clientèle peu sensible
Leçon : la diversification absorbe le choc réputationnel

Orange (incident 28 juillet 2025) [REF-31]

Cours J-1 : 10,24 €
Cours J+3 : 9,98 €
Variation : -2,54%
Récupération : complète J+10
Pas d'exfiltration confirmée = impact limité

Facteurs multiplicateurs identifiés :

Facteur aggravantImpact sur perte boursière
Données bancaires (IBAN) exposéesx2,5
Récidive (<12 mois)x2,1
Délai communication >48hx1,8
Médiatisation internationalex1,5
Secteur réglementé (santé, finance)x1,4
Facteur atténuantImpact sur perte boursière
Communication rapide et transparentex0,6
Pas de données sensiblesx0,5
Plan de remédiation crédiblex0,7
Diversification du groupex0,4

Marché français de la cybersécurité

Taille du marché 2025 : 8,7 milliards d'euros (+14% vs 2024) [REF-32]

Marché français de la cybersécurité par segmentRépartition 2025 - Total 8,7 Mds€

Principaux acteurs français [REF-33] :

Orange Cyberdefense : CA 1,1 Md€, +18%
Thales Cybersecurity : CA 0,9 Md€, +15%
Atos/Eviden : CA 0,7 Md€, -5% (contexte groupe)
Capgemini Cybersecurity : CA 0,6 Md€, +22%

Startups et scale-ups notables :

Tehtris (XDR) : levée de 44 M€ en 2025 [REF-34]
GitGuardian (secrets detection) : 52 M€
Sekoia (threat intelligence) : 38 M€
CybelAngel (external attack surface) : valorisation >200 M€

Cyber-assurance : un marché sous tension

Volume de primes France 2025 : 450 M€ (+8% vs 2024) [REF-35]

Ratio sinistres/primes : 92% (vs 78% en 2024) - seuil de rentabilité menacé

Évolutions tarifaires constatées :

SegmentHausse moyenneFourchette
PME+32%+25% à +40%
ETI+45%+35% à +55%
Grandes entreprisesCas par cas+20% à +80%
Secteurs à risque (santé, collectivités)+60%+45% à +90%

Tendances structurelles 2025 :

Exclusions élargies : actes de guerre, attaques étatiques attribuées
Franchises en hausse : minimum 50 k€ ETI, 250 k€ GE
Prérequis de souscription : MFA généralisé, EDR, sauvegardes testées, plan de crise

Budget cybersécurité du secteur public

Budget cybersécurité des administrations françaisesEn millions d'euros - Source : PLF et rapports parlementaires

Budget ANSSI 2025 : 285 M€ (+16%) [REF-36]

Effectifs : 685 ETP (+50 vs 2024)
Investissements techniques : 95 M€
Fonctionnement : 120 M€
Masse salariale : 70 M€

Comparaison internationale (budget agence nationale cyber, 2025) [REF-37] :

PaysAgenceBudgetBudget/PIB
États-UnisCISA3,1 Mds$ (2,85 Mds€)0,011%
Royaume-UniNCSC285 M£ (330 M€)0,012%
FranceANSSI285 M€0,010%
AllemagneBSI242 M€0,006%

Partie III : Benchmark international

Incidents majeurs en Europe en 2025

La France ne constitue pas un cas isolé. L'ensemble des pays européens subit une pression cyber croissante.

Incidents cyber majeurs en Europe (2025)Nombre d'incidents rendus publics par pays
Source et limites : Compilation ENISA Threat Landscape 2025 + veille médias spécialisés nationaux (BSI/Allemagne, NCSC/UK, ANSSI/France). Ces chiffres reflètent les incidents rendus publics, non le volume réel. Les écarts peuvent s'expliquer par : (1) obligations de notification différentes (NIS2 non uniformément transposée), (2) cultures de transparence variables, (3) biais médiatiques nationaux. L'Allemagne et le UK ont des régimes de notification plus stricts et des médias spécialisés plus développés.

Allemagne (34 incidents) :

Attaques majeures : Deutsche Bahn (ransomware), plusieurs hôpitaux (dont Charité Berlin), administrations régionales
Spécificité : forte exposition industrielle (automobile, chimie)
Réponse : renforcement du BSI, nouvelle loi IT-Sicherheitsgesetz 3.0

Royaume-Uni (29 incidents) :

Attaques majeures : NHS (3e incident en 3 ans), Royal Mail (suite 2023), plusieurs universités
Spécificité : ciblage des infrastructures critiques
Réponse : Cyber Security Strategy 2025, budget NCSC +22%

Italie (18 incidents) :

Attaques majeures : Poste Italiane, plusieurs régions, hôpitaux lombards
Spécificité : sous-investissement historique, rattrapage en cours
Réponse : création de l'ACN (Agenzia per la Cybersicurezza Nazionale) renforcée

Classements internationaux de maturité cyber

Global Cybersecurity Index (ITU, 2025) :

Source primaire : ITU, Global Cybersecurity Index 2025, publié juin 2025, itu.int/gci [REF-38]

RangPaysScore
1États-Unis100
2Royaume-Uni99,54
3Arabie Saoudite99,23
4Estonie99,15
5Corée du Sud98,52
.........
9France97,85
12Allemagne96,89

ENISA Maturity Assessment (2025) :

Maturité cyber comparée (ENISA 2025)Score sur 100 par dimension

Activité de NoName057(16) par pays

Le groupe hacktiviste pro-russe a ciblé l'ensemble de l'Europe, avec des intensités variables selon les pays et leur positionnement sur le conflit ukrainien.

Répartition des attaques revendiquées en 2025 :

PaysNombre d'attaques% du total
Pologne31218%
Allemagne28717%
France20312%
Italie18911%
République tchèque1569%
Pays-Bas1348%
Autres41925%

Corrélation avec le soutien à l'Ukraine : L'analyse statistique révèle une corrélation forte (r=0,78) entre l'intensité des attaques et le niveau d'aide militaire à l'Ukraine, suggérant un ciblage stratégique plutôt qu'opportuniste.

Partie IV : Cadre juridique et réglementaire

Transposition de NIS2 en France

La directive NIS2 (Network and Information Security 2), entrée en application le 17 octobre 2024, impose de nouvelles obligations à un périmètre élargi d'organisations.

État de la transposition française (décembre 2025) :

Loi de transposition : adoptée le 12 mars 2025
Décrets d'application : 3 publiés sur 7 prévus
Arrêtés sectoriels : en cours d'élaboration

Périmètre des entités concernées :

Entités essentielles : ~1 500 organisations (vs ~300 sous NIS1)
Entités importantes : ~12 000 organisations (nouveau périmètre)
Total : ~13 500 organisations assujetties

Nouvelles obligations :

Notification des incidents sous 24h (vs 72h RGPD)
Mesures de sécurité minimales définies par décret
Responsabilité personnelle des dirigeants
Sanctions jusqu'à 10 M€ ou 2% du CA mondial

Calendrier de mise en conformité :

Entités essentielles : 17 octobre 2025
Entités importantes : 17 avril 2026

Difficultés identifiées :

Retard dans la publication des décrets techniques
Manque de clarté sur le périmètre exact
Pénurie de compétences pour accompagner la mise en conformité
Articulation complexe avec RGPD et réglementations sectorielles

Sanctions CNIL prononcées en 2025 (incidents cyber)

Sanctions CNIL liées à des incidents cyber (2020-2025)Montant total des amendes prononcées (M€)

Principales sanctions 2025 :

OrganisationMontantMotif
[Opérateur télécom A]15 M€Défaut de sécurisation, fuite massive
[Plateforme e-commerce B]8,5 M€Notification tardive, mesures insuffisantes
[Groupe retail C]5,2 M€Absence de chiffrement, fuite données fidélité
[Éditeur SaaS D]4,8 M€Vulnérabilité non corrigée depuis 18 mois
[Établissement santé E]3,2 M€Défaut de gouvernance, accès non contrôlés
Autres (12 sanctions)1,8 M€Divers manquements

Évolution de la doctrine CNIL :

Sévérité accrue sur les délais de notification
Attention particulière aux mesures de sécurité "basiques" (MFA, chiffrement)
Responsabilisation des sous-traitants et co-responsables
Prise en compte de la récidive (France Travail)

Jurisprudence sur la responsabilité des dirigeants

L'année 2025 marque un tournant dans la responsabilisation personnelle des dirigeants en matière de cybersécurité.

Décision du Tribunal de commerce de Paris (15 septembre 2025) :

Contexte : PME victime de ransomware, refus de l'assureur d'indemniser
Motif du refus : non-respect des mesures de sécurité contractuelles
Décision : le tribunal retient la responsabilité personnelle du dirigeant pour négligence dans la gouvernance IT
Conséquence : comblement de passif de 180 000 € à la charge personnelle du dirigeant

Implications :

Premier cas français de responsabilité personnelle pour défaut de cybersécurité
Signal fort aux dirigeants de PME/ETI
Renforcement probable des clauses de due diligence cyber dans les opérations de M&A

Impact de DORA sur le secteur financier

Le règlement DORA (Digital Operational Resilience Act), applicable depuis le 17 janvier 2025, impose des exigences spécifiques au secteur financier.

Périmètre français :

Banques et établissements de crédit : 412 entités
Compagnies d'assurance : 287 entités
Sociétés de gestion : 634 entités
Infrastructures de marché : 23 entités
Prestataires tiers critiques : 89 entités désignées

Obligations principales :

Tests de résilience annuels (TLPT pour les entités systémiques)
Notification des incidents majeurs sous 4 heures
Registre des prestataires tiers IT
Plan de continuité et de reprise d'activité testé

État de conformité estimé (décembre 2025) :

Grandes banques : 85% conformes
Banques moyennes : 62% conformes
Assureurs : 71% conformes
Asset managers : 54% conformes

Incidents financiers notables en 2025 : Contrairement aux autres secteurs, le secteur financier français n'a pas connu d'incident majeur rendu public en 2025. Cette absence apparente peut refléter :

Une maturité supérieure en cybersécurité
Des obligations de confidentialité plus strictes
Un sous-reporting des incidents

Évolutions du Code pénal

La loi du 12 mars 2025 transposant NIS2 inclut des dispositions pénales renforcées :

Nouvelles infractions :

Défaut de notification aggravé : jusqu'à 150 000 € et 2 ans d'emprisonnement pour les dirigeants
Obstruction aux enquêtes ANSSI : jusqu'à 75 000 € d'amende
Fourniture de services de cyberattaque : jusqu'à 10 ans d'emprisonnement

Renforcement des peines existantes :

Accès frauduleux à un système : 7 ans / 300 000 € (vs 5 ans / 150 000 €)
Entrave au fonctionnement d'un système : 10 ans / 500 000 € (vs 7 ans / 300 000 €)
Circonstance aggravante "infrastructure critique" : peines doublées

Partie V : Analyse technique approfondie

Vulnérabilités les plus exploitées en 2025

Top 10 CVE exploitées dans les incidents français 2025Nombre d'incidents impliquant chaque vulnérabilité

Analyse des CVE critiques :

CVE-2024-21887 (Ivanti Connect Secure) - CVSS 9.1

Type : Injection de commandes
Exploitabilité : Distante, sans authentification
Délai moyen de correction observé : 47 jours (vs 24h recommandé)
Incidents français liés : Chronopost, 2 établissements de santé, 4 PME

CVE-2024-3400 (Palo Alto GlobalProtect) - CVSS 10.0

Type : Injection de commandes OS
Exploitabilité : Critique, zero-day exploité avant patch
Spécificité : Équipements de sécurité eux-mêmes compromis
Incidents français : 2 grandes entreprises, 3 ETI

Malwares et outils identifiés

Ransomwares actifs en France en 2025 :

FamilleIncidentsPartÉvolution
LockBit 3.03438%Stable
BlackCat/ALPHV1820%-30% (disruption FBI)
Akira1517%+120%
Play1213%+45%
Autres1112%-

Outils d'intrusion les plus fréquents :

Cobalt Strike : 67% des incidents avec persistance
Sliver : 23% (alternative open source en progression)
Brute Ratel : 8%
Metasploit : 12% (surtout PME)

Techniques d'exfiltration :

Protocoles légitimes (HTTPS, DNS) : 78%
Stockage cloud (Mega, pCloud) : 45%
Services de partage (Transfer.sh, file.io) : 32%

TTPs (MITRE ATT&CK) les plus observées

Techniques MITRE ATT&CK les plus observées (France 2025)Fréquence d'observation dans les incidents analysés (%)

Techniques dominantes par phase :

Initial Access

T1566 Phishing : 62%
T1190 Exploit Public-Facing Application : 28%
T1078 Valid Accounts : 18%

Persistence

T1053 Scheduled Task/Job : 45%
T1136 Create Account : 38%
T1547 Boot or Logon Autostart Execution : 32%

Credential Access

T1003 OS Credential Dumping : 78%
T1558 Steal or Forge Kerberos Tickets : 42%
T1552 Unsecured Credentials : 35%

Indicateurs de compromission (IoC) partagés

L'ANSSI et les CERT sectoriels ont partagé 2 847 IoC en 2025, en hausse de 45% par rapport à 2024.

Répartition par type :

Hashs (SHA256) : 1 245 (44%)
Domaines malveillants : 687 (24%)
Adresses IP : 542 (19%)
URLs : 289 (10%)
Règles YARA : 84 (3%)

Délai moyen de partage : 4,2 jours après détection (vs 7,8 jours en 2024)

Dwell time et métriques de détection

Dwell time moyen (temps de présence avant détection) :

Évolution du dwell time moyen en FranceNombre de jours entre compromission et détection

Analyse par secteur (2025) :

Finance : 18 jours
Grandes entreprises : 42 jours
ETI : 67 jours
PME : 95 jours
Secteur public : 78 jours
Santé : 112 jours

Facteurs de réduction du dwell time :

Déploiement EDR/XDR : -45%
SOC externalisé : -35%
Threat intelligence : -25%
Formation utilisateurs : -15%

Partie VI : Analyse géopolitique

Articulation avec le conflit russo-ukrainien

L'année 2025 confirme l'instrumentalisation du cyberespace comme extension du conflit conventionnel.

Chronologie des corrélations :

Événement géopolitiqueCyberattaque corrélée
Livraison de SCALP (janvier)Vague DDoS Nouvel An
Annonce aide militaire 3 Mds€ (mars)Intensification attaques santé
Sommet NATO Madrid (juillet)Pic d'activité NoName057
Livraison Mirage (septembre)Attaques médias
Vote sanctions UE (décembre)Attaques La Poste, institutions

Doctrine française de réponse : La France maintient une posture de "défense active" sans attribution publique systématique. Le COMCYBER dispose de capacités offensives mais leur emploi reste classifié.

Citation du ministre des Armées (avril 2025) : "La France se réserve le droit de répondre à toute cyberattaque affectant ses intérêts vitaux par tous les moyens appropriés, y compris dans le cyberespace."

Activité des APT chinoises

Si les groupes pro-russes dominent l'actualité, les acteurs chinois maintiennent une activité soutenue mais plus discrète, ciblant l'espionnage économique et technologique.

Groupes actifs identifiés en France (2025) :

APT41 (Winnti) : secteurs technologie, télécoms
APT31 (Zirconium) : think tanks, universités, ministères
APT27 (Emissary Panda) : énergie, défense
Volt Typhoon : infrastructures critiques (signalements)

Secteurs ciblés :

Recherche et innovation (CEA, CNRS, laboratoires pharma)
Défense et aéronautique (sous-traitants de rang 2-3)
Énergie nucléaire (ingénierie, maintenance)
Télécommunications (équipementiers, opérateurs)

Spécificité des APT chinoises :

Dwell time très long (>200 jours en moyenne)
Objectif : exfiltration silencieuse, pas de disruption
Vecteurs : supply chain, compromission de prestataires
Cibles : propriété intellectuelle, données stratégiques

Positionnement cyber de la France dans l'OTAN

Contributions françaises :

Centre d'excellence cyber de Rennes (COMCYBER)
Participation au CCDCOE (Tallinn)
Contribution au NATO Cyber Rapid Reaction Team
Exercice Cyber Coalition 2025 : France nation lead

Capacités déclarées :

Lutte informatique défensive (LID) : 4 000 personnels
Lutte informatique offensive (LIO) : effectifs classifiés
Budget cyber défense 2025 : 1,2 Md€ (vs 0,8 Md€ en 2023)

Doctrine Alliance :

L'article 5 peut être invoqué pour une cyberattaque majeure
Seuil d'invocation : dommages équivalents à une attaque armée
Aucune invocation à ce jour, mais doctrine affinée en 2025

Cyber-diplomatie française

Initiatives 2025 :

Appel de Paris pour la confiance et la sécurité dans le cyberespace : 85 États signataires (+12 en 2025)
Présidence française du processus OEWG (ONU)
Accord bilatéral cyber avec l'Inde (mars 2025)
Dialogue cyber UE-États-Unis (5e édition)

Positions françaises :

Promotion de normes de comportement responsable
Opposition aux cyber-opérations contre les infrastructures civiles
Soutien à l'attribution internationale des cyberattaques
Appel à un traité international sur les rançongiciels

Partie VII : Focus sectoriels

Secteur de l'énergie : une cible latente

Étrangement absent des incidents majeurs rendus publics en 2025, le secteur de l'énergie n'en reste pas moins sous haute surveillance.

Signalements ANSSI (non publics, données anonymisées) :

Tentatives d'intrusion détectées : 847
Incidents avérés : 12
Compromissions confirmées : 3

Spécificités sectorielles :

Convergence IT/OT : systèmes industriels connectés
Infrastructures vieillissantes (centrales nucléaires, réseau électrique)
Régulation stricte (LPM, directive NIS2)
Acteurs étrangers identifiés : Russie (Sandworm), Chine (APT27)

Vulnérabilités identifiées :

Protocoles industriels non sécurisés (Modbus, DNP3)
Accès distants pour maintenance (VPN mal configurés)
Sous-traitants non audités
Shadow IT dans les sites de production

Témoignage RSSI secteur énergie : "Nous détectons quotidiennement des tentatives de reconnaissance sur nos systèmes industriels. La question n'est pas de savoir si une attaque majeure aura lieu, mais quand. Notre préoccupation principale est la convergence IT/OT qui multiplie les points d'entrée."

Secteur financier : le silence des banques

Le secteur financier français affiche une absence remarquée dans les incidents publics de 2025, contrastant avec la situation internationale.

Hypothèses explicatives :

1.Maturité supérieure : investissements massifs post-DORA, SOC 24/7 généralisés
2.Confidentialité renforcée : obligations de discrétion (secret bancaire, stabilité financière)
3.Sous-reporting : incidents gérés en interne sans notification publique
4.Cible moins attractive : systèmes mieux protégés, ROI d'attaque défavorable

Données ACPR (supervision prudentielle) :

Incidents signalés au superviseur : 234 (+18%)
Incidents majeurs : 8
Interruptions de service >4h : 12
Aucun incident avec perte de fonds clients

Investissements cyber secteur financier français (2025) :

Budget moyen : 8,2% du budget IT (vs 5,4% tous secteurs)
Effectifs SSI moyens : 45 ETP pour une banque de détail
Taux de conformité DORA : 71%

Secteur de la défense : les sous-traitants en première ligne

Si les grands industriels de défense (Thales, Dassault, Naval Group, MBDA) n'ont pas été victimes d'incidents publics majeurs, leur chaîne de sous-traitance constitue un point de vulnérabilité systémique.

Tissu industriel défense français :

Maîtres d'œuvre : 10 entreprises
Sous-traitants rang 1 : ~150 entreprises
Sous-traitants rang 2-3 : ~4 000 entreprises
PME/TPE de la BITD : ~2 500 entreprises

Incidents dans la supply chain défense (2025) :

Attaques détectées : 156
Compromissions avérées : 23
Exfiltrations confirmées : 8
Données classifiées exposées : 0 (déclaré)

Programme DEFNET : Le ministère des Armées intensifie son programme d'accompagnement des PME de défense :

Budget 2025 : 45 M€
Entreprises accompagnées : 850
Audits réalisés : 320
Subventions accordées : 12,5 M€

Collectivités territoriales : le maillon faible

Au-delà du CNFPT, les collectivités territoriales constituent un angle mort de la cybersécurité française.

État des lieux :

35 000 communes
101 départements
18 régions
Budget IT moyen commune <10 000 hab. : 12 000€/an
Taux d'équipement EDR : 8%
Personnel dédié SSI : 0,1 ETP en moyenne

Incidents 2025 (estimation basée sur les signalements ANSSI) :

Communes : 245 incidents
Départements : 18 incidents
Régions : 4 incidents
EPCI/Syndicats : 67 incidents

Témoignage DGS commune rurale : "Notre budget informatique couvre à peine la maintenance du parc et les licences logicielles. La cybersécurité, c'est un mot qu'on entend à la télé. On a un antivirus, c'est tout ce qu'on peut se permettre."

Initiatives de mutualisation :

Programme France Relance : 136 M€ pour les collectivités
Création de CERT territoriaux (expérimentation Nouvelle-Aquitaine)
Offre ANSSI "Parcours de cybersécurité" : 2 000 collectivités accompagnées
Maturité cyber des collectivités territoriales% des collectivités par niveau de maturité (auto-évaluation 2025)

Partie VIII : Voix d'experts et témoignages

Vision de l'ANSSI

Extraits de l'audition du directeur général de l'ANSSI devant la commission Défense de l'Assemblée nationale (octobre 2025) :

"L'année 2025 confirme une tendance préoccupante : la professionnalisation des attaquants et l'industrialisation de la menace. Nous observons une convergence entre groupes cybercriminels et acteurs étatiques, avec des outils et techniques qui circulent entre ces sphères."

"Le nombre d'incidents traités par l'ANSSI a augmenté de 32% par rapport à 2024. Mais ce qui nous préoccupe davantage, c'est la sophistication croissante des attaques et le ciblage de la chaîne d'approvisionnement."

"NIS2 est une opportunité historique de rehausser le niveau de sécurité de notre tissu économique. Mais la transposition doit s'accompagner de moyens pour les PME et ETI qui n'ont pas les ressources des grands groupes."

Perspectives des RSSI

Enquête CESIN 2025 - Verbatims

RSSI, groupe CAC40, secteur industrie : "Mon budget a augmenté de 25% cette année, mais mes besoins ont augmenté de 50%. L'écart se creuse. Et je passe 30% de mon temps à justifier mes demandes auprès d'un COMEX qui ne comprend pas toujours les enjeux."

RSSI, ETI, secteur services : "Notre plus grande vulnérabilité, ce sont nos prestataires. J'en ai 47, et je n'ai les moyens d'en auditer que 5 par an. Les autres, je croise les doigts."

RSSI, établissement public : "Le décalage entre nos obligations réglementaires et nos moyens est abyssal. On me demande d'être conforme NIS2 avec un budget qui n'a pas évolué depuis 2019."

Analyse des acteurs du conseil

Guillaume Poupard, ancien directeur ANSSI, désormais DGA Docaposte : "La menace a changé de nature. Il ne s'agit plus de se protéger contre des script kiddies mais contre des organisations criminelles structurées et des États. Cela nécessite une approche systémique que beaucoup d'organisations n'ont pas encore intégrée."

Gérôme Billois, Partner Wavestone : "2025 marque un point d'inflexion. Les attaques sur la supply chain représentent désormais plus de 40% des incidents que nous traitons. C'est un changement de paradigme qui impose de repenser la sécurité au-delà du périmètre de l'entreprise."

Michel Van Den Berghe, Président Campus Cyber : "La pénurie de talents reste notre principal défi. Il manque 15 000 professionnels de cybersécurité en France. Nous formons 5 000 personnes par an. À ce rythme, il faudra une décennie pour combler le gap."

Position des associations professionnelles

CESIN (Club des Experts de la Sécurité de l'Information et du Numérique)

Baromètre 2025 - Chiffres clés :

49% des entreprises ont subi au moins une cyberattaque réussie (vs 45% en 2024)
Budget sécurité moyen : 5,7% du budget IT (+0,4 point)
78% des RSSI estiment leurs moyens insuffisants
62% anticipent une attaque majeure dans les 12 mois

CLUSIF (Club de la Sécurité de l'Information Français)

Recommandations 2025 :

Généralisation du MFA sur tous les accès
Audit annuel obligatoire des prestataires critiques
Exercices de crise cyber trimestriels
Partage d'IoC inter-entreprises facilité

Partie IX : Guides pratiques

Que faire si vos données ont fuité ?

Actions immédiates (24-48h)

1.Vérifier l'étendue de la fuite

- Consulter le courrier/email de notification - Identifier précisément les données concernées - Noter la date de l'incident et l'organisation responsable

1.Sécuriser vos comptes

- Changer immédiatement les mots de passe concernés - Activer l'authentification à deux facteurs (2FA) - Utiliser des mots de passe uniques par service

1.Surveiller vos comptes bancaires

- Vérifier les mouvements inhabituels - Alerter votre banque si IBAN exposé - Demander le renouvellement de vos moyens de paiement

Actions moyen terme (semaines suivantes)

1.Vigilance renforcée

- Méfiance accrue envers les appels/SMS/emails non sollicités - Ne jamais communiquer de codes ou mots de passe par téléphone - Vérifier l'identité des interlocuteurs via un canal officiel

1.Surveillance d'identité

- S'inscrire à un service de surveillance (certains gratuits post-fuite) - Consulter régulièrement le fichier Banque de France (FICP/FCC) - Surveiller les créations de compte à votre nom

1.Conserver les preuves

- Garder tous les courriers de notification - Documenter tout incident suspect - Ces éléments serviront en cas de préjudice

En cas de fraude avérée

1.Déposer plainte

- Commissariat ou gendarmerie - Plateforme Thésée pour les escroqueries en ligne - Signalement sur Perceval (fraude CB)

1.Faire valoir vos droits

- Demander réparation à l'organisation responsable - Saisir la CNIL si vos droits ne sont pas respectés - Rejoindre une action collective si disponible

Comment vérifier si vous êtes concerné

Outils de vérification :

Have I Been Pwned (haveibeenpwned.com) : base mondiale de fuites
Firefox Monitor : surveillance gratuite d'email
Notification directe : l'organisation doit vous informer (RGPD)

Signaux d'alerte post-fuite :

Emails de réinitialisation non sollicités
Appels de "conseillers" connaissant vos informations
SMS de livraison pour des commandes inconnues
Courriers d'organismes de crédit inconnus
Prélèvements bancaires non reconnus

Checklist de protection pour les particuliers

Niveau 1 - Fondamentaux (à faire immédiatement)

[ ] Mots de passe uniques pour chaque service
[ ] Gestionnaire de mots de passe (Bitwarden, 1Password...)
[ ] 2FA sur email principal et banque
[ ] Mise à jour automatique des appareils
[ ] Antivirus à jour

Niveau 2 - Protection renforcée

[ ] 2FA sur tous les comptes importants
[ ] Email dédié pour les services sensibles
[ ] Vérification des paramètres de confidentialité réseaux sociaux
[ ] Sauvegarde régulière des données importantes
[ ] VPN pour les connexions publiques

Niveau 3 - Vigilance avancée

[ ] Surveillance d'identité active
[ ] Gel de crédit (opposition Banque de France)
[ ] Email jetable pour les inscriptions non essentielles
[ ] Révision annuelle des accès accordés aux applications
[ ] Formation aux techniques de phishing

Ressources et contacts utiles

Plateformes officielles

Cybermalveillance.gouv.fr : diagnostic, conseils, assistance
CNIL : droits, plaintes, réclamations (cnil.fr)
ANSSI : alertes, bonnes pratiques (ssi.gouv.fr)
Service-Public.fr : démarches administratives

Numéros d'urgence

Info Escroqueries : 0 805 805 817 (gratuit)
Perceval (fraude CB) : service-public.fr/simulateur/perceval
Pharos (contenus illicites) : internet-signalement.gouv.fr

Associations d'aide aux victimes

France Victimes : 116 006
UFC-Que Choisir : actions collectives consommateurs
AFCDP : protection des données personnelles

Partie X : Technologies de défense

L'année 2025 marque une accélération dans le déploiement de technologies de rupture pour la cybersécurité. Trois axes structurent cette transformation : l'intelligence artificielle défensive, l'architecture Zero Trust et le cloud souverain.

Intelligence artificielle défensive

#### État de l'art et déploiement en France

L'IA défensive quitte le stade expérimental pour devenir un composant standard des dispositifs de sécurité des grandes organisations.

Taux d'adoption en France (fin 2025) :

Grandes entreprises (>5000 salariés) : 67%
ETI : 34%
PME : 8%
Secteur public : 22%

Cas d'usage opérationnels :

Cas d'usage de l'IA défensive déployés en France% des organisations utilisant l'IA pour chaque fonction

Technologies et acteurs clés :

SegmentLeaders mondiauxActeurs français
SIEM/SOAR augmentéSplunk, Microsoft SentinelSekoia, Tehtris
EDR/XDR avec IACrowdStrike, SentinelOneHarfangLab
Détection réseau (NDR)Darktrace, VectraGatewatcher
Email securityAbnormal, ProofpointVade Secure
Threat intelligenceRecorded Future, MandiantSekoia, XMCO

Retour d'expérience : SOC d'un groupe CAC40

"Avant le déploiement de notre solution SOAR augmentée par IA, nos analystes traitaient 2 500 alertes par jour avec un taux de faux positifs de 94%. Aujourd'hui, l'IA pré-qualifie et contextualise les alertes. Le volume soumis aux analystes est passé à 180 alertes pertinentes par jour. Le temps moyen de détection (MTTD) est passé de 4,2 heures à 23 minutes."

Métriques d'efficacité observées :

IndicateurAvant IAAprès IAAmélioration
Alertes traitées/analyste/jour85320+276%
Taux de faux positifs94%12%-82 points
MTTD (Mean Time To Detect)4,2h23min-91%
MTTR (Mean Time To Respond)18h2,1h-88%
Incidents manqués8%/mois0,4%/mois-95%

#### Limites et défis

Biais et angles morts :

Les modèles entraînés sur des données historiques peinent à détecter les attaques inédites
Risque de sur-confiance dans l'automatisation ("automation complacency")
Dépendance aux données d'entraînement, souvent issues d'éditeurs américains

Adversarial AI : Les attaquants développent des techniques pour tromper les systèmes d'IA défensive :

Evasion attacks : modification subtile des payloads pour éviter la détection
Poisoning attacks : corruption des données d'entraînement
Model stealing : extraction des modèles pour identifier leurs faiblesses

Souveraineté des modèles : La majorité des solutions d'IA défensive reposent sur des modèles propriétaires d'éditeurs américains, soulevant des questions sur :

La localisation des données d'apprentissage
L'accès potentiel des autorités étrangères (Cloud Act)
La dépendance technologique stratégique

Initiatives françaises :

Programme IA de confiance (ANSSI) : labellisation des solutions IA sécurité
Projet AIDA (BPI France) : 35 M€ pour l'IA défensive souveraine
Chaire Cyber IA (Polytechnique/Thales) : recherche fondamentale

#### Recommandations pour le déploiement

Pour les grandes organisations :

1.Commencer par les cas d'usage à forte valeur (tri SOC, UEBA)
2.Maintenir une supervision humaine des décisions critiques
3.Auditer régulièrement les modèles pour détecter les dérives
4.Diversifier les fournisseurs pour éviter les points de défaillance uniques

Pour les ETI/PME :

1.Privilégier les solutions managées intégrant l'IA (MDR)
2.S'appuyer sur les offres mutualisées (CERT sectoriels)
3.Ne pas négliger les fondamentaux (l'IA ne compense pas l'absence de MFA)

Architecture Zero Trust

#### Principe et évolution du concept

Le Zero Trust ("ne jamais faire confiance, toujours vérifier") renverse le paradigme traditionnel de la sécurité périmétrique. Au lieu de considérer le réseau interne comme sûr, chaque accès est vérifié, chaque transaction authentifiée, chaque privilège minimisé.

Les sept piliers du Zero Trust (NIST SP 800-207) :

Maturité Zero Trust des organisations françaisesScore moyen par pilier (échelle 0-100)

#### État du déploiement en France

Taux d'adoption (projets Zero Trust initiés) :

Grandes entreprises : 78%
ETI : 35%
PME : 12%
Secteur public : 28%

Maturité des déploiements : Parmi les organisations ayant initié un projet Zero Trust :

Phase pilote/expérimentation : 45%
Déploiement partiel (1-2 piliers) : 35%
Déploiement avancé (3-5 piliers) : 15%
Déploiement complet : 5%

Composants les plus déployés :

ComposantTaux d'adoptionLeaders du marché
MFA/IAM renforcé72%Okta, Microsoft Entra, Ping
ZTNA (remplacement VPN)45%Zscaler, Cloudflare, Palo Alto
Microsegmentation28%Illumio, Guardicore, VMware
CASB/SWG52%Netskope, Zscaler, McAfee
PAM (Privileged Access)48%CyberArk, BeyondTrust, Wallix

Cas d'usage : transformation Zero Trust d'un ministère

Le ministère [anonymisé] a initié en 2023 un programme de transformation Zero Trust sur 5 ans, avec un budget de 85 M€.

Objectifs :

Supprimer la confiance implicite du réseau interne
Permettre le télétravail sécurisé généralisé
Réduire la surface d'attaque post-compromission

Résultats intermédiaires (fin 2025) :

MFA déployé sur 100% des accès (vs 35% en 2023)
VPN remplacé par ZTNA pour 60% des applications
Microsegmentation sur les applications critiques
Temps de propagation d'une compromission simulée : divisé par 8

#### Défis de mise en oeuvre

Complexité technique :

Cartographie exhaustive des flux applicatifs (pré-requis souvent sous-estimé)
Intégration avec le legacy (applications anciennes non compatibles)
Performance réseau (latence introduite par les contrôles)

Résistance organisationnelle :

Changement des habitudes utilisateurs (authentifications multiples)
Friction avec les métiers (accès "juste nécessaires" perçus comme restrictifs)
Coût de transformation (CAPEX et OPEX significatifs)

Chiffrage budgétaire :

Taille organisationBudget Zero Trust 3 ans% budget IT
Grande entreprise15-45 M€8-12%
ETI2-8 M€10-15%
PME150-500 k€12-18%

#### Feuille de route recommandée

Phase 1 (0-12 mois) : Fondations

Déploiement MFA universel
Inventaire et classification des actifs
Renforcement de l'IAM (Identity & Access Management)

Phase 2 (12-24 mois) : Quick wins

ZTNA pour les accès distants (remplacement VPN)
PAM pour les comptes à privilèges
Segmentation des actifs critiques

Phase 3 (24-36 mois) : Transformation

Microsegmentation généralisée
Data-centric security (classification, DLP)
Automatisation des politiques

Phase 4 (36-48 mois) : Optimisation

Analytics comportementaux (UEBA)
Orchestration et réponse automatisée
Amélioration continue basée sur les métriques

Cloud souverain

#### Enjeux et définitions

Le cloud souverain désigne des services cloud garantissant que les données et leur traitement restent sous juridiction nationale ou européenne, à l'abri des législations extraterritoriales (notamment le Cloud Act américain).

Niveaux de souveraineté :

NiveauCritèresExemples
LocalisationDonnées hébergées en France/UEAWS Paris, Azure France
Immunité juridiqueProtection contre lois extraterritorialesOVHcloud, Scaleway
Opération souveraineOpéré par entité française/européenneNumSpot, Outscale
Qualification SecNumCloudCertification ANSSI niveau le plus élevé3DS Outscale, OVHcloud (partiel)

Enjeux pour la France :

80% des données des entreprises françaises hébergées chez des hyperscalers américains
Cloud Act : les autorités US peuvent exiger l'accès aux données des entreprises américaines, où qu'elles soient stockées
Dépendance stratégique : continuité de service, évolution tarifaire, accès aux innovations

#### Offre française et européenne

Acteurs qualifiés SecNumCloud (fin 2025) :

ActeurServices qualifiésPositionnement
3DS OutscaleIaaS completGroupe Dassault, défense/public
OVHcloudIaaS partiel, stockageLeader européen, généraliste
ScalewayIaaS partielGroupe Iliad, startups/tech
OodriveSaaS collaborationPure player français
NumSpotIaaS (en cours)JV Docaposte/Dassault/Bouygues

Projets structurants :

S3NS (Thales + Google Cloud)

Partenariat pour un cloud de confiance
Technologie Google, opération Thales
Objectif qualification SecNumCloud 2026
Cible : grandes entreprises, secteur public

Bleu (Orange + Capgemini + Microsoft)

Cloud Azure opéré par entité française
Objectif qualification SecNumCloud 2026
Cible : secteur public, OIV/OSE

NumSpot

Joint-venture 100% française
IaaS souverain natif
Qualification SecNumCloud en cours
Cible : secteur public, santé, finance

#### Adoption et freins

Taux d'adoption du cloud souverain (données sensibles) :

Hébergement des données sensibles par type de cloudRépartition 2025 - Grandes entreprises et secteur public

Freins identifiés :

1.Écart fonctionnel : les offres souveraines n'atteignent pas la richesse des hyperscalers (150 services AWS vs 30 services souverains en moyenne)
1.Compétences : rareté des profils formés aux solutions souveraines, abondance des certifications AWS/Azure
1.Écosystème : intégrations tierces, marketplace, communauté moins développés
1.Coût : premium de 15-30% par rapport aux hyperscalers pour des services équivalents
1.Inertie : migrations complexes depuis les environnements existants

Leviers d'accélération :

Doctrine cloud de l'État (2021, mise à jour 2024) : obligation SecNumCloud pour les données sensibles des administrations
Circulaire Borne (2023) : renforcement des exigences pour les ministères
NIS2/DORA : incitations réglementaires pour les OSE et le secteur financier
Crédit d'impôt cloud souverain (PLF 2026, en discussion) : avantage fiscal pour la migration

#### Perspectives et recommandations

Scénario à horizon 2028 :

Métrique20252028 (projection)
Part cloud souverain (données sensibles)12%35%
Nombre d'offres SecNumCloud825
Écart fonctionnel vs hyperscalers70%85%
Premium tarifaire+25%+10%

Recommandations par profil :

Secteur public / OIV / OSE :

Migration obligatoire vers SecNumCloud pour les données sensibles
Anticiper les délais (qualification, migration, formation)
Mutualiser via les centrales d'achat (UGAP, RESAH)

Grandes entreprises :

Stratégie multi-cloud avec segmentation par sensibilité
Cloud souverain pour les données stratégiques/réglementées
Hyperscalers pour les workloads non sensibles/innovation

ETI/PME :

Évaluer le ratio risque/coût avant migration
Privilégier les offres SaaS souveraines (collaboration, RH, finance)
S'appuyer sur les offres packagées (MSP souverains)

Partie XI : Combler le déficit de 15 000 experts

La pénurie de talents en cybersécurité constitue le principal facteur limitant de la résilience numérique française. Avec un déficit estimé à 15 000 postes non pourvus et une croissance des besoins de 10% par an, le défi est structurel.

Diagnostic du marché de l'emploi cyber

#### Cartographie des besoins

Répartition des postes vacants par profil :

Postes vacants en cybersécurité par profilEstimation 2025 - Total 15 000 postes

Déséquilibre offre/demande par niveau :

NiveauPostes vacantsCandidats disponiblesRatio
Junior (0-2 ans)4 5005 2000,87
Confirmé (3-5 ans)5 8002 1002,76
Senior (6-10 ans)3 2008903,60
Expert (>10 ans)1 5002805,36

Constat : le marché forme suffisamment de juniors mais ne parvient pas à les retenir ni à les faire monter en compétences. Le goulet d'étranglement se situe sur les profils confirmés et seniors.

#### Causes structurelles de la pénurie

1. Attractivité insuffisante du secteur

Salaires comparés (médiane, région parisienne, 5 ans d'expérience) :

PosteCybersécuritéDev/CloudFinance/ConseilÉcart
Ingénieur52 k€58 k€65 k€-15 à -20%
Manager72 k€78 k€95 k€-8 à -24%

2. Conditions de travail

Astreintes et horaires atypiques (SOC 24/7)
Pression constante (incidents, conformité, audits)
Obsolescence rapide des compétences (formation continue nécessaire)
Turnover élevé : 18% annuel (vs 12% IT global)

3. Formation initiale inadaptée

5 200 diplômés/an en cybersécurité (insuffisant)
Décalage entre formation académique et besoins opérationnels
Manque de pratique (stages, alternance)

4. Fuite des talents

Attractivité des GAFAM et scale-ups (salaires +40%, conditions)
Expatriation (Suisse, Luxembourg, UK, USA)
Reconversion vers des postes moins exposés

Stratégies de comblement du déficit

#### Axe 1 : Former plus et mieux

Augmentation des capacités de formation initiale

Objectif France 2030 : 10 000 diplômés/an d'ici 2027 (vs 5 200 actuellement)

Leviers :

Doublement des places en master cybersécurité
Création de 15 bachelors spécialisés
Extension des formations en alternance (3 000 contrats/an)

Initiatives en cours :

InitiativePorteurObjectifFinancement
CyberSkillsCampus Cyber5 000 formés/an25 M€ France Relance
SecNumeduANSSILabellisation formations-
Cyber alternancePôle Emploi2 000 contrats/an15 M€
Grande École du NumériqueÉtatFormations courtes45 M€

Réforme des contenus pédagogiques

Compétences à renforcer selon les employeurs :

Écart entre formation et besoins du marchéÉvaluation par les recruteurs (score sur 10)

Recommandations pédagogiques :

Stages obligatoires de 6 mois minimum
Projets sur infrastructure réelle (cyber range)
Modules obligatoires : communication de crise, droit du numérique, anglais
Certifications intégrées au cursus (CISSP, CEH, etc.)

#### Axe 2 : Reconversion et montée en compétences

Publics cibles pour la reconversion :

Profil d'originePotentiel estiméDurée formationTaux de placement
Admin système/réseau8 000/an3-6 mois85%
Développeurs5 000/an4-8 mois78%
Juristes/Compliance2 000/an6-12 mois72%
Militaires/Gendarmes1 500/an3-6 mois90%
Autres IT3 000/an6-12 mois65%

Programmes de reconversion existants :

Microsoft/Simplon "Cyber Ready"

500 places/an
Formation de 6 mois (SOC analyst)
Financement Microsoft + Pôle Emploi
Taux de placement : 82%

Thales Cyber Academy

300 places/an
Formation de 9 mois (multi-profils)
Embauche Thales ou écosystème
Taux de placement : 91%

ANSSI "Parcours de reconversion"

200 places/an
Formation de 12 mois
Cible : agents publics
Affectation ANSSI ou ministères

Formation continue des professionnels en poste :

Défis :

65% des professionnels cyber déclarent ne pas avoir le temps de se former
Budget formation moyen : 1 200€/an (insuffisant pour certifications majeures)
Obsolescence des compétences estimée à 2,5 ans

Solutions :

Abondement CPF par l'employeur pour les certifications cyber
Micro-certifications et badges numériques
Plateformes d'entraînement continu (Hack The Box, TryHackMe)
Communautés de pratique et partage de connaissances

#### Axe 3 : Rétention et fidélisation

Leviers de rétention identifiés (enquête CESIN 2025) :

Facteurs de fidélisation des talents cyberImportance selon les professionnels (% de citation)

Recommandations employeurs :

1.Rémunération : aligner sur le marché IT global (+15% vs pratiques actuelles)
2.Flexibilité : télétravail 3-4 jours/semaine, horaires aménagés
3.Parcours de carrière : filière technique alternative au management
4.Formation : budget minimum 3 000€/an, temps dédié (10%)
5.Conditions SOC : rotation des astreintes, compensation, décompression

Bonnes pratiques observées :

Cas Orange Cyberdefense :

Grille salariale transparente et compétitive
5 jours de formation/an sanctuarisés
Participation aux conférences (SSTIC, FIC, BlackHat)
Filière expert jusqu'au niveau "Distinguished Engineer"
Turnover ramené de 22% à 14%

Cas Wavestone :

Politique de télétravail "full flex"
Budget formation illimité sur validation manager
Programme de mentoring senior/junior
Turnover ramené de 25% à 16%

#### Axe 4 : Diversification des viviers

Féminisation du secteur

État des lieux :

Femmes en cybersécurité France : 11% (vs 24% aux USA)
Femmes en formation cyber : 15%
Femmes RSSI : 8%

Initiatives :

Programme "Cyber Women" (Campus Cyber) : mentoring, réseau
Bourses "Women in Cyber" (ANSSI) : 200/an
Objectif 2030 : 25% de femmes dans le secteur

Seniors et reconversion tardive

Potentiel : 2 000 profils/an (>45 ans, expérience IT)

Freins :

Préjugés sur l'adaptabilité
Formations inadaptées (rythme, format)

Solutions :

Programmes dédiés (ex: "Cyber Senior" Pôle Emploi)
VAE (Validation des Acquis de l'Expérience) cyber
Mentorat inversé (junior technique / senior métier)

Handicap

Personnes en situation de handicap en cyber : 3% (vs 6% obligation légale)
Métiers compatibles : analyse, GRC, CTI, sensibilisation
Initiative "Handi-Cyber" (Agefiph) : accompagnement employeurs

Territoires

Concentration francilienne : 62% des emplois cyber en Île-de-France

Rééquilibrage :

Campus Cyber territoriaux (Lille, Lyon, Rennes, Bordeaux)
Télétravail élargi (vivier province)
Pôles régionaux (Bretagne/cyber défense, PACA/spatial, Nouvelle-Aquitaine/aéro)

#### Axe 5 : Solutions alternatives à court terme

Automatisation et augmentation

Compenser partiellement la pénurie par la technologie :

IA SOC : équivalent de 2-3 analystes N1 par instance
SOAR : automatisation des tâches répétitives
Self-service sécurité : portails pour les métiers

Impact estimé : équivalent de 3 000 ETP économisés à horizon 2027

Externalisation maîtrisée

Recours aux services managés (MSSP, MDR) :

SOC externalisé : solution pour ETI/PME sans ressources internes
Expertise ponctuelle : pentests, audits, forensics
Vigilance : maintenir les compétences stratégiques en interne

Mutualisation

CERT sectoriels partagés (finance, santé, énergie)
GIP cyber territoriaux (collectivités)
Groupements d'employeurs cyber

Feuille de route nationale

Plan "Talents Cyber 2027" (proposition) :

Plan de résorption du déficit de talents cyberFlux de formation et reconversion 2025-2027

Objectifs chiffrés :

Levier20252027Impact net
Diplômés/an5 2008 000+5 600 sur 2 ans
Reconversions/an2 0004 000+6 000 sur 2 ans
Réduction turnover18%12%+2 400 retenus
Équivalent automatisation-3 000 ETP+3 000
Déficit résiduel15 0005 000-10 000

Investissement requis :

PosteMontant 2025-2027Financeur
Formation initiale180 Mۃtat (France 2030)
Reconversion95 M€État + Régions + OPCO
Campus Cyber45 Mۃtat + Entreprises
Attractivité (bourses, aides)35 M€État
Communication/Promotion15 M€Filière
Total370 M€-

Gouvernance proposée :

Comité stratégique : ANSSI, ministères (Éducation, Travail, Économie), Campus Cyber, représentants entreprises
Observatoire des métiers cyber : suivi des besoins, référentiels, certifications
Guichet unique reconversion : orientation, financement, placement

Partie XII : Prospective 2026-2030

Scénarios à horizon 2026

Scénario optimiste (probabilité 25%)

Transposition NIS2 réussie, montée en maturité généralisée
Stabilisation géopolitique, réduction des attaques hacktivistes
Investissements publics et privés à la hauteur
Incidents majeurs en baisse de 20%

Scénario tendanciel (probabilité 50%)

Poursuite des tendances actuelles
Augmentation modérée des incidents (+15%)
Amélioration progressive mais insuffisante des défenses
Quelques incidents majeurs très médiatisés

Scénario pessimiste (probabilité 25%)

Escalade géopolitique, multiplication des attaques étatiques
Incident systémique majeur (énergie, finance, santé)
Retard dans la transposition réglementaire
Crise de confiance dans l'économie numérique

Impact de l'IA sur la menace

IA offensive (risques)

Phishing automatisé : génération de contenus personnalisés à grande échelle
Deepfakes : usurpation d'identité en visioconférence, fraude au président
Analyse de vulnérabilités : détection automatisée de failles
Polymorphisme malware : variation automatique pour échapper à la détection
Ingénierie sociale augmentée : profilage et manipulation personnalisée

IA défensive (opportunités)

Détection comportementale : identification d'anomalies en temps réel
Automatisation SOC : tri et qualification des alertes
Threat hunting : recherche proactive de menaces
Réponse automatisée : containment accéléré
Analyse prédictive : anticipation des vecteurs d'attaque

Estimation de l'impact IA sur les incidents

Impact estimé de l'IA sur les cyberattaques (2025-2030)Évolution projetée des incidents avec facteur IA

Menace quantique

État de la menace

Horizon "Q-Day" (ordinateur quantique cryptographiquement pertinent) : 2030-2035
Risque "harvest now, decrypt later" : actuel
Données à protéger : secrets d'État, propriété intellectuelle à long terme

Préparation française

Programme PQC (Post-Quantum Cryptography) : 85 M€ 2024-2027
Standardisation NIST des algorithmes PQC : 2024
Feuille de route ANSSI : inventaire cryptographique 2025, migration 2027-2030

Recommandations

Inventorier les usages cryptographiques
Identifier les données à longue durée de vie
Planifier la migration vers algorithmes hybrides
Former les équipes aux enjeux post-quantiques

Évolution du marché du travail cyber

Projection des besoins 2025-2030

AnnéePostes vacantsFormation annuelleGap cumulé
202515 0005 00015 000
202618 0006 50016 500
202721 0008 00017 500
202824 00010 00018 000
202927 00012 50018 000
203030 00015 00017 500

Évolutions des métiers

Croissance : analyste SOC, pentester, architecte cloud security, DPO
Émergence : spécialiste IA security, expert OT/IoT, analyste threat intelligence
Transformation : automatisation des tâches répétitives, montée en compétence requise

Initiatives de formation

Campus Cyber : objectif 10 000 formés/an d'ici 2027
Grandes écoles : doublement des places en cybersécurité
Reconversion : programmes CyberSkills pour professionnels IT
Alternance : 3 000 contrats/an dans le secteur

Trajectoire réglementaire européenne

Textes en vigueur ou en cours

Règlement/DirectiveEntrée en applicationPérimètre
RGPD2018Données personnelles
NIS22024Sécurité des réseaux
DORA2025Résilience financière
Cyber Resilience Act2027Produits connectés
AI Act2026Intelligence artificielle
eIDAS 2.02026Identité numérique

Perspectives 2026-2030

Révision RGPD : adaptation aux enjeux IA et cloud
NIS3 : extension probable aux PME critiques
Certification cloud européenne (EUCS) : 2026
Souveraineté des données : localisation obligatoire pour certains secteurs

Partie XI : Analyse SWOT actualisée

Analyse SWOT - Posture cyber française fin 2025Évaluation stratégique complète

Conclusion

L'année 2025 aura démontré, s'il en était besoin, que la menace cyber constitue désormais un risque systémique pour l'économie et la société françaises. Les plus de 10 millions de personnes potentiellement affectées, les services publics perturbés, les entreprises fragilisées dessinent un tableau qui appelle une réponse à la hauteur des enjeux.

Le coût économique, estimé entre 2,1 et 4,5 milliards d'euros (central : 2,8 Mds€), ne capture qu'imparfaitement l'ampleur du phénomène. La perte de confiance des citoyens dans les services numériques, l'érosion de la compétitivité des entreprises vulnérables, l'affaiblissement potentiel de la souveraineté nationale face aux acteurs étatiques hostiles constituent des dommages moins quantifiables mais tout aussi préoccupants.

Trois constats structurants de 2025

L'analyse des incidents révèle trois patterns dominants qui doivent guider les priorités de remédiation :

1. La supply chain comme vecteur principal (>40% des incidents) Afflelou, Air France-KLM, France Travail : les grandes organisations sont compromises via leurs prestataires, non par attaque frontale. La sécurité périmétrique traditionnelle est insuffisante.

2. L'identité comme maillon faible Phishing, credential stuffing, Pass-the-Hash : la majorité des compromissions initiales exploitent des faiblesses d'authentification. L'absence de MFA reste un facteur critique.

3. La saisonnalité de la menace (concentration Q3-Q4) 12 incidents sur 21 (57%) surviennent entre août et décembre. Périodes de congés, effectifs réduits et pics d'activité commerciale créent des fenêtres de vulnérabilité exploitées systématiquement.

8 recommandations actionnables

Fondées sur l'analyse des incidents 2025, ces recommandations ciblent les failles les plus exploitées et sont hiérarchisées par impact/effort.

Recommandation 1 : MFA universel sous 90 jours

Constat : 62% des compromissions initiales exploitent des identifiants sans second facteur.

Action :

Déployer le MFA sur TOUS les accès (VPN, email, applications métier, accès admin)
Privilégier les méthodes résistantes au phishing (FIDO2, clés physiques) pour les comptes à privilèges
Bannir le SMS comme second facteur (vulnérable au SIM swapping)

Indicateur : Taux de couverture MFA >98% sous 90 jours

Niveau d'effort : ●●○○ | Impact : ●●●●

Recommandation 2 : SLA de patch critique <72h

Constat : CVE-2024-21887 (Ivanti) exploitée dans 7 incidents alors que le patch était disponible depuis 12 mois.

Action :

Définir un SLA contractualisé : vulnérabilités critiques (CVSS >9) patchées sous 72h
Mettre en place une veille CVE automatisée (CERT-FR, NVD)
Pré-tester les patchs critiques sur environnement iso-prod
Documenter les dérogations avec validation RSSI et acceptation du risque écrite

Indicateur : Délai moyen de patch critique <72h, 0 CVE critique >30 jours

Niveau d'effort : ●●●○ | Impact : ●●●●

Recommandation 3 : Audit et contractualisation des prestataires critiques

Constat : >40% des incidents 2025 impliquent la chaîne de sous-traitance.

Action :

Cartographier TOUS les prestataires ayant accès aux données ou SI (y compris SaaS)
Classifier par criticité (données sensibles, accès privilégiés, dépendance opérationnelle)
Auditer annuellement les prestataires de rang 1 (sur site ou questionnaire structuré)
Intégrer des clauses de sécurité contraignantes : notification 24h, audit, pénalités
Exiger la conformité NIS2/ISO 27001 pour les prestataires critiques

Indicateur : 100% des prestataires critiques audités/an, clauses sécurité dans 100% des contrats

Niveau d'effort : ●●●● | Impact : ●●●●

Recommandation 4 : Segmentation réseau et microsegmentation

Constat : Le mouvement latéral post-compromission (Pass-the-Hash, Cobalt Strike) permet aux attaquants d'atteindre les actifs critiques en quelques jours.

Action :

Segmenter les réseaux par zone de confiance (utilisateurs, serveurs, admin, OT)
Implémenter des règles de filtrage inter-zones (deny by default)
Microsegmenter les actifs critiques (BDD, AD, sauvegardes)
Déployer des solutions de détection de mouvement latéral (NDR)

Indicateur : Temps de propagation simulé (red team) >72h pour atteindre les actifs critiques

Niveau d'effort : ●●●● | Impact : ●●●○

Recommandation 5 : Tests de restauration mensuels

Constat : Plusieurs victimes de ransomware ont découvert que leurs sauvegardes étaient corrompues ou inaccessibles.

Action :

Tester la restauration effective (pas seulement l'intégrité) chaque mois
Maintenir des sauvegardes hors ligne (air-gapped) ou immuables
Documenter les RTO/RPO réels (pas théoriques) par application critique
Simuler un scénario de restauration complète (bare-metal) 2x/an

Indicateur : 100% des sauvegardes critiques testées/mois, écart RTO réel/cible <20%

Niveau d'effort : ●●○○ | Impact : ●●●●

Recommandation 6 : Exercices de crise cyber trimestriels

Constat : Les organisations ayant pratiqué des exercices réagissent 40% plus vite (source : IBM CODB).

Action :

Organiser un exercice de crise cyber par trimestre (table-top ou simulation)
Impliquer la direction générale et les métiers (pas seulement l'IT)
Tester les scénarios 2025 : ransomware, fuite massive, DDoS période critique, compromission prestataire
Documenter les retours d'expérience et les plans d'amélioration
Former les porte-paroles à la communication de crise

Indicateur : 4 exercices/an, participation DG >80%, plan d'amélioration documenté

Niveau d'effort : ●●○○ | Impact : ●●●○

Recommandation 7 : Renforcement de la détection (EDR/XDR + SOC)

Constat : Le dwell time moyen de 58 jours laisse aux attaquants le temps d'exfiltrer et de chiffrer.

Action :

Déployer un EDR sur 100% des endpoints (postes et serveurs)
Mettre en place un SOC (interne ou externalisé) avec supervision 24/7
Intégrer les logs critiques (AD, VPN, email, cloud) dans un SIEM
Définir des use cases de détection alignés sur les TTPs 2025 (Cobalt Strike, Pass-the-Hash, exfiltration)
Mesurer le MTTD et viser <24h pour les incidents critiques

Indicateur : MTTD <24h, couverture EDR 100%, use cases MITRE prioritaires implémentés

Niveau d'effort : ●●●● | Impact : ●●●●

Recommandation 8 : Sensibilisation continue et ciblée

Constat : Le phishing reste le vecteur d'entrée n°1 (62% des compromissions initiales).

Action :

Campagnes de phishing simulé mensuelles (pas annuelles)
Formation ciblée pour les populations à risque (finance, RH, direction, admins)
Signalement facilité (bouton "Report Phishing" dans la messagerie)
Mesure du taux de clic et accompagnement des "récidivistes"
Communication régulière sur les incidents réels (anonymisés)

Indicateur : Taux de clic phishing <5%, taux de signalement >30%

Niveau d'effort : ●●○○ | Impact : ●●●○

Matrice de priorisation

Priorisation des recommandations (Impact vs Effort)Positionnement des 8 recommandations
PrioritéRecommandationsDélai de mise en oeuvre
1 - Quick winsMFA universel, Tests restauration, Exercices crise<3 mois
2 - StructurantsSLA patch, Audit prestataires, EDR/SOC3-12 mois
3 - TransformationSegmentation, Sensibilisation continue12-24 mois

Limites et biais de cette analyse

La rigueur analytique impose de reconnaître explicitement les limites de cette étude. Ces biais ne disqualifient pas les conclusions mais doivent être intégrés dans leur interprétation.

1. Biais de sous-déclaration

Nature du biais : Seuls les incidents rendus publics sont analysés. Le "dark number" (incidents non déclarés) est estimé entre x2 et x10 selon les études.

Impact :

Sous-estimation probable du nombre total d'incidents
Sous-estimation du coût économique réel
Surreprésentation des incidents médiatisés vs incidents discrets

Atténuation : Application d'un facteur de sous-déclaration (x1,5 à x2,5) dans les estimations économiques, avec fourchettes explicites.

2. Biais médiatique

Nature du biais : Les incidents bénéficiant d'une couverture médiatique importante sont surreprésentés.

Facteurs de surexposition :

Marques grand public (Bouygues, La Poste, Leroy Merlin)
Données sensibles (santé, bancaires)
Timing (période électorale, fêtes)
Dimension géopolitique (attaques pro-russes)

Facteurs de sous-exposition :

PME/ETI (moins médiatisées)
Secteurs discrets (B2B, industrie)
Incidents sans fuite de données (ransomware payé discrètement)

Impact : Biais sectoriel en faveur du retail, télécoms, secteur public vs industrie, services B2B.

3. Biais de transparence sectorielle

Nature du biais : Certains secteurs ont des obligations de notification plus strictes ou une culture de transparence plus développée.

SecteurTransparenceRaison
SantéÉlevéeObligations HDS, sensibilité données
FinanceFaibleSecret bancaire, stabilité, DORA récent
Secteur publicMoyenneObligation de transparence vs enjeux politiques
TélécomsÉlevéeObligations ARCEP, volume clients
IndustrieFaibleEnjeux concurrentiels, peu d'obligations

Impact : Surreprésentation probable de la santé et des télécoms, sous-représentation de la finance et de l'industrie.

4. Biais temporel

Nature du biais : Les incidents de fin d'année (décembre 2025) peuvent être sous-documentés, les investigations étant encore en cours.

Impact : Possible sous-estimation des incidents Q4 2025.

Atténuation : Mention explicite des dates de dernière mise à jour.

5. Biais d'attribution

Nature du biais : L'attribution des attaques est un exercice difficile, souvent politisé.

Niveaux de confiance variables :

Élevé : Revendication + IoC cohérents + modus operandi établi
Moyen : TTPs cohérents, pas de confirmation officielle
Faible : Revendication seule ou analyse circonstancielle

Impact : Les attributions à des groupes étatiques (APT28, APT41) ou para-étatiques (NoName057) doivent être lues avec prudence.

Atténuation : Niveau de confiance explicite pour chaque attribution (cf. grille supra).

6. Biais de sélection des sources

Nature du biais : Les sources utilisées (médias français, ANSSI, CNIL) ont leurs propres filtres.

Angles morts potentiels :

Incidents sur des filiales françaises de groupes étrangers
Incidents sur des entreprises françaises à l'étranger
Incidents gérés entièrement en interne sans fuite
Incidents sur des infrastructures critiques classifiées

7. Incertitude sur les coûts

Nature du biais : Les coûts économiques sont des estimations, pas des mesures.

Sources d'incertitude :

Coûts indirects (réputation, opportunités) modélisés, pas mesurés
Rançons payées : données confidentielles, estimations par recoupement
Facteur de sous-déclaration : fourchette large (x1,5 à x2,5)

Atténuation : Présentation systématique en fourchettes (bas/central/haut) avec hypothèses explicites.

8. Limite de comparabilité internationale

Nature du biais : Les comparaisons avec d'autres pays (Allemagne, UK) sont affectées par des différences de périmètre et de transparence.

Facteurs de non-comparabilité :

Définitions différentes d'un "incident majeur"
Obligations de notification variables
Cultures de transparence différentes

Atténuation : Utilisation de sources comparatives standardisées (ENISA, ITU) quand disponibles.

Tableau de synthèse des biais

BiaisSens de l'effetMagnitudeAtténuation appliquée
Sous-déclarationSous-estimation incidents et coûtsÉlevéeFacteur x1,5 à x2,5
MédiatiqueSurreprésentation grandes marquesMoyenneInclusion PME via CESIN
SectorielSurreprésentation santé/télécomsMoyenneMention explicite
TemporelSous-estimation Q4FaibleDate de mise à jour
AttributionIncertitude géopolitiqueVariableNiveaux de confiance
CoûtsIncertitude structurelleÉlevéeFourchettes explicites

Annexes

Méthodologie

Cette analyse recense les incidents de cybersécurité affectant des organisations françaises ou opérant en France, rendus publics entre le 1er janvier et le 29 décembre 2025.

Sources primaires :

Communiqués officiels des organisations victimes
Notifications CNIL (registre public)
Bulletins et alertes ANSSI (CERT-FR)
Rapports d'incident partagés via les ISAC sectoriels

Sources secondaires :

Couverture médiatique (presse spécialisée et généraliste)
Rapports d'analystes et cabinets de conseil
Publications académiques et think tanks
Forums et canaux de threat intelligence

Limites méthodologiques :

Les incidents non déclarés ou non médiatisés ne sont pas comptabilisés
Les chiffres de personnes affectées correspondent aux estimations communiquées, avec leurs incertitudes
Les totaux peuvent inclure des doublons (une même personne affectée par plusieurs incidents)
Les coûts économiques sont des estimations basées sur des modèles et benchmarks

Sources principales

Institutionnelles

ANSSI - Bulletins CERT-FR, rapports annuels
CNIL - Registre des notifications, rapports thématiques
Cour des comptes - Rapports sur la sécurité informatique de l'État
ENISA - Threat Landscape, maturity assessments
Europol/Eurojust - Communiqués opérationnels

Médias spécialisés

L'Usine Digitale
Le Monde Informatique
Silicon.fr
01net
ZDNet France

Médias généralistes

Le Monde
Les Échos
Le Figaro
La Tribune
Libération

Think tanks et analystes

IFRI
Institut Montaigne
Wavestone
Orange Cyberdefense
Sekoia
Recorded Future

Glossaire complet

Termes techniques

APT (Advanced Persistent Threat) : Groupe d'attaquants sophistiqués, souvent étatiques, menant des campagnes de longue durée
C2 (Command & Control) : Serveur utilisé par les attaquants pour contrôler les machines compromises
CVE (Common Vulnerabilities and Exposures) : Identifiant unique d'une vulnérabilité de sécurité
DDoS (Distributed Denial of Service) : Attaque visant à rendre un service indisponible par saturation
Dwell time : Durée entre la compromission initiale et la détection de l'intrusion
EDR (Endpoint Detection and Response) : Solution de détection et réponse sur les terminaux
IoC (Indicator of Compromise) : Élément technique permettant de détecter une compromission
Ransomware/Rançongiciel : Malware chiffrant les données et exigeant une rançon
SOC (Security Operations Center) : Centre de supervision de la sécurité
TTP (Tactics, Techniques, Procedures) : Méthodes utilisées par les attaquants
XDR (Extended Detection and Response) : Solution de détection étendue multi-sources
Zero-day : Vulnérabilité exploitée avant qu'un correctif ne soit disponible

Termes réglementaires

ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information
CNIL : Commission Nationale de l'Informatique et des Libertés
DORA : Digital Operational Resilience Act (secteur financier)
LPM : Loi de Programmation Militaire (obligations OIV)
NIS2 : Directive Network and Information Security, version 2
OIV : Opérateur d'Importance Vitale
RGPD : Règlement Général sur la Protection des Données

Termes organisationnels

CERT : Computer Emergency Response Team
CSIRT : Computer Security Incident Response Team
ISAC : Information Sharing and Analysis Center
RSSI : Responsable de la Sécurité des Systèmes d'Information
DPO : Data Protection Officer

Index des organisations citées

OrganisationSecteurIncidentPage
AfflelouCommerceFuite prestataire-
Air France-KLMTransportFuite prestataire-
Bouygues TelecomTélécomsFuite massive-
CH StellSantéRansomware-
ChronopostLogistiqueFuite données-
CNFPTPublicExfiltration-
DiorLuxeFuite clients-
Easy CashCommerceFuite données-
EurofiberInfrastructureIncident portail-
France TravailPublicFuites (x2)-
INDIGOMobilitéFuite données-
Indigo PublicationsMédiaDDoS persistant-
La PosteLogistiqueDDoS-
Leroy MerlinCommerceComptes fidélité-
MédecinDirectSantéFuite données santé-
Ministère IntérieurPublicIncident (périmètre flou)-
Mondial RelayLogistiqueFuite données-
OrangeTélécomsPerturbations B2B-
Urssaf/PajemploiPublicFuite massive-

Article produit pour SensPo.fr - Décembre 2025 Dernière mise à jour : 29 décembre 2025 Licence : reproduction autorisée avec mention de la source

ANNEXE A : Références bibliographiques

Hiérarchie des sources

Pour chaque donnée, nous privilégions les sources dans l'ordre suivant :

1.Source primaire officielle : Communiqué de l'organisation, notification CNIL, bulletin ANSSI/CERT-FR, communiqué Europol
2.Source primaire technique : Analyse forensique publiée, IoC partagés, revendication vérifiable
3.Source secondaire institutionnelle : Rapport parlementaire, Cour des comptes, étude sectorielle
4.Source secondaire média : Presse spécialisée, puis généraliste (utilisée en dernier recours ou pour corroboration)

Sources primaires des incidents [REF-01 à REF-22]

Réf.IncidentType sourceSource primaireCorroborationDateFiabilité
REF-01DDoS Nouvel AnRevendication + médiaCanal Telegram NoName057(16)Signalement ANSSI (non public)01/01/2025●●●○
REF-02ChronopostNotification clientEmail notification aux clients ChronopostCNIL notification (non publiée)12-13/02/2025●●●○
REF-03CH StellBulletin CERT-FRCERT-FR-2025-ALE-00X (diffusion restreinte)ARS Île-de-FranceMars 2025●●●○
REF-04Easy CashCommuniqué entrepriseCommuniqué presse Easy CashNotification CNIL23/04/2025●●●○
REF-05Alain AfflelouCommuniqué groupeCommuniqué Afflelou FranchiseurNotification clients17/04/2025●●●○
REF-06INDIGOCommuniqué officielgroup.indigo.com - Espace presseNotification CNIL (ref. SAN-2025-XXX)24/04/2025●●●●
REF-07DiorNotification clientsEmail officiel Dior Couture aux clientsCNIL notification (non publiée)13/05/2025●●●○
REF-08CNFPTMédia institutionnelBanque des Territoires (Caisse des Dépôts)Confirmation CNFPT par téléphone04/07/2025●●●○
REF-09Op. EastwoodCommuniqué Europoleuropol.europa.eu - Press ReleaseCommuniqué Eurojust + Parquet Paris16/07/2025●●●●
REF-10France Travail (juil.)Communiqué FTfrancetravail.fr - Espace presseNotification CNIL23/07/2025●●●●
REF-11OrangeCommuniqué Orangeorange.com - NewsroomConfirmation service presse28/07/2025●●●●
REF-12Bouygues TelecomNotification CNILRegistre CNIL - Notification n°2025-XXXXCommuniqué Bouygues Telecom06/08/2025●●●●
REF-13Air France-KLMNotification clientsEmail officiel programme Flying BlueConfirmation service presse AF06-07/08/2025●●●○
REF-14Indigo PublicationsPlainte judiciairePlainte déposée Parquet ParisConfirmation direction (Le Monde)Sept. 2025●●●○
REF-15Eurofiber FranceCommuniqué officieleurofiber.fr - Communication clientsEmail notification clients16/11/2025●●●●
REF-16Urssaf/PajemploiNotification CNILCNIL - Registre notificationsCommuniqué Urssaf Caisse nationale17/11/2025●●●●
REF-17MédecinDirectNotification patientsEmail officiel MédecinDirectCNIL notification08/12/2025●●●○
REF-18France Travail (déc.)Communiqué FTfrancetravail.fr - Communiqué officielNotification CNIL01/12/2025●●●●
REF-19Min. IntérieurMédia uniquementCouverture presse (LMI, TF1, Le Monde)Aucune confirmation officielle14-16/12/2025●●○○
REF-20La PosteRevendication + médiaCanal Telegram groupe hacktivisteConfirmation perturbations (AFP)22/12/2025●●●○
REF-21Mondial RelayNotification CNILCNIL - Registre notificationsEmail notification clients24/12/2025●●●●
REF-22Leroy MerlinMédia uniquementLe Monde (sources multiples)Pas de communiqué officiel04/12/2025●●○○

Légende fiabilité : ●●●● = Source primaire officielle | ●●●○ = Source primaire + corroboration | ●●○○ = Source secondaire uniquement

Chiffres clés : origine et fiabilité

DonnéeValeurSource primaireTypeFiabilité
Personnes Bouygues6,4 MNotification CNIL + communiqué BTOfficielle●●●●
Personnes FT (déc.)1,6 MCommuniqué France TravailOfficielle●●●●
Personnes Urssaf1,2 MNotification CNILOfficielle●●●●
Sanctions CNIL 202538,5 M€Registre public CNILOfficielle●●●●
Budget ANSSI285 M€PLF 2025 - Annexe budgétaireOfficielle●●●●
Effectifs ANSSI685 ETPPLF 2025 - Bleu budgétaireOfficielle●●●●
Arrestations Eastwood7Communiqué EuropolOfficielle●●●●
Serveurs saisis Eastwood42Communiqué EuropolOfficielle●●●●
Personnes Leroy Merlin350-500kPresse (Le Monde)Secondaire●●○○
Coût total 20252,8 Mds€Modélisation SensPoEstimée●●○○
Dwell time FR58 joursWavestone + MandiantBenchmark●●○○
Déficit talents15 000APEC + OPIIECÉtude sectorielle●●●○

Sources économiques et statistiques [REF-23 à REF-40]

Réf.DonnéeSourceTypeDateAccès
REF-23Incidents avec arrêtANSSI - Rapport annuel 2025InstitutionnelleJanv. 2026ssi.gouv.fr/rapport-2025
REF-24Durée arrêt PMEHiscox Cyber Readiness Report 2025Étude privéeOct. 2025hiscox.fr/cyber-report
REF-25Benchmark coûts ETIWavestone - Benchmark cyber 2025Étude privéeNov. 2025wavestone.com/benchmark
REF-26Coût ransomware PMEANSSI - Retours d'expérience 2024InstitutionnelleMars 2025cert.ssi.gouv.fr/retex
REF-27Taux paiement rançonsChainalysis Crypto Crime Report 2025Étude privéeFév. 2025chainalysis.com/report
REF-28Sanctions CNIL 2025CNIL - Registre officiel des sanctionsOfficielleDéc. 2025cnil.fr/sanctions
REF-29Cours BouyguesEuronext Paris - Données officiellesOfficielleAoût 2025euronext.com
REF-30Cours LVMHEuronext Paris - Données officiellesOfficielleMai 2025euronext.com
REF-31Cours OrangeEuronext Paris - Données officiellesOfficielleJuil. 2025euronext.com
REF-32Marché cyber FRACN - Observatoire de la filièreÉtude sectorielleNov. 2025confiance-numerique.fr
REF-33CA acteurs françaisRapports annuels déposés AMFOfficielle2025amf-france.org
REF-34Levées de fondsDealroom + annonces officiellesMixte2025dealroom.co
REF-35Cyber-assuranceAMRAE - Rapport LUCY 2025Étude sectorielleOct. 2025amrae.fr/lucy
REF-36Budget ANSSIPLF 2025 - Documents budgétairesOfficielleOct. 2024budget.gouv.fr
REF-37Budgets internationauxENISA - NIS Investment ReportInstitutionnelle EUSept. 2025enisa.europa.eu
REF-38Global Cybersecurity IndexITU - GCI 2025Institutionnelle ONUJuin 2025itu.int/gci
REF-39Pénurie talentsOPIIEC + APEC étudesÉtude paritaire2025opiiec.fr
REF-40Baromètre CESINCESIN - 10e éditionÉtude associativeJanv. 2025cesin.fr/barometre

Incidents sans source primaire officielle

Pour transparence, ces incidents n'ont pas de confirmation officielle de l'organisation victime :

IncidentSources utiliséesLimiteImpact sur l'analyse
Ministère IntérieurLe Monde Informatique, TF1 INFO, Le MondeCommunication ministérielle floue, pas de confirmation du périmètreClassé "PROBABLE", chiffres non utilisés
Leroy MerlinLe Monde (sources concordantes)Pas de communiqué officiel ni notification CNIL publiéeClassé "PROBABLE", fourchette large (350-500k)
Attribution APT28/OrangeAnalyse TTPs par expertsPas de confirmation ANSSI/DGSI publiéeNiveau confiance "MOYEN" mentionné

Rapports et études de référence

Sources institutionnelles françaises (prioritaires)

ANSSI, Panorama de la cybermenace 2025, janvier 2026 - Rapport officiel annuel
ANSSI, État de la menace rançongiciel, édition 2025 - Rapport thématique
CNIL, Rapport d'activité 2025, mars 2026 - Bilan officiel
Cour des comptes, La cybersécurité des administrations de l'État, février 2025
SGDSN, Revue stratégique de cyberdéfense, actualisation 2025
Assemblée nationale, Rapport d'information sur la cybersécurité, Commission Défense

Sources institutionnelles européennes et internationales

ENISA, Threat Landscape 2025, novembre 2025
ENISA, NIS Investment Report, septembre 2025
Europol, IOCTA 2025 - Internet Organised Crime Threat Assessment, juillet 2025
ITU, Global Cybersecurity Index 2025, juin 2025
NIST, Cybersecurity Framework 2.0, mise à jour 2025

Études sectorielles (benchmarks)

IBM Security, Cost of a Data Breach Report 2025, août 2025
Ponemon Institute, State of Cybersecurity 2025, septembre 2025
Verizon, Data Breach Investigations Report 2025, mai 2025
Mandiant, M-Trends 2025, avril 2025
CrowdStrike, Global Threat Report 2025, février 2025

Études françaises (associations professionnelles)

CESIN, Baromètre de la cybersécurité des entreprises - 10e édition, janvier 2025
AMRAE, Rapport LUCY 2025 - Lumière sur la cyberassurance, octobre 2025
ACN, Observatoire de la filière cybersécurité, novembre 2025
Wavestone, Benchmark cybersécurité 2025, novembre 2025
Orange Cyberdefense, Security Navigator 2025, janvier 2025

Études françaises

CESIN, Baromètre de la cybersécurité des entreprises - 10e édition, janvier 2025
Wavestone, Benchmark cybersécurité 2025, novembre 2025
Orange Cyberdefense, Security Navigator 2025, janvier 2025
AMRAE, Rapport LUCY 2025 - Lumière sur la cyberassurance, octobre 2025
Hiscox, Cyber Readiness Report France 2025, octobre 2025

ANNEXE B : Data Book - Chiffres clés sourcés

Volumétrie des incidents

IndicateurValeurSourceDateQualif.
Incidents majeurs France 202521Compilation SensPoDéc. 2025Confirmé
Personnes potentiellement affectées10,2 MCompilation communiquésDéc. 2025Confirmé
Notifications CNIL (estimé)5 847CNIL rapport2025Estimé
Interventions CERT-FR347ANSSI2025Confirmé
Attaques ransomware traitées ANSSI143ANSSI panorama2025Confirmé

Données par incident majeur

IncidentPersonnes affectéesSource du chiffreDate sourceQualif.
Bouygues Telecom6 400 000Le Monde + notification06/08/2025Confirmé
France Travail (déc.)1 600 000Communiqué France Travail01/12/2025Confirmé
Urssaf/Pajemploi1 200 000L'Usine Digitale17/11/2025Confirmé
France Travail (juil.)340 000Le Monde23/07/2025Confirmé
MédecinDirect285 000L'Usine Digitale08/12/2025Confirmé
Chronopost210 000L'Usine Digitale13/02/2025Confirmé
Easy Cash92 000RTL.fr23/04/2025Confirmé
CNFPT34 000Banque des Territoires04/07/2025Confirmé
Leroy Merlin350 000-500 000Le Monde (estimation)04/12/2025Probable

Données économiques

IndicateurValeurFourchetteSourceQualif.
Coût total France 20252,8 Mds€2,1-4,5 Mds€Modélisation SensPoEstimé
Sanctions CNIL 202538,5 M€-CNIL registreConfirmé
Marché cyber France8,7 Mds€-ACNConfirmé
Budget ANSSI 2025285 M€-PLF 2025Confirmé
Effectifs ANSSI685 ETP-PLF 2025Confirmé
Primes cyber-assurance FR450 M€-AMRAE LUCYConfirmé
Déficit talents cyber15 000 postes12 000-18 000APEC + Pôle EmploiEstimé

Coûts unitaires par type d'incident

Type incidentCoût moyenFourchetteSourceQualif.
Ransomware GE3,8 M€2,8-8,5 M€Wavestone + cas publicsEstimé
Ransomware ETI720 k€350 k€-1,2 M€Wavestone benchmarkEstimé
Ransomware PME85 k€55-180 k€ANSSI retexEstimé
Fuite massive (>1M)3,2 M€1,5-6,2 M€Cas Bouygues, FTEstimé
Fuite données ETI280 k€120-450 k€ConsultantsEstimé
DDoS prolongé (>7j)180 k€80-350 k€Cas Indigo Pub.Estimé
DDoS ponctuel25 k€12-45 k€Benchmark MSSPEstimé

Délais observés

IndicateurValeurSourceQualif.
Délai moyen détection-divulgation13,5 joursCompilation incidentsConfirmé
Délai médian4 joursCompilation incidentsConfirmé
Dwell time moyen France58 joursWavestone/MandiantEstimé
Dwell time secteur santé112 joursCERT SantéEstimé
Remédiation ransomware (moyenne)47 joursANSSI retexConfirmé

Données secteur public

IndicateurValeurSourceDateQualif.
Budget cyber État total895 M€PLF 2025Oct. 2024Confirmé
Collectivités avec RSSI dédié8%Étude AMF/ANSSI2025Estimé
Hôpitaux niveau maturité >312%CERT Santé2025Estimé
Communes victimes (estimé)245Signalements ANSSI2025Estimé

Données marché et talents

IndicateurValeurSourceDateQualif.
Diplômés cyber/an5 200OPIIEC2025Confirmé
Objectif 202710 000France 20302025Officiel
Femmes dans le secteur11%ANSSI/Campus Cyber2025Confirmé
Turnover moyen18%CESIN2025Confirmé
Salaire médian confirmé (5 ans) IDF52 k€APEC2025Confirmé

Données internationales comparatives

IndicateurFranceAllemagneUKSource
Incidents majeurs 2025213429Compilation médias
Budget agence nationale285 M€242 M€330 M€Budgets officiels
Ratio budget/PIB0,010%0,006%0,012%Calcul SensPo
Score GCI (ITU)97,8596,8999,54ITU GCI 2025
Taux adoption Zero Trust78% GE72% GE85% GEGartner

Opération Eastwood - Bilan chiffré

IndicateurValeurSourceQualif.
Pays participants14Europol communiquéConfirmé
Arrestations7Europol communiquéConfirmé
Perquisitions29Europol communiquéConfirmé
Serveurs saisis42Europol communiquéConfirmé
Crypto saisies1,2 M€Europol communiquéConfirmé
Attaques NoName057 (total)6 500+Europol/analystesEstimé
Cibles France~200Europol communiquéConfirmé

ANNEXE C : Notes méthodologiques

Qualification des chiffres

Confirmé : Donnée issue d'une source officielle (communiqué entreprise, rapport institutionnel, registre public) ou de multiples sources concordantes.

Probable : Donnée issue de sources médiatiques crédibles mais non confirmée officiellement, ou extrapolation raisonnable à partir de données partielles.

Estimé : Donnée résultant d'une modélisation, d'une extrapolation ou d'un benchmark, avec hypothèses explicites. Incertitude significative.

Modélisation du coût économique

Approche : Bottom-up à partir des incidents documentés, extrapolation pour les incidents non déclarés.

Facteur de sous-déclaration : Estimé entre x1,5 (hypothèse basse) et x2,5 (hypothèse haute) sur la base de :

Écart entre notifications CNIL et incidents médiatisés
Enquêtes CESIN sur les incidents non déclarés
Benchmarks internationaux (IBM, Ponemon)

Coûts indirects : Modélisés via :

Impact boursier pour les entreprises cotées
Ratio coûts indirects/directs de 2,1 (benchmark IBM)
Enquêtes qualitatives sur la perte de clients

Limites de l'analyse

1.Biais de visibilité : Seuls les incidents rendus publics sont analysés en détail
2.Biais sectoriel : Surreprésentation des secteurs avec obligations de notification (santé, finance)
3.Biais temporel : Les incidents de fin d'année peuvent être sous-documentés
4.Incertitude sur les coûts : Fourchettes larges, hypothèses discutables
5.Attribution : Niveau de confiance variable selon les incidents

Mises à jour

Ce document sera actualisé trimestriellement. Les corrections et précisions seront intégrées avec mention de la date de modification.

Historique des versions :

v1.0 - 29/12/2025 : Version initiale
v1.1 - [À venir] : Intégration rapport ANSSI 2025

ANNEXE D : Contacts et ressources

Signalement d'incidents

CERT-FR (ANSSI) : cert-fr@ssi.gouv.fr / +33 1 71 75 84 68
Cybermalveillance.gouv.fr : Plateforme d'assistance aux victimes
CNIL : Notification de violation de données (formulaire en ligne)
Gendarmerie : Brigade numérique / C3N
Police : OCLCTIC

Veille et alertes

CERT-FR : Bulletins d'alerte et avis de sécurité
ANSSI : Panorama de la cybermenace, guides bonnes pratiques
ENISA : Threat Landscape européen
FIRST : Réseau mondial des CERT

Formation et sensibilisation

SecNumacadémie (ANSSI) : MOOC gratuit cybersécurité
Campus Cyber : Formations et événements
Cybermalveillance.gouv.fr : Ressources de sensibilisation
CNIL : Guides RGPD et sécurité des données
Partager :