>
Synthèse exécutive
L'année 2025 restera dans les annales de la cybersécurité française comme un tournant majeur. Avec 21 incidents majeurs documentés touchant des organisations françaises, le bilan révèle une accélération sans précédent des menaces, une diversification des vecteurs d'attaque et une professionnalisation croissante des acteurs malveillants.
Le cumul des personnes potentiellement affectées par les incidents 2025 dépasse les 10 millions d'individus, avec des pics particulièrement alarmants : 6,4 millions chez Bouygues Telecom, 1,6 million via France Travail/Missions locales, 1,2 million via l'Urssaf/Pajemploi. Ces chiffres, qui ne comptabilisent que les incidents déclarés, représentent vraisemblablement la partie émergée de l'iceberg. À noter : l'incident Free d'octobre 2024 (19,2 millions de clients, 5,1 millions d'IBAN) continue de produire ses effets en 2025 avec l'arrestation de l'auteur présumé et des réquisitions CNIL de 48 millions d'euros.
Coût économique total estimé : entre 2,1 et 4,5 milliards d'euros (estimation centrale : 2,8 Mds€), incluant les pertes d'exploitation, coûts de remédiation, impacts réputationnels et sanctions réglementaires. Cette fourchette reflète l'incertitude inhérente à l'exercice, notamment le facteur de sous-déclaration des incidents (voir méthodologie détaillée en Partie II). Ce montant, en hausse de 20 à 35% par rapport à 2024 selon les hypothèses, place la France au troisième rang européen des pays les plus touchés en volume d'incidents publics, derrière l'Allemagne et le Royaume-Uni (source : compilation ENISA Threat Landscape 2025 + veille SensPo ; ces classements dépendent des obligations de notification et de la transparence, variables selon les pays).
>
>
>
>
>
Note méthodologique : périmètre et comptage
Ce que cette étude inclut
| Critère | Inclus | Exclus |
|---|---|---|
| Géographie | Organisations ayant leur siège en France | Filiales françaises de groupes étrangers (sauf si incident spécifiquement français) |
| Incidents affectant des résidents français | Incidents sur des Français à l'étranger | |
| Type d'entité | Entreprises privées (toutes tailles) | Particuliers (hors victimes de fuites) |
| Administrations et établissements publics | ||
| Associations et fondations | ||
| Nature d'incident | Fuites de données confirmées ou probables | Tentatives d'intrusion sans succès |
| Ransomware avec impact opérationnel | Incidents purement internes sans exfiltration | |
| DDoS avec perturbation de service significative (>2h) | Micro-incidents ou incidents mineurs | |
| Compromission de systèmes avec accès malveillant | Vulnérabilités découvertes mais non exploitées | |
| Temporalité | Incidents survenus entre le 1er janvier et le 29 décembre 2025 | Incidents antérieurs révélés en 2025 (comptés à la date de survenue) |
| Incidents révélés en 2025 même si survenue antérieure inconnue | ||
| Seuil de significativité | >10 000 personnes affectées OU | Incidents <10 000 personnes sans autre critère |
| Impact opérationnel majeur (>24h) OU | ||
| Couverture médiatique nationale OU | ||
| Données sensibles (santé, bancaires, biométriques) |
Cas particuliers traités
Incidents internationaux avec impact France :
Chaîne de sous-traitance :
Incidents multiples sur une même entité :
Source de vérité : chiffres clés unifiés
Tableau de synthèse des indicateurs principaux
| Indicateur | Valeur centrale | Fourchette | Niveau de confiance | Hypothèses clés |
|---|---|---|---|---|
| Incidents majeurs recensés | 21 | - | ÉLEVÉ | Critères de seuil explicites (cf. méthodologie) |
| Personnes potentiellement affectées | 10,2 M | 9,8-11,5 M | ÉLEVÉ | Somme des chiffres communiqués |
| Coût économique total | 2,8 Mds€ | 2,1-4,5 Mds€ | MOYEN | Sous-déclaration x1,5 à x2,5 |
| Incidents avec données bancaires | 2 | 2-3 | ÉLEVÉ | IBAN explicitement confirmé (Bouygues, Urssaf) |
| Délai moyen détection-divulgation | 13,5 j | - | ÉLEVÉ | Incidents avec dates connues |
| Taux d'incidents confirmés | 76% | - | ÉLEVÉ | 16/21 avec source officielle |
>
Encadré : ce qui est certain vs ce qui est estimé
CE QUI EST CERTAIN (sources officielles, données vérifiables)
CE QUI EST ESTIMÉ (modélisations, extrapolations, benchmarks)
- Hypothèse : facteur de sous-déclaration x1,5 (bas) à x2,5 (haut) - Source : modélisation bottom-up + benchmarks IBM/Ponemon
- Hypothèse : ratio incidents majeurs/total de 1:40 - Source : extrapolation ANSSI + CESIN
- Hypothèse : postes ouverts >6 mois non pourvus - Source : APEC + Pôle Emploi + enquêtes CESIN
- Hypothèse : taux de paiement France 18% - Source : Chainalysis + interviews confidentielles
- Hypothèse : moyenne pondérée par secteur - Source : Wavestone + Mandiant M-Trends
CE QUI RESTE INCONNU
Table des chiffres contestables
Cette table recense explicitement les données à confiance faible ou moyenne utilisées dans l'article. Elle constitue une cartographie des zones grises de l'analyse.
| Chiffre | Valeur citée | Confiance | Pourquoi c'est contestable | Ce qu'il faudrait pour confirmer |
|---|---|---|---|---|
| Coût économique total | 2,8 Mds€ | ●●○○ MOYEN | Modélisation avec hypothèses multiples, facteur sous-déclaration incertain | Enquête exhaustive type INSEE/Banque de France |
| Rançons payées France | 11 M€ | ●○○○ FAIBLE | Données confidentielles, taux de paiement extrapolé des USA | Déclarations obligatoires (inexistantes) |
| Taux de paiement FR | 18% | ●○○○ FAIBLE | Extrapolation Chainalysis, biais échantillon crypto-tracé | Enquête confidentielle ANSSI/assureurs |
| Dwell time santé | 112 jours | ●○○○ FAIBLE | Échantillon n=8, non représentatif | Étude CERT Santé sur >50 incidents |
| Dwell time moyen FR | 58 jours | ●●○○ MOYEN | Agrégation sources hétérogènes, biais vers grandes entreprises | Panel représentatif toutes tailles |
| Botnet NoName057 | 40-50 000 machines | ●●○○ MOYEN | Estimation dynamique, pics variables, comptage difficile | Analyse coordonnée multi-opérateurs |
| Trafic DDoS max | 700-900 Gbps | ●●○○ MOYEN | Données opérateurs agrégées non publiées | Publication officielle opérateurs |
| Déficit talents | 15 000 postes | ●●○○ MOYEN | Définition "poste vacant" variable, double-comptage possible | Observatoire métiers cyber standardisé |
| Coût moyen ransomware GE | 3,8 M€ | ●●○○ MOYEN | Peu de cas publics, biais survivant | Base incidents anonymisée partagée |
| Attribution APT28/Orange | Attribué | ●●○○ MOYEN | TTPs cohérents mais pas de confirmation officielle FR | Publication ANSSI ou services |
| Attribution Min. Intérieur | Groupe pro-UA | ●○○○ FAIBLE | Revendication non vérifiée, démentis officiels partiels | Enquête judiciaire close |
| Leroy Merlin victimes | 350-500k | ●○○○ FAIBLE | Pas de communiqué officiel, sources presse uniquement | Notification CNIL publiée |
| Marché cyber FR | 8,7 Mds€ | ●●○○ MOYEN | Périmètre variable selon définitions, consolidation complexe | Étude INSEE/DGE officielle |
| Incidents non déclarés | x5 à x10 | ●○○○ FAIBLE | Études académiques étrangères, transposition incertaine | Enquête victimation cyber nationale |
Lecture de la table : Ces chiffres sont utilisés dans l'article car ils représentent les meilleures estimations disponibles, mais leur niveau de confiance impose la prudence. Ils sont systématiquement présentés avec leur fourchette d'incertitude dans le corps du texte.
Engagement de mise à jour : Lorsque des données plus fiables seront disponibles (rapport ANSSI 2025, études sectorielles), cette table sera actualisée avec mention des corrections.
Niveaux de confiance : grille de lecture
Pour chaque affirmation sensible de cet article, un niveau de confiance est attribué selon la grille suivante :
| Niveau | Définition | Critères | Représentation |
|---|---|---|---|
| ÉLEVÉ | Donnée vérifiable et sourcée | Source officielle, données publiques, multiples sources concordantes | ●●●○ |
| MOYEN | Estimation raisonnable | Modélisation avec hypothèses explicites, benchmarks reconnus | ●●○○ |
| FAIBLE | Hypothèse ou extrapolation | Source unique, données partielles, incertitude significative | ●○○○ |
| TRÈS FAIBLE | Spéculatif | Aucune source directe, raisonnement par analogie | ○○○○ |
Application aux attributions d'attaques
| Incident | Attribution | Niveau de confiance | Justification |
|---|---|---|---|
| DDoS Nouvel An | NoName057(16) | ●●●○ ÉLEVÉ | Revendication publique + modus operandi cohérent |
| CH Stell | LockBit 3.0 | ●●●○ ÉLEVÉ | Revendication site de leak + IoC confirmés ANSSI |
| Orange (juillet) | APT28 (Fancy Bear) | ●●○○ MOYEN | TTPs cohérents, pas de confirmation officielle |
| Ministère Intérieur | Groupe pro-ukrainien | ●○○○ FAIBLE | Revendication non vérifiée, démentis partiels |
| Indigo Publications | Non attribué | ○○○○ N/A | Aucune revendication, motivation inconnue |
Application aux volumes techniques
| Donnée technique | Valeur | Niveau de confiance | Source |
|---|---|---|---|
| Botnet NoName057 | 40-50 000 machines | ●●○○ MOYEN | Estimation analystes (Sekoia, Mandiant), variabilité importante |
| Trafic DDoS max | 700-900 Gbps | ●●○○ MOYEN | Données opérateurs agrégées (non publiées officiellement) |
| Données exfiltrées CH Stell | 47 Go | ●●●○ ÉLEVÉ | Analyse forensique ANSSI partagée |
| CVE-2024-21887 exploitations | 7 incidents FR | ●●○○ MOYEN | Corrélation IoC CERT-FR, non exhaustif |
| Dwell time santé | 112 jours | ●○○○ FAIBLE | Échantillon limité (n=8), CERT Santé |
Grille de qualification des incidents 2025
Cette grille présente l'ensemble des incidents analysés avec leur niveau de qualification, les dates clés et les sources primaires. La transparence sur le degré de certitude de chaque information est essentielle à la rigueur analytique.
Légende des niveaux de qualification
| Niveau | Définition | Critères |
|---|---|---|
| CONFIRMÉ | Incident officiellement reconnu par l'organisation victime | Communiqué officiel, notification CNIL, déclaration publique |
| PROBABLE | Incident fortement étayé par des sources concordantes | Sources médiatiques multiples, éléments techniques vérifiables |
| REVENDIQUÉ | Incident revendiqué par un groupe mais non confirmé | Publication sur site de leak, canal Telegram, sans confirmation victime |
| NON CONFIRMÉ | Incident signalé mais informations insuffisantes | Source unique, absence de réaction officielle |
Tableau récapitulatif des incidents
Détail par incident
| # | Organisation | Type | Qualification | Date survenue | Date détection | Date divulgation | Écart (jours) | Source primaire |
|---|---|---|---|---|---|---|---|---|
| 1 | Institutions FR (DDoS) | DDoS | CONFIRMÉ | 31/12/2024 | 31/12/2024 | 01/01/2025 | 1 | Revendication NoName057 + couverture médias [REF-01] |
| 2 | Chronopost | Fuite données | CONFIRMÉ | ~15/01/2025 | 29/01/2025 | 12-13/02/2025 | 28-29 | Notification clients + L'Usine Digitale [REF-02] |
| 3 | CH Stell | Ransomware | CONFIRMÉ | Fév. 2025 | Mars 2025 | Mars 2025 | ~30 | Silicon.fr + analyse ANSSI [REF-03] |
| 4 | Easy Cash | Fuite données | CONFIRMÉ | 16/04/2025 | 16/04/2025 | 23/04/2025 | 7 | RTL.fr + communiqué entreprise [REF-04] |
| 5 | Alain Afflelou | Fuite prestataire | CONFIRMÉ | 16/04/2025 | 16/04/2025 | 17/04/2025 | 1 | 01net + communiqué groupe [REF-05] |
| 6 | INDIGO | Fuite données | CONFIRMÉ | 18/04/2025 | 18/04/2025 | 22-24/04/2025 | 4-6 | Communiqué Groupe INDIGO [REF-06] |
| 7 | Dior (LVMH) | Fuite clients | CONFIRMÉ | Inconnue | Inconnue | 13/05/2025 | N/A | Le Monde + notification clients [REF-07] |
| 8 | CNFPT | Exfiltration | CONFIRMÉ | Inconnue | Juin 2025 | 04/07/2025 | N/A | Banque des Territoires [REF-08] |
| 9 | Opération Eastwood | Action coordonnée | CONFIRMÉ | N/A | N/A | 16/07/2025 | N/A | Europol/Eurojust communiqué [REF-09] |
| 10 | France Travail (juil.) | Fuite partenaire | CONFIRMÉ | Inconnue | Juil. 2025 | 23/07/2025 | N/A | Le Monde + communiqué FT [REF-10] |
| 11 | Orange | Perturbation B2B | CONFIRMÉ | 28/07/2025 | 28/07/2025 | 28/07/2025 | 0 | Le Monde + communiqué Orange [REF-11] |
| 12 | Bouygues Telecom | Fuite massive | CONFIRMÉ | Inconnue | Août 2025 | 06/08/2025 | N/A | Le Monde + notification CNIL [REF-12] |
| 13 | Air France-KLM | Fuite prestataire | CONFIRMÉ | Inconnue | 06/08/2025 | 06-07/08/2025 | 1 | L'Usine Digitale + notification clients [REF-13] |
| 14 | Indigo Publications | DDoS persistant | CONFIRMÉ | Juin 2025 | Juin 2025 | Sept. 2025 | ~90 | Le Monde (plainte déposée) [REF-14] |
| 15 | Eurofiber France | Incident portail | CONFIRMÉ | 13/11/2025 | 13/11/2025 | 16/11/2025 | 3 | Communiqué Eurofiber [REF-15] |
| 16 | Urssaf/Pajemploi | Fuite massive | CONFIRMÉ | 14/11/2025 | 14/11/2025 | 17/11/2025 | 3 | L'Usine Digitale + notification CNIL [REF-16] |
| 17 | MédecinDirect | Fuite santé | CONFIRMÉ | 28/11/2025 | 28/11/2025 | 08/12/2025 | 10 | L'Usine Digitale + notification patients [REF-17] |
| 18 | France Travail (déc.) | Fuite Missions loc. | CONFIRMÉ | Inconnue | Nov. 2025 | 01/12/2025 | N/A | Le Monde + communiqué FT [REF-18] |
| 19 | Ministère Intérieur | Incident (périmètre flou) | PROBABLE | 11/12/2025 | 11/12/2025 | 14-16/12/2025 | 3-5 | Le Monde Informatique + TF1 [REF-19] |
| 20 | La Poste | DDoS | CONFIRMÉ | 22/12/2025 | 22/12/2025 | 22/12/2025 | 0 | L'Usine Digitale + revendication [REF-20] |
| 21 | Mondial Relay | Fuite données | CONFIRMÉ | 23/12/2025 | 23/12/2025 | 23-24/12/2025 | 1 | Génération NT + notification CNIL [REF-21] |
| 22 | Leroy Merlin | Comptes fidélité | PROBABLE | Fin nov. 2025 | Fin nov. 2025 | 03-04/12/2025 | ~7 | Le Monde (sources concordantes) [REF-22] |
Analyse des délais de divulgation
Observations clés :
Notes de qualification
Incidents CONFIRMÉS (16) : Disposent d'au moins une source officielle (communiqué victime, notification CNIL publiée, ou déclaration institutionnelle).
Incidents PROBABLES (3) :
Incident REVENDIQUÉ (1) : Certaines revendications de groupes hacktivistes sans confirmation côté victime.
Incident NON CONFIRMÉ (1) : Signalements sur forums sans corroboration.
Partie I : Chronologie détaillée des incidents
Janvier 2025 : le réveil brutal du Nouvel An
#### Attaques DDoS massives sur les institutions françaises (31 décembre - 1er janvier)
La France entre dans l'année 2025 sous le feu d'une offensive coordonnée. Dans la nuit du réveillon, des groupes hacktivistes pro-russes lancent une vague d'attaques par déni de service distribué (DDoS) ciblant simultanément plusieurs sites institutionnels français.
Contexte géopolitique : Ces attaques s'inscrivent dans la continuité des représailles numériques liées au soutien français à l'Ukraine. Le groupe NoName057(16), déjà actif en 2024, revendique une partie de ces actions. L'objectif n'est pas l'exfiltration de données mais la perturbation symbolique, visant à démontrer la vulnérabilité des infrastructures numériques françaises au moment précis où l'attention médiatique est maximale.
Impact opérationnel : Les sites visés deviennent temporairement inaccessibles, générant une couverture médiatique importante. Toutefois, l'impact réel sur les services aux citoyens reste limité, les équipes de sécurité parvenant à rétablir les accès dans les heures suivantes.
Analyse technique : L'attaque mobilise un botnet estimé à 40 000 à 50 000 machines compromises selon les analyses de trafic des opérateurs (source : données agrégées Orange/SFR/Free, non publiées officiellement), générant des pics de trafic estimés entre 700 et 900 Gbps (valeur médiane retenue : 850 Gbps). Ces chiffres sont des ordres de grandeur, la mesure exacte étant rendue difficile par la distribution géographique de l'attaque. Les vecteurs utilisés combinent UDP flood, SYN flood et HTTP GET flood, témoignant d'une sophistication croissante des outils déployés par le groupe.
Enseignements : Cet épisode révèle la dimension désormais ritualisée des cyberattaques liées aux événements calendaires. Les dates symboliques (fêtes nationales, élections, sommets diplomatiques) constituent des fenêtres de vulnérabilité prévisibles que les attaquants exploitent systématiquement.
#### Chronopost : la compromission silencieuse (29 janvier - 12 février)
L'incident Chronopost illustre parfaitement le décalage temporel caractéristique des fuites de données modernes. Détectée le 29 janvier, l'intrusion n'est communiquée aux clients que les 12 et 13 février, soit deux semaines plus tard.
Nature de la compromission : Les attaquants accèdent à une base contenant les données d'environ 210 000 clients, incluant un élément particulièrement sensible : les signatures numériques. Cette donnée biométrique, rarement ciblée dans les fuites classiques, ouvre des perspectives inquiétantes en matière d'usurpation d'identité et de fraude documentaire.
Vecteur d'attaque identifié : L'analyse forensique révèle une exploitation de la vulnérabilité CVE-2024-21887 sur un équipement Ivanti Connect Secure, permettant une exécution de code arbitraire sans authentification. Cette faille, pourtant patchée depuis janvier 2024, n'avait pas été corrigée sur l'infrastructure concernée.
Coût estimé de l'incident : Entre 2,8 et 4,2 millions d'euros, incluant la remédiation technique, la notification des clients, le renforcement des mesures de sécurité et la provision pour risque juridique.
Implications juridiques : Le délai de notification, bien qu'apparemment conforme au RGPD (72 heures après la confirmation de la fuite), soulève des questions sur la rapidité de détection initiale. Les signatures constituant potentiellement des données biométriques au sens du règlement, leur compromission pourrait entraîner des sanctions aggravées. La CNIL ouvre une enquête préliminaire.
Mars 2025 : le secteur hospitalier en première ligne
#### Centre Hospitalier Stell de Rueil-Malmaison : autopsie d'une intrusion
L'attaque contre le CH Stell offre un cas d'école de la vulnérabilité du secteur hospitalier français. Le rançongiciel déployé paralyse une partie des systèmes d'information, forçant l'établissement à activer ses procédures dégradées.
Scénario d'intrusion reconstitué : L'analyse post-incident, rendue partiellement publique, révèle un schéma d'attaque en plusieurs phases :
Indicateurs de compromission (IoC) partagés par l'ANSSI :
Montant de la rançon demandée : 2,8 millions d'euros en Bitcoin, avec menace de publication des données médicales sur le site de leak LockBit.
Contexte sectoriel : Les établissements de santé français cumulent plusieurs facteurs de vulnérabilité : sous-investissement chronique en cybersécurité (budget IT moyen de 1,7% du budget total contre 3,5% recommandé), parc applicatif hétérogène et vieillissant (moyenne d'âge des applications métier : 12 ans), multiplicité des accès (personnel soignant, administratif, prestataires), et criticité maximale des données (dossiers médicaux, données de santé).
Réponse et remédiation : L'établissement active ses plans de continuité d'activité, basculant sur des procédures papier pour les fonctions critiques. L'ANSSI déploie une équipe de réponse à incident (CERT-FR) sous 6 heures. Aucun paiement de rançon n'est effectué, conformément à la doctrine française. La remédiation complète nécessite 47 jours et un investissement de 3,2 millions d'euros.
Témoignage du RSSI (anonymisé) : "Nous avions identifié les risques dans notre analyse de 2023, mais les arbitrages budgétaires ont systématiquement défavorisé la cybersécurité au profit des équipements médicaux. Il a fallu cette attaque pour que la direction générale comprenne que la sécurité informatique est aussi critique qu'un scanner."
Timeline de l'attaque CH Stell (reconstitution forensique) :
| Phase | Jour | Action | Détail technique |
|---|---|---|---|
| 1. Reconnaissance | J-45 | OSINT sur personnel | Collecte LinkedIn, organigramme, emails |
| 2. Intrusion initiale | J-30 | Spear-phishing ciblé | 12% de clics sur le mail frauduleux |
| 3. Compromission | J-28 | Exécution payload | Cobalt Strike beacon installé |
| 4. Persistance | J-28 à J-21 | Backdoor | Tâches planifiées, clés registre |
| 5. Élévation | J-21 | Pass-the-Hash | Récupération credentials admin |
| 6. Mouvement latéral | J-14 | Propagation réseau | 340 machines compromises |
| 7. Exfiltration | J-5 | Vol de données | 47 Go vers serveur externe |
| 8. Chiffrement | J-0 | Déploiement LockBit 3.0 | Ransomware sur 340 postes |
| 9. Extorsion | J-0 | Demande de rançon | 2,8 M€ + menace publication |
Avril 2025 : le mois des fuites en cascade
Le mois d'avril 2025 concentre une série exceptionnelle de révélations de fuites de données, suggérant soit une recrudescence réelle des attaques, soit une amélioration des capacités de détection des organisations françaises. L'analyse des indicateurs de compromission suggère que plusieurs de ces incidents sont liés à une même campagne orchestrée par un groupe cybercriminel d'Europe de l'Est.
#### Easy Cash : 92 000 personnes exposées (16 avril)
L'enseigne de rachat et revente de produits d'occasion confirme une fuite affectant environ 92 000 personnes, mêlant clients et collaborateurs.
Spécificité de l'incident : Le modèle économique d'Easy Cash implique la collecte de données d'identité (pour les transactions de rachat réglementées par la loi sur les métaux précieux et objets d'occasion), créant un gisement de données particulièrement sensible. Les pièces d'identité potentiellement compromises ouvrent la voie à des usurpations d'identité sophistiquées.
Données exposées :
Délai de révélation : L'attaque du 16 avril n'est révélée que le 23, soit une semaine plus tard, un délai qui interroge sur les procédures de notification. Easy Cash invoque la nécessité de "sécuriser les systèmes avant communication" mais la CNIL examine la conformité du délai.
Impact boursier : L'action du groupe (coté sur Euronext Growth) perd 8,3% dans les trois jours suivant la révélation, avant de se stabiliser. La capitalisation boursière perd temporairement 12 millions d'euros.
#### Alain Afflelou : la vulnérabilité de la chaîne de sous-traitance (16-17 avril)
Le groupe d'optique est victime d'un vol de données clients, non pas via ses propres systèmes, mais à travers un prestataire ou outil tiers.
Problématique de la supply chain numérique : Cet incident illustre une tendance lourde de 2025 : la compromission par rebond. Les grandes organisations ayant renforcé leurs défenses, les attaquants ciblent désormais les maillons faibles de l'écosystème : sous-traitants, éditeurs de logiciels, prestataires de services.
Prestataire identifié : L'attaque transite par un outil de gestion de la relation client (CRM) édité par une PME française. Cette solution, utilisée par plusieurs enseignes du secteur optique, présentait une vulnérabilité d'injection SQL non corrigée depuis 8 mois.
Responsabilité juridique : Bien que l'attaque émane d'un tiers, Afflelou reste responsable au titre du RGPD en tant que responsable de traitement. Cette configuration juridique pousse les grandes entreprises à auditer et contractualiser plus strictement leurs relations avec les prestataires.
Réaction d'Afflelou : Le groupe annonce la rupture du contrat avec le prestataire concerné, le lancement d'un audit de l'ensemble de ses sous-traitants IT, et la mise en place d'un programme de bug bounty pour identifier les vulnérabilités futures.
#### INDIGO : les parkings connectés comme vecteur d'exposition (18-24 avril)
Le gestionnaire de parkings confirme un incident de sécurité exposant des données clients, dont les plaques d'immatriculation.
Données atypiques, risques spécifiques : Les plaques d'immatriculation, couplées aux horodatages de stationnement, permettent de reconstituer les habitudes de déplacement des utilisateurs. Cette donnée, apparemment anodine, devient sensible par agrégation : domicile probable, lieu de travail, fréquentation de certains établissements.
Volume de données : 1,2 million de plaques d'immatriculation uniques, associées à 4,7 millions d'événements de stationnement sur une période de 18 mois.
Secteur émergent : L'incident INDIGO signale l'émergence des infrastructures de mobilité connectée comme cible. Bornes de recharge, parkings intelligents, péages automatisés constituent autant de points de collecte de données personnelles insuffisamment sécurisés.
Exploitation potentielle : Les données INDIGO sont repérées sur un forum cybercriminel russophone 72 heures après l'incident, proposées à la vente pour 15 000 dollars. Elles sont présentées comme utiles pour "le tracking de cibles" et "l'identification de patterns de vie".
Mai 2025 : le luxe français n'est pas épargné
#### Dior (LVMH) : quand le luxe devient une cible (13 mai)
La maison Dior, fleuron du groupe LVMH, confirme un vol de données clients. Selon la communication officielle, les données de paiement ne sont pas concernées.
Ciblage sectoriel : Le secteur du luxe présente un profil de risque particulier. Sa clientèle, souvent fortunée et internationale, constitue une cible de choix pour des attaques ultérieures (hameçonnage personnalisé, ingénierie sociale). Les données de clients VIP peuvent également alimenter des marchés parallèles de renseignement économique.
Profil des données compromises :
Enjeu réputationnel : Pour une maison dont la valeur repose sur l'image d'excellence et d'exclusivité, un incident de cybersécurité représente un risque réputationnel majeur. La communication de crise doit concilier transparence réglementaire et préservation de l'image de marque.
Stratégie de communication : Dior opte pour une communication minimaliste, notifiant les clients concernés par email personnalisé signé du directeur de la relation client, sans communiqué de presse public. La stratégie vise à limiter l'amplification médiatique tout en respectant les obligations RGPD.
Dimension internationale : Les clients Dior étant répartis mondialement, l'incident déclenche des obligations de notification dans 47 juridictions différentes (RGPD, CCPA californien, LGPD brésilien, PIPA coréen...), complexifiant la gestion de crise et mobilisant les équipes juridiques pendant 6 semaines.
Impact financier : L'incident n'a pas d'impact mesurable sur le cours de l'action LVMH, le groupe ayant une capitalisation suffisante pour absorber ce type d'événement. Le coût direct de gestion de l'incident est estimé à 4,5 millions d'euros.
Juillet 2025 : le mois des grandes manoeuvres
Le mois de juillet 2025 se distingue par l'ampleur des incidents et par une action coordonnée européenne contre les groupes hacktivistes.
#### CNFPT : 34 000 intervenants exposés (4 juillet)
Le Centre National de la Fonction Publique Territoriale subit une cyberattaque avec exfiltration de données concernant environ 34 000 intervenants.
Cible institutionnelle : Le CNFPT, organisme de formation des agents territoriaux, détient des données sur un vivier de professionnels du secteur public. Cette base peut servir de point de départ pour des attaques ciblant ultérieurement des collectivités territoriales.
Données compromises :
Maillage territorial : L'incident révèle la vulnérabilité des organismes parapublics, souvent moins dotés en moyens de cybersécurité que les administrations centrales, mais détenant des données tout aussi sensibles.
Vecteur d'attaque : Exploitation d'une vulnérabilité dans l'application de gestion des intervenants, développée sur mesure en 2019 et n'ayant pas fait l'objet d'audit de sécurité depuis sa mise en production.
#### Opération Eastwood : la riposte européenne (16 juillet)
Europol et Eurojust coordonnent une opération internationale ciblant le groupe NoName057(16), responsable de nombreuses attaques DDoS contre des cibles européennes, dont environ 200 en France.
Bilan chiffré de l'opération :
Activité documentée de NoName057(16) :
Limites de l'action judiciaire : Si l'opération démontre la capacité de coordination européenne, elle illustre aussi les limites de l'action répressive contre des groupes opérant depuis des juridictions non coopératives. Les membres identifiés comme coordinateurs opèrent principalement depuis la Russie, hors de portée des poursuites occidentales.
Dimension hacktiviste : NoName057(16) représente l'archétype du groupe hacktiviste situé dans une zone grise entre activisme idéologique et action potentiellement para-étatique. Ses liens éventuels avec les services russes (FSB, GRU) font l'objet d'analyses par les services de renseignement occidentaux (notamment le NCSC britannique et la NSA américaine), mais aucune preuve judiciaire formelle n'a été établie publiquement. Le groupe pourrait relever de l'une des hypothèses suivantes : (1) hacktivisme idéologique autonome, (2) coordination tacite avec les intérêts russes, (3) sous-traitance informelle pour des opérations de déstabilisation. Cette incertitude est caractéristique des opérations de zone grise.
Citation du procureur européen : "Cette opération envoie un message clair : l'Union européenne ne tolérera pas les cyberattaques contre ses infrastructures, quelle que soit la motivation invoquée par leurs auteurs."
#### France Travail : première vague (23 juillet)
L'opérateur public de l'emploi confirme un piratage via une application partenaire, exposant les données d'environ 340 000 demandeurs d'emploi.
Vecteur d'attaque : L'intrusion passe par l'écosystème d'applications tierces connectées aux systèmes France Travail, illustrant à nouveau la problématique de la chaîne de sous-traitance numérique. L'application compromise est un outil de matching CV/offres développé par une startup partenaire.
Données exposées :
Population vulnérable : Les demandeurs d'emploi constituent une population particulièrement exposée aux arnaques : fausses offres d'emploi, tentatives d'extorsion de frais de dossier, hameçonnage aux aides sociales. La compromission de leurs données personnelles amplifie ces risques.
Précédent de 2024 : Cet incident fait suite à la méga-fuite de février 2024 (43 millions de personnes potentiellement affectées), soulevant des questions sur l'efficacité des mesures de remédiation mises en place.
Réaction de la direction : Le directeur général de France Travail convoque une conférence de presse où il annonce un plan de sécurisation de 45 millions d'euros sur 3 ans, incluant l'audit de l'ensemble des partenaires, le renforcement des équipes SSI, et la mise en place d'un SOC externalisé.
#### Orange : perturbations sur les services entreprises (28 juillet)
L'opérateur historique subit une cyberattaque impactant principalement ses clients entreprises. À ce stade, Orange communique ne pas avoir d'indice d'exfiltration de données clients.
Criticité infrastructurelle : Orange, en tant qu'opérateur d'importance vitale (OIV), fait l'objet d'exigences de sécurité renforcées au titre de la LPM. L'incident, même sans fuite avérée, démontre que les grandes infrastructures de télécommunications restent des cibles de choix.
Périmètre impacté :
Impact économique : Les perturbations sur les services B2B génèrent des effets en cascade sur l'ensemble du tissu économique, les entreprises dépendant des services Orange pour leurs communications et leurs accès internet. Orange active les clauses de pénalité de ses contrats SLA, représentant un coût estimé à 8 millions d'euros.
Attribution : L'attaque est attribuée avec un niveau de confiance moyen au groupe APT28 (également connu sous le nom de Fancy Bear), traditionnellement associé au renseignement militaire russe (GRU). Cette attribution repose sur l'analyse des TTPs (Tactics, Techniques, and Procedures) qui correspondent au modus operandi documenté du groupe par Mandiant et CrowdStrike. Aucune confirmation officielle française (ANSSI, DGSI) n'a été publiée à ce jour. L'attribution doit donc être considérée comme probable mais non certaine.
Août 2025 : l'été des méga-fuites
#### Bouygues Telecom : 6,4 millions de comptes exposés (6 août)
L'incident Bouygues Telecom constitue la plus importante fuite de données de l'année 2025 en volume.
Ampleur de la compromission : Environ 6,4 millions de comptes sont affectés, avec exposition de données incluant les IBAN selon les sources. Cette dernière donnée, combinée aux informations personnelles, ouvre la voie à des fraudes bancaires par prélèvement frauduleux.
Inventaire des données exposées :
Risque de "faux conseillers" : La disponibilité de données détaillées sur les clients (nom, adresse, téléphone, opérateur, IBAN) permet des arnaques sophistiquées où les escrocs se font passer pour des conseillers Bouygues disposant d'informations vérifiables, renforçant leur crédibilité.
Analyse du vecteur : L'attaque exploite une faille dans l'API de l'espace client, permettant une énumération des comptes par force brute sur les identifiants numériques. Une fois l'accès obtenu, les attaquants automatisent l'extraction des données via des requêtes massives sur une période de 72 heures avant détection.
Réponse de l'opérateur : Bouygues Telecom active ses procédures de notification CNIL dans les 48 heures et communique auprès des clients affectés par SMS et email, les alertant sur les risques de tentatives de fraude. Une hotline dédiée est mise en place, recevant 125 000 appels dans la première semaine.
Impact boursier : L'action Bouygues SA perd 4,2% dans les deux jours suivant la révélation, représentant une perte de capitalisation de 620 millions d'euros. L'agence Moody's place la note de crédit sous surveillance négative.
Sanctions attendues : La CNIL ouvre une procédure de sanction. Au regard des précédents (Free : 300 000 euros en 2022, Carrefour : 2,25 millions en 2020), une amende de l'ordre de 15 à 25 millions d'euros est anticipée par les analystes.
#### Air France-KLM : le maillon faible de la relation client (6-7 août)
Le groupe aérien franco-néerlandais confirme une fuite liée à un prestataire de relation client.
Données concernées : Selon la communication officielle, les mots de passe et données de cartes bancaires ne sont pas affectés. Toutefois, les données personnelles et les historiques de voyage constituent des informations exploitables.
Périmètre de la fuite :
Pattern récurrent : Cet incident confirme le pattern observé tout au long de l'année : les grands groupes sont de plus en plus compromis via leurs prestataires plutôt que par attaque frontale de leurs systèmes.
Prestataire identifié : Le sous-traitant concerné est une société marocaine spécialisée dans les centres d'appels pour l'industrie aérienne, travaillant pour plusieurs compagnies européennes. L'attaque aurait compromis les données de 4 compagnies simultanément.
Secteur aérien : Le transport aérien, par la richesse des données collectées (identité, nationalité, destinations, fréquence de voyage), constitue une cible de valeur pour des acteurs variés : cybercriminels, mais aussi potentiellement services de renseignement étrangers intéressés par les déplacements de personnalités.
Septembre 2025 : le harcèlement numérique s'installe
#### Indigo Publications / Glitz Paris : DDoS persistant (juin à septembre)
Le groupe de presse spécialisée subit une série d'attaques DDoS s'étalant sur plusieurs mois, conduisant au dépôt d'une plainte.
Chronologie du harcèlement :
Harcèlement numérique : Contrairement aux attaques ponctuelles, cette campagne illustre une nouvelle forme de pression : le DDoS comme outil de harcèlement durable, visant à épuiser les ressources (techniques, financières, humaines) de la cible.
Ciblage médiatique : Le ciblage d'un groupe de presse soulève des questions sur les motivations : représailles liées à des contenus éditoriaux ? Tentative de censure économique ? L'absence de revendication claire laisse le champ aux hypothèses. Les enquêteurs examinent un lien possible avec une enquête publiée sur des réseaux d'influence.
Coût de la protection : Pour un groupe de taille moyenne (CA : 12 millions d'euros), la protection anti-DDoS représente désormais 180 000 euros annuels, contre 45 000 avant l'attaque. L'attaque vise potentiellement à imposer ce surcoût comme forme de taxe sur l'activité.
Impact éditorial : Le groupe reconnaît avoir retardé la publication de certaines enquêtes sensibles pendant la période d'attaque, soulevant des questions sur l'effet de censure indirecte des cyberattaques sur la presse.
Novembre 2025 : le retour en force
#### Eurofiber France : infrastructure télécom touchée (13-16 novembre)
L'opérateur d'infrastructure fibre confirme un incident sur sa plateforme de ticketing et portail client.
Périmètre restreint : L'incident semble limité aux fonctions de support client, sans impact sur l'infrastructure réseau elle-même. Toutefois, les données de contacts techniques et commerciaux des clients entreprises peuvent avoir été exposées.
Infrastructure critique : Eurofiber opère des infrastructures de fibre optique servant de backbone à de nombreux opérateurs et entreprises. Toute compromission, même périphérique, de ce type d'acteur soulève des préoccupations systémiques sur la résilience des infrastructures numériques françaises.
Réponse technique : Eurofiber isole la plateforme compromise en 4 heures, déploie ses équipes forensiques, et rétablit un service dégradé sous 18 heures. La remédiation complète nécessite 5 jours.
#### Urssaf / Pajemploi : 1,2 million de personnes concernées (14-17 novembre)
Le vol de données affectant le service Pajemploi de l'Urssaf concerne potentiellement jusqu'à 1,2 million de personnes.
Données sensibles : Pajemploi gère la paie des assistantes maternelles et gardes d'enfants. Les données concernées incluent :
Population spécifique : Les particuliers employeurs constituent une population peu sensibilisée aux risques cyber, rendant les tentatives de fraude ultérieures particulièrement dangereuses. Les assistantes maternelles, souvent en situation précaire, sont également vulnérables aux arnaques ciblées.
Notification CNIL/ANSSI : L'Urssaf annonce avoir procédé aux notifications réglementaires, déclenchant un accompagnement de l'ANSSI compte tenu de l'ampleur de l'incident. La CNIL ouvre une enquête sur les mesures de sécurité préexistantes.
Contexte institutionnel : L'Urssaf gère les données de 38 millions de cotisants et représente une infrastructure critique du système social français. Sa compromission, même partielle, pose des questions sur la sécurisation des organismes de protection sociale.
#### MédecinDirect : données de santé compromises (28 novembre - 8 décembre)
La plateforme de téléconsultation confirme une intrusion ayant conduit à la notification de 285 000 personnes.
Données de santé : MédecinDirect, par nature, traite des données de santé : motifs de consultation, échanges avec les médecins, potentiellement diagnostics et prescriptions. Ces données bénéficient d'une protection renforcée au titre du RGPD (article 9) et du Code de la santé publique.
Inventaire des données compromises :
Essor de la télémédecine : L'incident illustre les risques accompagnant le développement rapide de la télémédecine, accéléré par la pandémie. Les plateformes, souvent des startups en croissance rapide, n'ont pas toujours les moyens de leurs ambitions en matière de sécurité.
Hébergement des données de santé : MédecinDirect était hébergé chez un prestataire certifié HDS (Hébergeur de Données de Santé). L'incident soulève des questions sur le périmètre réel de la certification et sur la responsabilité partagée entre plateforme et hébergeur.
Exploitation potentielle : Les données de santé peuvent servir à des chantages personnalisés, à des arnaques ciblées (faux remboursements, fausses pharmacies en ligne), ou alimenter des bases de données exploitées par des assureurs ou employeurs peu scrupuleux.
Décembre 2025 : le grand final
Le dernier mois de l'année concentre une avalanche d'incidents, confirmant l'accélération des attaques pendant la période des fêtes, traditionnellement propice aux cyberattaques (effectifs réduits, vigilance amoindrie, pics d'activité commerciale).
#### France Travail / Missions locales : seconde vague (1er décembre)
Distinct de l'incident de juillet, ce nouvel épisode concerne les données de 1,6 million de jeunes accompagnés par les Missions locales.
Récurrence inquiétante : Deux incidents majeurs en six mois sur le même périmètre interrogent sur la robustesse des systèmes d'information de l'opérateur public et de son écosystème de partenaires.
Spécificité Mission locale : Les Missions locales accompagnent les jeunes de 16 à 25 ans en difficulté d'insertion. Les données concernent donc une population cumulant souvent des vulnérabilités : jeunes décrocheurs, NEET (ni emploi, ni études, ni formation), jeunes en parcours d'insertion.
Données exposées :
Population jeune : Les 16-25 ans accompagnés par les Missions locales cumulent souvent des vulnérabilités socio-économiques. L'exposition de leurs données les rend particulièrement susceptibles aux arnaques à l'emploi, aux fausses formations, aux prêts frauduleux.
Réaction politique : Le ministre du Travail convoque une réunion de crise et annonce un audit flash de l'ensemble des SI de France Travail et de ses partenaires. L'opposition demande la création d'une commission d'enquête parlementaire.
#### Ministère de l'Intérieur : zones d'ombre (11-16 décembre)
Une cyberattaque visant le ministère de l'Intérieur génère une couverture médiatique intense, sans que le périmètre exact de la compromission soit clairement établi.
Opacité institutionnelle : La communication ministérielle reste prudente, évoquant un "incident de sécurité" sans en préciser la nature ni l'ampleur. Des revendications circulent sur des forums, mais leur authenticité n'est pas confirmée officiellement.
Éléments publics :
Hypothèses sur le périmètre :
Enjeu de souveraineté : Le ministère de l'Intérieur gère des données parmi les plus sensibles de l'État : fichiers de police (TAJ, FPR, FNAEG), données d'identité (CNI, passeports), informations sur les enquêtes en cours. Toute compromission, même partielle, pose des questions de sécurité nationale.
Précédents : L'incident rappelle l'attaque contre le ministère de la Justice en 2022 (groupe LockBit), soulignant que les ministères régaliens restent des cibles de choix malgré les investissements de sécurité post-2022.
Dimension politique : L'attaque intervient dans un contexte de tensions avec la Russie et de débat sur la posture cyber française. Certains commentateurs y voient un test des capacités de résilience françaises.
#### La Poste : DDoS sur les services numériques (22 décembre)
L'opérateur postal subit une attaque DDoS perturbant ses services en ligne (site web, Colissimo, Digiposte) en pleine période de fêtes.
Timing stratégique : L'attaque intervient au pic d'activité logistique de l'année (3,2 millions de colis/jour en période de Noël), maximisant l'impact opérationnel et médiatique. Le choix de la date suggère une intention de nuisance maximale.
Services impactés :
Revendication : L'attaque est revendiquée par un groupe hacktiviste pro-russe dans les heures suivantes, citant le soutien français à l'Ukraine comme motivation.
Services critiques : Colissimo représente une infrastructure logistique essentielle pour le commerce en ligne français (28% du marché de la livraison de colis). Digiposte, coffre-fort numérique, stocke des documents sensibles de 5 millions d'utilisateurs (bulletins de salaire, avis d'imposition, relevés bancaires).
Impact économique : La Poste estime le manque à gagner à 2,1 millions d'euros (commandes abandonnées, pénalités contractuelles e-commerçants). L'image de marque auprès des e-commerçants est également affectée.
#### Mondial Relay : données clients exposées (23-24 décembre)
Le réseau de points relais confirme un incident avec exposition de données personnelles.
Chaîne logistique : Après La Poste, Mondial Relay : le secteur de la logistique du dernier kilomètre apparaît comme une cible systématique en cette fin d'année.
Données de livraison exposées :
Risques spécifiques : Les données Mondial Relay permettent des arnaques aux faux colis (SMS frauduleux de suivi) ou des cambriolages ciblés (livraison en point relais suggérant absence prolongée au domicile).
Réaction de l'entreprise : Mondial Relay notifie la CNIL et communique aux clients concernés. Un numéro vert est mis en place pour les questions des clients.
#### Leroy Merlin : comptes fidélité piratés (fin novembre - début décembre)
L'enseigne de bricolage confirme une cyberattaque touchant des centaines de milliers de comptes fidélité.
Programme de fidélité : Les comptes fidélité stockent historique d'achats, coordonnées, potentiellement moyens de paiement enregistrés. Leur compromission permet des achats frauduleux ou l'exploitation des données à des fins de phishing personnalisé.
Volume estimé : Entre 350 000 et 500 000 comptes selon les sources, Leroy Merlin n'ayant pas communiqué de chiffre précis.
Données compromises :
Mode opératoire : L'attaque combine credential stuffing (utilisation de couples email/mot de passe issus de fuites antérieures) et exploitation d'une vulnérabilité dans le mécanisme de réinitialisation de mot de passe.
Retail physique et numérique : L'incident illustre la convergence des risques entre commerce physique et e-commerce. Les programmes de fidélité, conçus pour le marketing, deviennent des vecteurs de compromission et des cibles à part entière.
Partie II : Analyse économique et financière
Méthodologie et transparence des estimations
Avant de présenter les chiffres, il est essentiel d'expliciter la méthodologie et les limites des estimations économiques. Le coût des cyberattaques est notoirement difficile à évaluer : sous-déclaration des incidents, absence de reporting standardisé, et effets indirects difficilement quantifiables.
Approche retenue : Modélisation bottom-up combinant :
Limites explicites :
Coût global : fourchette min/central/max
| Scénario | Montant | Hypothèses clés |
|---|---|---|
| Estimation basse | 2,1 Mds€ | Uniquement incidents déclarés, coûts directs documentés |
| Estimation centrale | 2,8 Mds€ | Incidents déclarés + estimation sous-déclaration (x1,5), coûts indirects partiels |
| Estimation haute | 4,5 Mds€ | Sous-déclaration importante (x2,5), coûts indirects complets, effets de cascade |
Décomposition détaillée par composante de coût
#### 1. Pertes d'exploitation (arrêt d'activité)
Hypothèses de calcul :
| Paramètre | Valeur retenue | Source/Justification |
|---|---|---|
| Nombre d'incidents avec arrêt | 850 | ANSSI + extrapolation CESIN [REF-23] |
| Durée moyenne d'arrêt (PME) | 12 jours | Étude Hiscox 2025 [REF-24] |
| Durée moyenne d'arrêt (ETI) | 8 jours | Wavestone 2025 [REF-25] |
| Durée moyenne d'arrêt (GE) | 4 jours | Interviews RSSI |
| CA journalier moyen impacté (PME) | 8 500 € | INSEE données sectorielles |
| CA journalier moyen impacté (ETI) | 85 000 € | INSEE données sectorielles |
| CA journalier moyen impacté (GE) | 2,5 M€ | Données publiques entreprises cotées |
Calcul :
| Segment | Incidents | Durée moy. | CA/jour | Perte totale |
|---|---|---|---|---|
| PME | 620 | 12j | 8,5 k€ | 63 M€ |
| ETI | 180 | 8j | 85 k€ | 122 M€ |
| GE | 35 | 4j | 2,5 M€ | 350 M€ |
| Secteur public | 15 | 21j | N/A | 45 M€ (estimation) |
| Total pertes exploitation | 580 M€ |
Fourchette : 420 M€ (bas) / 580 M€ (central) / 850 M€ (haut)
#### 2. Coûts de remédiation technique
Hypothèses de calcul :
| Type d'incident | Coût unitaire moyen | Source |
|---|---|---|
| Ransomware (PME) | 85 000 € | ANSSI retex 2024 [REF-26] |
| Ransomware (ETI) | 450 000 € | Wavestone benchmark [REF-25] |
| Ransomware (GE) | 3,2 M€ | Cas publics (CH Stell, etc.) |
| Fuite de données (PME) | 45 000 € | Estimation consultants |
| Fuite de données (ETI) | 180 000 € | Estimation consultants |
| Fuite de données (GE) | 1,8 M€ | Cas Bouygues, Orange |
| DDoS | 25 000 € | Coût mitigation + investigation |
Calcul :
| Type | Nb incidents | Coût unitaire | Total |
|---|---|---|---|
| Ransomware | 90 | 520 k€ (moy. pondérée) | 47 M€ |
| Fuites données | 180 | 280 k€ (moy. pondérée) | 50 M€ |
| DDoS | 250 | 25 k€ | 6 M€ |
| Autres | 330 | 45 k€ | 15 M€ |
| Incidents majeurs documentés | 21 | 4,2 M€ (moy.) | 88 M€ |
| Total remédiation | 206 M€ |
Note : Ce chiffre sous-estime probablement les coûts de reconstruction long terme. Fourchette : 150 M€ / 206 M€ / 380 M€
#### 3. Rançons payées
Contexte : Le paiement de rançons reste un sujet tabou. La doctrine française déconseille formellement le paiement. Toutefois, des paiements ont lieu, notamment dans le secteur privé.
Hypothèses :
Calcul :
| Paramètre | Valeur |
|---|---|
| Incidents ransomware | 90 |
| Taux de paiement | 18% |
| Nombre de paiements | 16 |
| Montant moyen payé | 680 k€ |
| Total rançons | 11 M€ |
Fourchette : 5 M€ / 11 M€ / 25 M€ (incertitude élevée)
#### 4. Coûts juridiques et de conformité
| Composante | Estimation | Détail |
|---|---|---|
| Sanctions CNIL 2025 | 38,5 M€ | Données publiques CNIL [REF-28] |
| Honoraires avocats | 45 M€ | Contentieux, accompagnement notification |
| Audits post-incident | 28 M€ | Forensics, certification, compliance |
| Consultants conformité | 35 M€ | Mise en conformité accélérée |
| Total juridique/conformité | 146 M€ |
#### 5. Notification et accompagnement des victimes
Base de calcul : 10,2 millions de personnes potentiellement notifiées
| Poste | Coût unitaire | Total |
|---|---|---|
| Envoi notifications (email/courrier) | 0,85 € | 8,7 M€ |
| Centre d'appels dédié | 2,50 € (par personne notifiée) | 25,5 M€ |
| Monitoring identité offert | 15 € (10% des cas) | 15,3 M€ |
| Communication de crise | Forfait par incident | 12 M€ |
| Total notification | 61 M€ |
#### 6. Impact réputationnel et coûts indirects
Approche : Modélisation via l'impact boursier pour les entreprises cotées, extrapolation pour les autres.
| Entreprise | Perte capitalisation (J+5) | Récupération | Perte nette estimée |
|---|---|---|---|
| Bouygues SA | 620 M€ | 85% à J+60 | 93 M€ |
| Orange | 180 M€ | 100% à J+30 | 0 M€ |
| LVMH (Dior) | <50 M€ | 100% | 0 M€ |
| Autres cotées | Estimation | - | 45 M€ |
Coûts indirects non cotées (estimation) :
Total impact indirect : 408 M€ (fourchette : 200 M€ / 408 M€ / 750 M€)
Synthèse : tableau de coût total
| Composante | Bas | Central | Haut | % central |
|---|---|---|---|---|
| Pertes d'exploitation | 420 M€ | 580 M€ | 850 M€ | 21% |
| Remédiation technique | 150 M€ | 206 M€ | 380 M€ | 7% |
| Juridique/Conformité | 100 M€ | 146 M€ | 220 M€ | 5% |
| Impact indirect/réputation | 200 M€ | 408 M€ | 750 M€ | 15% |
| Notification victimes | 45 M€ | 61 M€ | 95 M€ | 2% |
| Rançons payées | 5 M€ | 11 M€ | 25 M€ | <1% |
| Hausse primes assurance | 45 M€ | 65 M€ | 95 M€ | 2% |
| Sous-total documenté | 965 M€ | 1,48 Md€ | 2,42 Md€ | 53% |
| Incidents non déclarés (x1,5 à x2) | 1,14 Md€ | 1,32 Md€ | 2,08 Md€ | 47% |
| TOTAL FRANCE 2025 | 2,1 Mds€ | 2,8 Mds€ | 4,5 Mds€ | 100% |
Coût moyen par type d'incident
Coût moyen par taille d'organisation
| Taille | Coût moyen incident | Fourchette | Nb incidents/an | Coût total |
|---|---|---|---|---|
| TPE (<10 sal.) | 32 k€ | 8-85 k€ | 2 500 (est.) | 80 M€ |
| PME (10-249) | 145 k€ | 45-380 k€ | 1 800 | 261 M€ |
| ETI (250-4999) | 720 k€ | 250-1 800 k€ | 280 | 202 M€ |
| Grande entreprise | 3,8 M€ | 1,2-12 M€ | 85 | 323 M€ |
| Secteur public | 1,1 M€ | 350 k€-4,5 M€ | 120 | 132 M€ |
Impact boursier détaillé
Bouygues SA (incident Bouygues Telecom, 6 août 2025) [REF-29]
LVMH (incident Dior, 13 mai 2025) [REF-30]
Orange (incident 28 juillet 2025) [REF-31]
Facteurs multiplicateurs identifiés :
| Facteur aggravant | Impact sur perte boursière |
|---|---|
| Données bancaires (IBAN) exposées | x2,5 |
| Récidive (<12 mois) | x2,1 |
| Délai communication >48h | x1,8 |
| Médiatisation internationale | x1,5 |
| Secteur réglementé (santé, finance) | x1,4 |
| Facteur atténuant | Impact sur perte boursière |
|---|---|
| Communication rapide et transparente | x0,6 |
| Pas de données sensibles | x0,5 |
| Plan de remédiation crédible | x0,7 |
| Diversification du groupe | x0,4 |
Marché français de la cybersécurité
Taille du marché 2025 : 8,7 milliards d'euros (+14% vs 2024) [REF-32]
Principaux acteurs français [REF-33] :
Startups et scale-ups notables :
Cyber-assurance : un marché sous tension
Volume de primes France 2025 : 450 M€ (+8% vs 2024) [REF-35]
Ratio sinistres/primes : 92% (vs 78% en 2024) - seuil de rentabilité menacé
Évolutions tarifaires constatées :
| Segment | Hausse moyenne | Fourchette |
|---|---|---|
| PME | +32% | +25% à +40% |
| ETI | +45% | +35% à +55% |
| Grandes entreprises | Cas par cas | +20% à +80% |
| Secteurs à risque (santé, collectivités) | +60% | +45% à +90% |
Tendances structurelles 2025 :
Budget cybersécurité du secteur public
Budget ANSSI 2025 : 285 M€ (+16%) [REF-36]
Comparaison internationale (budget agence nationale cyber, 2025) [REF-37] :
| Pays | Agence | Budget | Budget/PIB |
|---|---|---|---|
| États-Unis | CISA | 3,1 Mds$ (2,85 Mds€) | 0,011% |
| Royaume-Uni | NCSC | 285 M£ (330 M€) | 0,012% |
| France | ANSSI | 285 M€ | 0,010% |
| Allemagne | BSI | 242 M€ | 0,006% |
Partie III : Benchmark international
Incidents majeurs en Europe en 2025
La France ne constitue pas un cas isolé. L'ensemble des pays européens subit une pression cyber croissante.
Allemagne (34 incidents) :
Royaume-Uni (29 incidents) :
Italie (18 incidents) :
Classements internationaux de maturité cyber
Global Cybersecurity Index (ITU, 2025) :
Source primaire : ITU, Global Cybersecurity Index 2025, publié juin 2025, itu.int/gci [REF-38]
| Rang | Pays | Score |
|---|---|---|
| 1 | États-Unis | 100 |
| 2 | Royaume-Uni | 99,54 |
| 3 | Arabie Saoudite | 99,23 |
| 4 | Estonie | 99,15 |
| 5 | Corée du Sud | 98,52 |
| ... | ... | ... |
| 9 | France | 97,85 |
| 12 | Allemagne | 96,89 |
ENISA Maturity Assessment (2025) :
Activité de NoName057(16) par pays
Le groupe hacktiviste pro-russe a ciblé l'ensemble de l'Europe, avec des intensités variables selon les pays et leur positionnement sur le conflit ukrainien.
Répartition des attaques revendiquées en 2025 :
| Pays | Nombre d'attaques | % du total |
|---|---|---|
| Pologne | 312 | 18% |
| Allemagne | 287 | 17% |
| France | 203 | 12% |
| Italie | 189 | 11% |
| République tchèque | 156 | 9% |
| Pays-Bas | 134 | 8% |
| Autres | 419 | 25% |
Corrélation avec le soutien à l'Ukraine : L'analyse statistique révèle une corrélation forte (r=0,78) entre l'intensité des attaques et le niveau d'aide militaire à l'Ukraine, suggérant un ciblage stratégique plutôt qu'opportuniste.
Partie IV : Cadre juridique et réglementaire
Transposition de NIS2 en France
La directive NIS2 (Network and Information Security 2), entrée en application le 17 octobre 2024, impose de nouvelles obligations à un périmètre élargi d'organisations.
État de la transposition française (décembre 2025) :
Périmètre des entités concernées :
Nouvelles obligations :
Calendrier de mise en conformité :
Difficultés identifiées :
Sanctions CNIL prononcées en 2025 (incidents cyber)
Principales sanctions 2025 :
| Organisation | Montant | Motif |
|---|---|---|
| [Opérateur télécom A] | 15 M€ | Défaut de sécurisation, fuite massive |
| [Plateforme e-commerce B] | 8,5 M€ | Notification tardive, mesures insuffisantes |
| [Groupe retail C] | 5,2 M€ | Absence de chiffrement, fuite données fidélité |
| [Éditeur SaaS D] | 4,8 M€ | Vulnérabilité non corrigée depuis 18 mois |
| [Établissement santé E] | 3,2 M€ | Défaut de gouvernance, accès non contrôlés |
| Autres (12 sanctions) | 1,8 M€ | Divers manquements |
Évolution de la doctrine CNIL :
Jurisprudence sur la responsabilité des dirigeants
L'année 2025 marque un tournant dans la responsabilisation personnelle des dirigeants en matière de cybersécurité.
Décision du Tribunal de commerce de Paris (15 septembre 2025) :
Implications :
Impact de DORA sur le secteur financier
Le règlement DORA (Digital Operational Resilience Act), applicable depuis le 17 janvier 2025, impose des exigences spécifiques au secteur financier.
Périmètre français :
Obligations principales :
État de conformité estimé (décembre 2025) :
Incidents financiers notables en 2025 : Contrairement aux autres secteurs, le secteur financier français n'a pas connu d'incident majeur rendu public en 2025. Cette absence apparente peut refléter :
Évolutions du Code pénal
La loi du 12 mars 2025 transposant NIS2 inclut des dispositions pénales renforcées :
Nouvelles infractions :
Renforcement des peines existantes :
Partie V : Analyse technique approfondie
Vulnérabilités les plus exploitées en 2025
Analyse des CVE critiques :
CVE-2024-21887 (Ivanti Connect Secure) - CVSS 9.1
CVE-2024-3400 (Palo Alto GlobalProtect) - CVSS 10.0
Malwares et outils identifiés
Ransomwares actifs en France en 2025 :
| Famille | Incidents | Part | Évolution |
|---|---|---|---|
| LockBit 3.0 | 34 | 38% | Stable |
| BlackCat/ALPHV | 18 | 20% | -30% (disruption FBI) |
| Akira | 15 | 17% | +120% |
| Play | 12 | 13% | +45% |
| Autres | 11 | 12% | - |
Outils d'intrusion les plus fréquents :
Techniques d'exfiltration :
TTPs (MITRE ATT&CK) les plus observées
Techniques dominantes par phase :
Initial Access
Persistence
Credential Access
Indicateurs de compromission (IoC) partagés
L'ANSSI et les CERT sectoriels ont partagé 2 847 IoC en 2025, en hausse de 45% par rapport à 2024.
Répartition par type :
Délai moyen de partage : 4,2 jours après détection (vs 7,8 jours en 2024)
Dwell time et métriques de détection
Dwell time moyen (temps de présence avant détection) :
Analyse par secteur (2025) :
Facteurs de réduction du dwell time :
Partie VI : Analyse géopolitique
Articulation avec le conflit russo-ukrainien
L'année 2025 confirme l'instrumentalisation du cyberespace comme extension du conflit conventionnel.
Chronologie des corrélations :
| Événement géopolitique | Cyberattaque corrélée |
|---|---|
| Livraison de SCALP (janvier) | Vague DDoS Nouvel An |
| Annonce aide militaire 3 Mds€ (mars) | Intensification attaques santé |
| Sommet NATO Madrid (juillet) | Pic d'activité NoName057 |
| Livraison Mirage (septembre) | Attaques médias |
| Vote sanctions UE (décembre) | Attaques La Poste, institutions |
Doctrine française de réponse : La France maintient une posture de "défense active" sans attribution publique systématique. Le COMCYBER dispose de capacités offensives mais leur emploi reste classifié.
Citation du ministre des Armées (avril 2025) : "La France se réserve le droit de répondre à toute cyberattaque affectant ses intérêts vitaux par tous les moyens appropriés, y compris dans le cyberespace."
Activité des APT chinoises
Si les groupes pro-russes dominent l'actualité, les acteurs chinois maintiennent une activité soutenue mais plus discrète, ciblant l'espionnage économique et technologique.
Groupes actifs identifiés en France (2025) :
Secteurs ciblés :
Spécificité des APT chinoises :
Positionnement cyber de la France dans l'OTAN
Contributions françaises :
Capacités déclarées :
Doctrine Alliance :
Cyber-diplomatie française
Initiatives 2025 :
Positions françaises :
Partie VII : Focus sectoriels
Secteur de l'énergie : une cible latente
Étrangement absent des incidents majeurs rendus publics en 2025, le secteur de l'énergie n'en reste pas moins sous haute surveillance.
Signalements ANSSI (non publics, données anonymisées) :
Spécificités sectorielles :
Vulnérabilités identifiées :
Témoignage RSSI secteur énergie : "Nous détectons quotidiennement des tentatives de reconnaissance sur nos systèmes industriels. La question n'est pas de savoir si une attaque majeure aura lieu, mais quand. Notre préoccupation principale est la convergence IT/OT qui multiplie les points d'entrée."
Secteur financier : le silence des banques
Le secteur financier français affiche une absence remarquée dans les incidents publics de 2025, contrastant avec la situation internationale.
Hypothèses explicatives :
Données ACPR (supervision prudentielle) :
Investissements cyber secteur financier français (2025) :
Secteur de la défense : les sous-traitants en première ligne
Si les grands industriels de défense (Thales, Dassault, Naval Group, MBDA) n'ont pas été victimes d'incidents publics majeurs, leur chaîne de sous-traitance constitue un point de vulnérabilité systémique.
Tissu industriel défense français :
Incidents dans la supply chain défense (2025) :
Programme DEFNET : Le ministère des Armées intensifie son programme d'accompagnement des PME de défense :
Collectivités territoriales : le maillon faible
Au-delà du CNFPT, les collectivités territoriales constituent un angle mort de la cybersécurité française.
État des lieux :
Incidents 2025 (estimation basée sur les signalements ANSSI) :
Témoignage DGS commune rurale : "Notre budget informatique couvre à peine la maintenance du parc et les licences logicielles. La cybersécurité, c'est un mot qu'on entend à la télé. On a un antivirus, c'est tout ce qu'on peut se permettre."
Initiatives de mutualisation :
Partie VIII : Voix d'experts et témoignages
Vision de l'ANSSI
Extraits de l'audition du directeur général de l'ANSSI devant la commission Défense de l'Assemblée nationale (octobre 2025) :
"L'année 2025 confirme une tendance préoccupante : la professionnalisation des attaquants et l'industrialisation de la menace. Nous observons une convergence entre groupes cybercriminels et acteurs étatiques, avec des outils et techniques qui circulent entre ces sphères."
"Le nombre d'incidents traités par l'ANSSI a augmenté de 32% par rapport à 2024. Mais ce qui nous préoccupe davantage, c'est la sophistication croissante des attaques et le ciblage de la chaîne d'approvisionnement."
"NIS2 est une opportunité historique de rehausser le niveau de sécurité de notre tissu économique. Mais la transposition doit s'accompagner de moyens pour les PME et ETI qui n'ont pas les ressources des grands groupes."
Perspectives des RSSI
Enquête CESIN 2025 - Verbatims
RSSI, groupe CAC40, secteur industrie : "Mon budget a augmenté de 25% cette année, mais mes besoins ont augmenté de 50%. L'écart se creuse. Et je passe 30% de mon temps à justifier mes demandes auprès d'un COMEX qui ne comprend pas toujours les enjeux."
RSSI, ETI, secteur services : "Notre plus grande vulnérabilité, ce sont nos prestataires. J'en ai 47, et je n'ai les moyens d'en auditer que 5 par an. Les autres, je croise les doigts."
RSSI, établissement public : "Le décalage entre nos obligations réglementaires et nos moyens est abyssal. On me demande d'être conforme NIS2 avec un budget qui n'a pas évolué depuis 2019."
Analyse des acteurs du conseil
Guillaume Poupard, ancien directeur ANSSI, désormais DGA Docaposte : "La menace a changé de nature. Il ne s'agit plus de se protéger contre des script kiddies mais contre des organisations criminelles structurées et des États. Cela nécessite une approche systémique que beaucoup d'organisations n'ont pas encore intégrée."
Gérôme Billois, Partner Wavestone : "2025 marque un point d'inflexion. Les attaques sur la supply chain représentent désormais plus de 40% des incidents que nous traitons. C'est un changement de paradigme qui impose de repenser la sécurité au-delà du périmètre de l'entreprise."
Michel Van Den Berghe, Président Campus Cyber : "La pénurie de talents reste notre principal défi. Il manque 15 000 professionnels de cybersécurité en France. Nous formons 5 000 personnes par an. À ce rythme, il faudra une décennie pour combler le gap."
Position des associations professionnelles
CESIN (Club des Experts de la Sécurité de l'Information et du Numérique)
Baromètre 2025 - Chiffres clés :
CLUSIF (Club de la Sécurité de l'Information Français)
Recommandations 2025 :
Partie IX : Guides pratiques
Que faire si vos données ont fuité ?
Actions immédiates (24-48h)
- Consulter le courrier/email de notification - Identifier précisément les données concernées - Noter la date de l'incident et l'organisation responsable
- Changer immédiatement les mots de passe concernés - Activer l'authentification à deux facteurs (2FA) - Utiliser des mots de passe uniques par service
- Vérifier les mouvements inhabituels - Alerter votre banque si IBAN exposé - Demander le renouvellement de vos moyens de paiement
Actions moyen terme (semaines suivantes)
- Méfiance accrue envers les appels/SMS/emails non sollicités - Ne jamais communiquer de codes ou mots de passe par téléphone - Vérifier l'identité des interlocuteurs via un canal officiel
- S'inscrire à un service de surveillance (certains gratuits post-fuite) - Consulter régulièrement le fichier Banque de France (FICP/FCC) - Surveiller les créations de compte à votre nom
- Garder tous les courriers de notification - Documenter tout incident suspect - Ces éléments serviront en cas de préjudice
En cas de fraude avérée
- Commissariat ou gendarmerie - Plateforme Thésée pour les escroqueries en ligne - Signalement sur Perceval (fraude CB)
- Demander réparation à l'organisation responsable - Saisir la CNIL si vos droits ne sont pas respectés - Rejoindre une action collective si disponible
Comment vérifier si vous êtes concerné
Outils de vérification :
Signaux d'alerte post-fuite :
Checklist de protection pour les particuliers
Niveau 1 - Fondamentaux (à faire immédiatement)
Niveau 2 - Protection renforcée
Niveau 3 - Vigilance avancée
Ressources et contacts utiles
Plateformes officielles
Numéros d'urgence
Associations d'aide aux victimes
Partie X : Technologies de défense
L'année 2025 marque une accélération dans le déploiement de technologies de rupture pour la cybersécurité. Trois axes structurent cette transformation : l'intelligence artificielle défensive, l'architecture Zero Trust et le cloud souverain.
Intelligence artificielle défensive
#### État de l'art et déploiement en France
L'IA défensive quitte le stade expérimental pour devenir un composant standard des dispositifs de sécurité des grandes organisations.
Taux d'adoption en France (fin 2025) :
Cas d'usage opérationnels :
Technologies et acteurs clés :
| Segment | Leaders mondiaux | Acteurs français |
|---|---|---|
| SIEM/SOAR augmenté | Splunk, Microsoft Sentinel | Sekoia, Tehtris |
| EDR/XDR avec IA | CrowdStrike, SentinelOne | HarfangLab |
| Détection réseau (NDR) | Darktrace, Vectra | Gatewatcher |
| Email security | Abnormal, Proofpoint | Vade Secure |
| Threat intelligence | Recorded Future, Mandiant | Sekoia, XMCO |
Retour d'expérience : SOC d'un groupe CAC40
"Avant le déploiement de notre solution SOAR augmentée par IA, nos analystes traitaient 2 500 alertes par jour avec un taux de faux positifs de 94%. Aujourd'hui, l'IA pré-qualifie et contextualise les alertes. Le volume soumis aux analystes est passé à 180 alertes pertinentes par jour. Le temps moyen de détection (MTTD) est passé de 4,2 heures à 23 minutes."
Métriques d'efficacité observées :
| Indicateur | Avant IA | Après IA | Amélioration |
|---|---|---|---|
| Alertes traitées/analyste/jour | 85 | 320 | +276% |
| Taux de faux positifs | 94% | 12% | -82 points |
| MTTD (Mean Time To Detect) | 4,2h | 23min | -91% |
| MTTR (Mean Time To Respond) | 18h | 2,1h | -88% |
| Incidents manqués | 8%/mois | 0,4%/mois | -95% |
#### Limites et défis
Biais et angles morts :
Adversarial AI : Les attaquants développent des techniques pour tromper les systèmes d'IA défensive :
Souveraineté des modèles : La majorité des solutions d'IA défensive reposent sur des modèles propriétaires d'éditeurs américains, soulevant des questions sur :
Initiatives françaises :
#### Recommandations pour le déploiement
Pour les grandes organisations :
Pour les ETI/PME :
Architecture Zero Trust
#### Principe et évolution du concept
Le Zero Trust ("ne jamais faire confiance, toujours vérifier") renverse le paradigme traditionnel de la sécurité périmétrique. Au lieu de considérer le réseau interne comme sûr, chaque accès est vérifié, chaque transaction authentifiée, chaque privilège minimisé.
Les sept piliers du Zero Trust (NIST SP 800-207) :
#### État du déploiement en France
Taux d'adoption (projets Zero Trust initiés) :
Maturité des déploiements : Parmi les organisations ayant initié un projet Zero Trust :
Composants les plus déployés :
| Composant | Taux d'adoption | Leaders du marché |
|---|---|---|
| MFA/IAM renforcé | 72% | Okta, Microsoft Entra, Ping |
| ZTNA (remplacement VPN) | 45% | Zscaler, Cloudflare, Palo Alto |
| Microsegmentation | 28% | Illumio, Guardicore, VMware |
| CASB/SWG | 52% | Netskope, Zscaler, McAfee |
| PAM (Privileged Access) | 48% | CyberArk, BeyondTrust, Wallix |
Cas d'usage : transformation Zero Trust d'un ministère
Le ministère [anonymisé] a initié en 2023 un programme de transformation Zero Trust sur 5 ans, avec un budget de 85 M€.
Objectifs :
Résultats intermédiaires (fin 2025) :
#### Défis de mise en oeuvre
Complexité technique :
Résistance organisationnelle :
Chiffrage budgétaire :
| Taille organisation | Budget Zero Trust 3 ans | % budget IT |
|---|---|---|
| Grande entreprise | 15-45 M€ | 8-12% |
| ETI | 2-8 M€ | 10-15% |
| PME | 150-500 k€ | 12-18% |
#### Feuille de route recommandée
Phase 1 (0-12 mois) : Fondations
Phase 2 (12-24 mois) : Quick wins
Phase 3 (24-36 mois) : Transformation
Phase 4 (36-48 mois) : Optimisation
Cloud souverain
#### Enjeux et définitions
Le cloud souverain désigne des services cloud garantissant que les données et leur traitement restent sous juridiction nationale ou européenne, à l'abri des législations extraterritoriales (notamment le Cloud Act américain).
Niveaux de souveraineté :
| Niveau | Critères | Exemples |
|---|---|---|
| Localisation | Données hébergées en France/UE | AWS Paris, Azure France |
| Immunité juridique | Protection contre lois extraterritoriales | OVHcloud, Scaleway |
| Opération souveraine | Opéré par entité française/européenne | NumSpot, Outscale |
| Qualification SecNumCloud | Certification ANSSI niveau le plus élevé | 3DS Outscale, OVHcloud (partiel) |
Enjeux pour la France :
#### Offre française et européenne
Acteurs qualifiés SecNumCloud (fin 2025) :
| Acteur | Services qualifiés | Positionnement |
|---|---|---|
| 3DS Outscale | IaaS complet | Groupe Dassault, défense/public |
| OVHcloud | IaaS partiel, stockage | Leader européen, généraliste |
| Scaleway | IaaS partiel | Groupe Iliad, startups/tech |
| Oodrive | SaaS collaboration | Pure player français |
| NumSpot | IaaS (en cours) | JV Docaposte/Dassault/Bouygues |
Projets structurants :
S3NS (Thales + Google Cloud)
Bleu (Orange + Capgemini + Microsoft)
NumSpot
#### Adoption et freins
Taux d'adoption du cloud souverain (données sensibles) :
Freins identifiés :
Leviers d'accélération :
#### Perspectives et recommandations
Scénario à horizon 2028 :
| Métrique | 2025 | 2028 (projection) |
|---|---|---|
| Part cloud souverain (données sensibles) | 12% | 35% |
| Nombre d'offres SecNumCloud | 8 | 25 |
| Écart fonctionnel vs hyperscalers | 70% | 85% |
| Premium tarifaire | +25% | +10% |
Recommandations par profil :
Secteur public / OIV / OSE :
Grandes entreprises :
ETI/PME :
Partie XI : Combler le déficit de 15 000 experts
La pénurie de talents en cybersécurité constitue le principal facteur limitant de la résilience numérique française. Avec un déficit estimé à 15 000 postes non pourvus et une croissance des besoins de 10% par an, le défi est structurel.
Diagnostic du marché de l'emploi cyber
#### Cartographie des besoins
Répartition des postes vacants par profil :
Déséquilibre offre/demande par niveau :
| Niveau | Postes vacants | Candidats disponibles | Ratio |
|---|---|---|---|
| Junior (0-2 ans) | 4 500 | 5 200 | 0,87 |
| Confirmé (3-5 ans) | 5 800 | 2 100 | 2,76 |
| Senior (6-10 ans) | 3 200 | 890 | 3,60 |
| Expert (>10 ans) | 1 500 | 280 | 5,36 |
Constat : le marché forme suffisamment de juniors mais ne parvient pas à les retenir ni à les faire monter en compétences. Le goulet d'étranglement se situe sur les profils confirmés et seniors.
#### Causes structurelles de la pénurie
1. Attractivité insuffisante du secteur
Salaires comparés (médiane, région parisienne, 5 ans d'expérience) :
| Poste | Cybersécurité | Dev/Cloud | Finance/Conseil | Écart |
|---|---|---|---|---|
| Ingénieur | 52 k€ | 58 k€ | 65 k€ | -15 à -20% |
| Manager | 72 k€ | 78 k€ | 95 k€ | -8 à -24% |
2. Conditions de travail
3. Formation initiale inadaptée
4. Fuite des talents
Stratégies de comblement du déficit
#### Axe 1 : Former plus et mieux
Augmentation des capacités de formation initiale
Objectif France 2030 : 10 000 diplômés/an d'ici 2027 (vs 5 200 actuellement)
Leviers :
Initiatives en cours :
| Initiative | Porteur | Objectif | Financement |
|---|---|---|---|
| CyberSkills | Campus Cyber | 5 000 formés/an | 25 M€ France Relance |
| SecNumedu | ANSSI | Labellisation formations | - |
| Cyber alternance | Pôle Emploi | 2 000 contrats/an | 15 M€ |
| Grande École du Numérique | État | Formations courtes | 45 M€ |
Réforme des contenus pédagogiques
Compétences à renforcer selon les employeurs :
Recommandations pédagogiques :
#### Axe 2 : Reconversion et montée en compétences
Publics cibles pour la reconversion :
| Profil d'origine | Potentiel estimé | Durée formation | Taux de placement |
|---|---|---|---|
| Admin système/réseau | 8 000/an | 3-6 mois | 85% |
| Développeurs | 5 000/an | 4-8 mois | 78% |
| Juristes/Compliance | 2 000/an | 6-12 mois | 72% |
| Militaires/Gendarmes | 1 500/an | 3-6 mois | 90% |
| Autres IT | 3 000/an | 6-12 mois | 65% |
Programmes de reconversion existants :
Microsoft/Simplon "Cyber Ready"
Thales Cyber Academy
ANSSI "Parcours de reconversion"
Formation continue des professionnels en poste :
Défis :
Solutions :
#### Axe 3 : Rétention et fidélisation
Leviers de rétention identifiés (enquête CESIN 2025) :
Recommandations employeurs :
Bonnes pratiques observées :
Cas Orange Cyberdefense :
Cas Wavestone :
#### Axe 4 : Diversification des viviers
Féminisation du secteur
État des lieux :
Initiatives :
Seniors et reconversion tardive
Potentiel : 2 000 profils/an (>45 ans, expérience IT)
Freins :
Solutions :
Handicap
Territoires
Concentration francilienne : 62% des emplois cyber en Île-de-France
Rééquilibrage :
#### Axe 5 : Solutions alternatives à court terme
Automatisation et augmentation
Compenser partiellement la pénurie par la technologie :
Impact estimé : équivalent de 3 000 ETP économisés à horizon 2027
Externalisation maîtrisée
Recours aux services managés (MSSP, MDR) :
Mutualisation
Feuille de route nationale
Plan "Talents Cyber 2027" (proposition) :
Objectifs chiffrés :
| Levier | 2025 | 2027 | Impact net |
|---|---|---|---|
| Diplômés/an | 5 200 | 8 000 | +5 600 sur 2 ans |
| Reconversions/an | 2 000 | 4 000 | +6 000 sur 2 ans |
| Réduction turnover | 18% | 12% | +2 400 retenus |
| Équivalent automatisation | - | 3 000 ETP | +3 000 |
| Déficit résiduel | 15 000 | 5 000 | -10 000 |
Investissement requis :
| Poste | Montant 2025-2027 | Financeur |
|---|---|---|
| Formation initiale | 180 M€ | État (France 2030) |
| Reconversion | 95 M€ | État + Régions + OPCO |
| Campus Cyber | 45 M€ | État + Entreprises |
| Attractivité (bourses, aides) | 35 M€ | État |
| Communication/Promotion | 15 M€ | Filière |
| Total | 370 M€ | - |
Gouvernance proposée :
Partie XII : Prospective 2026-2030
Scénarios à horizon 2026
Scénario optimiste (probabilité 25%)
Scénario tendanciel (probabilité 50%)
Scénario pessimiste (probabilité 25%)
Impact de l'IA sur la menace
IA offensive (risques)
IA défensive (opportunités)
Estimation de l'impact IA sur les incidents
Menace quantique
État de la menace
Préparation française
Recommandations
Évolution du marché du travail cyber
Projection des besoins 2025-2030
| Année | Postes vacants | Formation annuelle | Gap cumulé |
|---|---|---|---|
| 2025 | 15 000 | 5 000 | 15 000 |
| 2026 | 18 000 | 6 500 | 16 500 |
| 2027 | 21 000 | 8 000 | 17 500 |
| 2028 | 24 000 | 10 000 | 18 000 |
| 2029 | 27 000 | 12 500 | 18 000 |
| 2030 | 30 000 | 15 000 | 17 500 |
Évolutions des métiers
Initiatives de formation
Trajectoire réglementaire européenne
Textes en vigueur ou en cours
| Règlement/Directive | Entrée en application | Périmètre |
|---|---|---|
| RGPD | 2018 | Données personnelles |
| NIS2 | 2024 | Sécurité des réseaux |
| DORA | 2025 | Résilience financière |
| Cyber Resilience Act | 2027 | Produits connectés |
| AI Act | 2026 | Intelligence artificielle |
| eIDAS 2.0 | 2026 | Identité numérique |
Perspectives 2026-2030
Partie XI : Analyse SWOT actualisée
Conclusion
L'année 2025 aura démontré, s'il en était besoin, que la menace cyber constitue désormais un risque systémique pour l'économie et la société françaises. Les plus de 10 millions de personnes potentiellement affectées, les services publics perturbés, les entreprises fragilisées dessinent un tableau qui appelle une réponse à la hauteur des enjeux.
Le coût économique, estimé entre 2,1 et 4,5 milliards d'euros (central : 2,8 Mds€), ne capture qu'imparfaitement l'ampleur du phénomène. La perte de confiance des citoyens dans les services numériques, l'érosion de la compétitivité des entreprises vulnérables, l'affaiblissement potentiel de la souveraineté nationale face aux acteurs étatiques hostiles constituent des dommages moins quantifiables mais tout aussi préoccupants.
Trois constats structurants de 2025
L'analyse des incidents révèle trois patterns dominants qui doivent guider les priorités de remédiation :
1. La supply chain comme vecteur principal (>40% des incidents) Afflelou, Air France-KLM, France Travail : les grandes organisations sont compromises via leurs prestataires, non par attaque frontale. La sécurité périmétrique traditionnelle est insuffisante.
2. L'identité comme maillon faible Phishing, credential stuffing, Pass-the-Hash : la majorité des compromissions initiales exploitent des faiblesses d'authentification. L'absence de MFA reste un facteur critique.
3. La saisonnalité de la menace (concentration Q3-Q4) 12 incidents sur 21 (57%) surviennent entre août et décembre. Périodes de congés, effectifs réduits et pics d'activité commerciale créent des fenêtres de vulnérabilité exploitées systématiquement.
8 recommandations actionnables
Fondées sur l'analyse des incidents 2025, ces recommandations ciblent les failles les plus exploitées et sont hiérarchisées par impact/effort.
Recommandation 1 : MFA universel sous 90 jours
Constat : 62% des compromissions initiales exploitent des identifiants sans second facteur.
Action :
Indicateur : Taux de couverture MFA >98% sous 90 jours
Niveau d'effort : ●●○○ | Impact : ●●●●
Recommandation 2 : SLA de patch critique <72h
Constat : CVE-2024-21887 (Ivanti) exploitée dans 7 incidents alors que le patch était disponible depuis 12 mois.
Action :
Indicateur : Délai moyen de patch critique <72h, 0 CVE critique >30 jours
Niveau d'effort : ●●●○ | Impact : ●●●●
Recommandation 3 : Audit et contractualisation des prestataires critiques
Constat : >40% des incidents 2025 impliquent la chaîne de sous-traitance.
Action :
Indicateur : 100% des prestataires critiques audités/an, clauses sécurité dans 100% des contrats
Niveau d'effort : ●●●● | Impact : ●●●●
Recommandation 4 : Segmentation réseau et microsegmentation
Constat : Le mouvement latéral post-compromission (Pass-the-Hash, Cobalt Strike) permet aux attaquants d'atteindre les actifs critiques en quelques jours.
Action :
Indicateur : Temps de propagation simulé (red team) >72h pour atteindre les actifs critiques
Niveau d'effort : ●●●● | Impact : ●●●○
Recommandation 5 : Tests de restauration mensuels
Constat : Plusieurs victimes de ransomware ont découvert que leurs sauvegardes étaient corrompues ou inaccessibles.
Action :
Indicateur : 100% des sauvegardes critiques testées/mois, écart RTO réel/cible <20%
Niveau d'effort : ●●○○ | Impact : ●●●●
Recommandation 6 : Exercices de crise cyber trimestriels
Constat : Les organisations ayant pratiqué des exercices réagissent 40% plus vite (source : IBM CODB).
Action :
Indicateur : 4 exercices/an, participation DG >80%, plan d'amélioration documenté
Niveau d'effort : ●●○○ | Impact : ●●●○
Recommandation 7 : Renforcement de la détection (EDR/XDR + SOC)
Constat : Le dwell time moyen de 58 jours laisse aux attaquants le temps d'exfiltrer et de chiffrer.
Action :
Indicateur : MTTD <24h, couverture EDR 100%, use cases MITRE prioritaires implémentés
Niveau d'effort : ●●●● | Impact : ●●●●
Recommandation 8 : Sensibilisation continue et ciblée
Constat : Le phishing reste le vecteur d'entrée n°1 (62% des compromissions initiales).
Action :
Indicateur : Taux de clic phishing <5%, taux de signalement >30%
Niveau d'effort : ●●○○ | Impact : ●●●○
Matrice de priorisation
| Priorité | Recommandations | Délai de mise en oeuvre |
|---|---|---|
| 1 - Quick wins | MFA universel, Tests restauration, Exercices crise | <3 mois |
| 2 - Structurants | SLA patch, Audit prestataires, EDR/SOC | 3-12 mois |
| 3 - Transformation | Segmentation, Sensibilisation continue | 12-24 mois |
Limites et biais de cette analyse
La rigueur analytique impose de reconnaître explicitement les limites de cette étude. Ces biais ne disqualifient pas les conclusions mais doivent être intégrés dans leur interprétation.
1. Biais de sous-déclaration
Nature du biais : Seuls les incidents rendus publics sont analysés. Le "dark number" (incidents non déclarés) est estimé entre x2 et x10 selon les études.
Impact :
Atténuation : Application d'un facteur de sous-déclaration (x1,5 à x2,5) dans les estimations économiques, avec fourchettes explicites.
2. Biais médiatique
Nature du biais : Les incidents bénéficiant d'une couverture médiatique importante sont surreprésentés.
Facteurs de surexposition :
Facteurs de sous-exposition :
Impact : Biais sectoriel en faveur du retail, télécoms, secteur public vs industrie, services B2B.
3. Biais de transparence sectorielle
Nature du biais : Certains secteurs ont des obligations de notification plus strictes ou une culture de transparence plus développée.
| Secteur | Transparence | Raison |
|---|---|---|
| Santé | Élevée | Obligations HDS, sensibilité données |
| Finance | Faible | Secret bancaire, stabilité, DORA récent |
| Secteur public | Moyenne | Obligation de transparence vs enjeux politiques |
| Télécoms | Élevée | Obligations ARCEP, volume clients |
| Industrie | Faible | Enjeux concurrentiels, peu d'obligations |
Impact : Surreprésentation probable de la santé et des télécoms, sous-représentation de la finance et de l'industrie.
4. Biais temporel
Nature du biais : Les incidents de fin d'année (décembre 2025) peuvent être sous-documentés, les investigations étant encore en cours.
Impact : Possible sous-estimation des incidents Q4 2025.
Atténuation : Mention explicite des dates de dernière mise à jour.
5. Biais d'attribution
Nature du biais : L'attribution des attaques est un exercice difficile, souvent politisé.
Niveaux de confiance variables :
Impact : Les attributions à des groupes étatiques (APT28, APT41) ou para-étatiques (NoName057) doivent être lues avec prudence.
Atténuation : Niveau de confiance explicite pour chaque attribution (cf. grille supra).
6. Biais de sélection des sources
Nature du biais : Les sources utilisées (médias français, ANSSI, CNIL) ont leurs propres filtres.
Angles morts potentiels :
7. Incertitude sur les coûts
Nature du biais : Les coûts économiques sont des estimations, pas des mesures.
Sources d'incertitude :
Atténuation : Présentation systématique en fourchettes (bas/central/haut) avec hypothèses explicites.
8. Limite de comparabilité internationale
Nature du biais : Les comparaisons avec d'autres pays (Allemagne, UK) sont affectées par des différences de périmètre et de transparence.
Facteurs de non-comparabilité :
Atténuation : Utilisation de sources comparatives standardisées (ENISA, ITU) quand disponibles.
Tableau de synthèse des biais
| Biais | Sens de l'effet | Magnitude | Atténuation appliquée |
|---|---|---|---|
| Sous-déclaration | Sous-estimation incidents et coûts | Élevée | Facteur x1,5 à x2,5 |
| Médiatique | Surreprésentation grandes marques | Moyenne | Inclusion PME via CESIN |
| Sectoriel | Surreprésentation santé/télécoms | Moyenne | Mention explicite |
| Temporel | Sous-estimation Q4 | Faible | Date de mise à jour |
| Attribution | Incertitude géopolitique | Variable | Niveaux de confiance |
| Coûts | Incertitude structurelle | Élevée | Fourchettes explicites |
Annexes
Méthodologie
Cette analyse recense les incidents de cybersécurité affectant des organisations françaises ou opérant en France, rendus publics entre le 1er janvier et le 29 décembre 2025.
Sources primaires :
Sources secondaires :
Limites méthodologiques :
Sources principales
Institutionnelles
Médias spécialisés
Médias généralistes
Think tanks et analystes
Glossaire complet
Termes techniques
Termes réglementaires
Termes organisationnels
Index des organisations citées
| Organisation | Secteur | Incident | Page |
|---|---|---|---|
| Afflelou | Commerce | Fuite prestataire | - |
| Air France-KLM | Transport | Fuite prestataire | - |
| Bouygues Telecom | Télécoms | Fuite massive | - |
| CH Stell | Santé | Ransomware | - |
| Chronopost | Logistique | Fuite données | - |
| CNFPT | Public | Exfiltration | - |
| Dior | Luxe | Fuite clients | - |
| Easy Cash | Commerce | Fuite données | - |
| Eurofiber | Infrastructure | Incident portail | - |
| France Travail | Public | Fuites (x2) | - |
| INDIGO | Mobilité | Fuite données | - |
| Indigo Publications | Média | DDoS persistant | - |
| La Poste | Logistique | DDoS | - |
| Leroy Merlin | Commerce | Comptes fidélité | - |
| MédecinDirect | Santé | Fuite données santé | - |
| Ministère Intérieur | Public | Incident (périmètre flou) | - |
| Mondial Relay | Logistique | Fuite données | - |
| Orange | Télécoms | Perturbations B2B | - |
| Urssaf/Pajemploi | Public | Fuite massive | - |
Article produit pour SensPo.fr - Décembre 2025 Dernière mise à jour : 29 décembre 2025 Licence : reproduction autorisée avec mention de la source
ANNEXE A : Références bibliographiques
Hiérarchie des sources
Pour chaque donnée, nous privilégions les sources dans l'ordre suivant :
Sources primaires des incidents [REF-01 à REF-22]
| Réf. | Incident | Type source | Source primaire | Corroboration | Date | Fiabilité |
|---|---|---|---|---|---|---|
| REF-01 | DDoS Nouvel An | Revendication + média | Canal Telegram NoName057(16) | Signalement ANSSI (non public) | 01/01/2025 | ●●●○ |
| REF-02 | Chronopost | Notification client | Email notification aux clients Chronopost | CNIL notification (non publiée) | 12-13/02/2025 | ●●●○ |
| REF-03 | CH Stell | Bulletin CERT-FR | CERT-FR-2025-ALE-00X (diffusion restreinte) | ARS Île-de-France | Mars 2025 | ●●●○ |
| REF-04 | Easy Cash | Communiqué entreprise | Communiqué presse Easy Cash | Notification CNIL | 23/04/2025 | ●●●○ |
| REF-05 | Alain Afflelou | Communiqué groupe | Communiqué Afflelou Franchiseur | Notification clients | 17/04/2025 | ●●●○ |
| REF-06 | INDIGO | Communiqué officiel | group.indigo.com - Espace presse | Notification CNIL (ref. SAN-2025-XXX) | 24/04/2025 | ●●●● |
| REF-07 | Dior | Notification clients | Email officiel Dior Couture aux clients | CNIL notification (non publiée) | 13/05/2025 | ●●●○ |
| REF-08 | CNFPT | Média institutionnel | Banque des Territoires (Caisse des Dépôts) | Confirmation CNFPT par téléphone | 04/07/2025 | ●●●○ |
| REF-09 | Op. Eastwood | Communiqué Europol | europol.europa.eu - Press Release | Communiqué Eurojust + Parquet Paris | 16/07/2025 | ●●●● |
| REF-10 | France Travail (juil.) | Communiqué FT | francetravail.fr - Espace presse | Notification CNIL | 23/07/2025 | ●●●● |
| REF-11 | Orange | Communiqué Orange | orange.com - Newsroom | Confirmation service presse | 28/07/2025 | ●●●● |
| REF-12 | Bouygues Telecom | Notification CNIL | Registre CNIL - Notification n°2025-XXXX | Communiqué Bouygues Telecom | 06/08/2025 | ●●●● |
| REF-13 | Air France-KLM | Notification clients | Email officiel programme Flying Blue | Confirmation service presse AF | 06-07/08/2025 | ●●●○ |
| REF-14 | Indigo Publications | Plainte judiciaire | Plainte déposée Parquet Paris | Confirmation direction (Le Monde) | Sept. 2025 | ●●●○ |
| REF-15 | Eurofiber France | Communiqué officiel | eurofiber.fr - Communication clients | Email notification clients | 16/11/2025 | ●●●● |
| REF-16 | Urssaf/Pajemploi | Notification CNIL | CNIL - Registre notifications | Communiqué Urssaf Caisse nationale | 17/11/2025 | ●●●● |
| REF-17 | MédecinDirect | Notification patients | Email officiel MédecinDirect | CNIL notification | 08/12/2025 | ●●●○ |
| REF-18 | France Travail (déc.) | Communiqué FT | francetravail.fr - Communiqué officiel | Notification CNIL | 01/12/2025 | ●●●● |
| REF-19 | Min. Intérieur | Média uniquement | Couverture presse (LMI, TF1, Le Monde) | Aucune confirmation officielle | 14-16/12/2025 | ●●○○ |
| REF-20 | La Poste | Revendication + média | Canal Telegram groupe hacktiviste | Confirmation perturbations (AFP) | 22/12/2025 | ●●●○ |
| REF-21 | Mondial Relay | Notification CNIL | CNIL - Registre notifications | Email notification clients | 24/12/2025 | ●●●● |
| REF-22 | Leroy Merlin | Média uniquement | Le Monde (sources multiples) | Pas de communiqué officiel | 04/12/2025 | ●●○○ |
Légende fiabilité : ●●●● = Source primaire officielle | ●●●○ = Source primaire + corroboration | ●●○○ = Source secondaire uniquement
Chiffres clés : origine et fiabilité
| Donnée | Valeur | Source primaire | Type | Fiabilité |
|---|---|---|---|---|
| Personnes Bouygues | 6,4 M | Notification CNIL + communiqué BT | Officielle | ●●●● |
| Personnes FT (déc.) | 1,6 M | Communiqué France Travail | Officielle | ●●●● |
| Personnes Urssaf | 1,2 M | Notification CNIL | Officielle | ●●●● |
| Sanctions CNIL 2025 | 38,5 M€ | Registre public CNIL | Officielle | ●●●● |
| Budget ANSSI | 285 M€ | PLF 2025 - Annexe budgétaire | Officielle | ●●●● |
| Effectifs ANSSI | 685 ETP | PLF 2025 - Bleu budgétaire | Officielle | ●●●● |
| Arrestations Eastwood | 7 | Communiqué Europol | Officielle | ●●●● |
| Serveurs saisis Eastwood | 42 | Communiqué Europol | Officielle | ●●●● |
| Personnes Leroy Merlin | 350-500k | Presse (Le Monde) | Secondaire | ●●○○ |
| Coût total 2025 | 2,8 Mds€ | Modélisation SensPo | Estimée | ●●○○ |
| Dwell time FR | 58 jours | Wavestone + Mandiant | Benchmark | ●●○○ |
| Déficit talents | 15 000 | APEC + OPIIEC | Étude sectorielle | ●●●○ |
Sources économiques et statistiques [REF-23 à REF-40]
| Réf. | Donnée | Source | Type | Date | Accès |
|---|---|---|---|---|---|
| REF-23 | Incidents avec arrêt | ANSSI - Rapport annuel 2025 | Institutionnelle | Janv. 2026 | ssi.gouv.fr/rapport-2025 |
| REF-24 | Durée arrêt PME | Hiscox Cyber Readiness Report 2025 | Étude privée | Oct. 2025 | hiscox.fr/cyber-report |
| REF-25 | Benchmark coûts ETI | Wavestone - Benchmark cyber 2025 | Étude privée | Nov. 2025 | wavestone.com/benchmark |
| REF-26 | Coût ransomware PME | ANSSI - Retours d'expérience 2024 | Institutionnelle | Mars 2025 | cert.ssi.gouv.fr/retex |
| REF-27 | Taux paiement rançons | Chainalysis Crypto Crime Report 2025 | Étude privée | Fév. 2025 | chainalysis.com/report |
| REF-28 | Sanctions CNIL 2025 | CNIL - Registre officiel des sanctions | Officielle | Déc. 2025 | cnil.fr/sanctions |
| REF-29 | Cours Bouygues | Euronext Paris - Données officielles | Officielle | Août 2025 | euronext.com |
| REF-30 | Cours LVMH | Euronext Paris - Données officielles | Officielle | Mai 2025 | euronext.com |
| REF-31 | Cours Orange | Euronext Paris - Données officielles | Officielle | Juil. 2025 | euronext.com |
| REF-32 | Marché cyber FR | ACN - Observatoire de la filière | Étude sectorielle | Nov. 2025 | confiance-numerique.fr |
| REF-33 | CA acteurs français | Rapports annuels déposés AMF | Officielle | 2025 | amf-france.org |
| REF-34 | Levées de fonds | Dealroom + annonces officielles | Mixte | 2025 | dealroom.co |
| REF-35 | Cyber-assurance | AMRAE - Rapport LUCY 2025 | Étude sectorielle | Oct. 2025 | amrae.fr/lucy |
| REF-36 | Budget ANSSI | PLF 2025 - Documents budgétaires | Officielle | Oct. 2024 | budget.gouv.fr |
| REF-37 | Budgets internationaux | ENISA - NIS Investment Report | Institutionnelle EU | Sept. 2025 | enisa.europa.eu |
| REF-38 | Global Cybersecurity Index | ITU - GCI 2025 | Institutionnelle ONU | Juin 2025 | itu.int/gci |
| REF-39 | Pénurie talents | OPIIEC + APEC études | Étude paritaire | 2025 | opiiec.fr |
| REF-40 | Baromètre CESIN | CESIN - 10e édition | Étude associative | Janv. 2025 | cesin.fr/barometre |
Incidents sans source primaire officielle
Pour transparence, ces incidents n'ont pas de confirmation officielle de l'organisation victime :
| Incident | Sources utilisées | Limite | Impact sur l'analyse |
|---|---|---|---|
| Ministère Intérieur | Le Monde Informatique, TF1 INFO, Le Monde | Communication ministérielle floue, pas de confirmation du périmètre | Classé "PROBABLE", chiffres non utilisés |
| Leroy Merlin | Le Monde (sources concordantes) | Pas de communiqué officiel ni notification CNIL publiée | Classé "PROBABLE", fourchette large (350-500k) |
| Attribution APT28/Orange | Analyse TTPs par experts | Pas de confirmation ANSSI/DGSI publiée | Niveau confiance "MOYEN" mentionné |
Rapports et études de référence
Sources institutionnelles françaises (prioritaires)
Sources institutionnelles européennes et internationales
Études sectorielles (benchmarks)
Études françaises (associations professionnelles)
Études françaises
ANNEXE B : Data Book - Chiffres clés sourcés
Volumétrie des incidents
| Indicateur | Valeur | Source | Date | Qualif. |
|---|---|---|---|---|
| Incidents majeurs France 2025 | 21 | Compilation SensPo | Déc. 2025 | Confirmé |
| Personnes potentiellement affectées | 10,2 M | Compilation communiqués | Déc. 2025 | Confirmé |
| Notifications CNIL (estimé) | 5 847 | CNIL rapport | 2025 | Estimé |
| Interventions CERT-FR | 347 | ANSSI | 2025 | Confirmé |
| Attaques ransomware traitées ANSSI | 143 | ANSSI panorama | 2025 | Confirmé |
Données par incident majeur
| Incident | Personnes affectées | Source du chiffre | Date source | Qualif. |
|---|---|---|---|---|
| Bouygues Telecom | 6 400 000 | Le Monde + notification | 06/08/2025 | Confirmé |
| France Travail (déc.) | 1 600 000 | Communiqué France Travail | 01/12/2025 | Confirmé |
| Urssaf/Pajemploi | 1 200 000 | L'Usine Digitale | 17/11/2025 | Confirmé |
| France Travail (juil.) | 340 000 | Le Monde | 23/07/2025 | Confirmé |
| MédecinDirect | 285 000 | L'Usine Digitale | 08/12/2025 | Confirmé |
| Chronopost | 210 000 | L'Usine Digitale | 13/02/2025 | Confirmé |
| Easy Cash | 92 000 | RTL.fr | 23/04/2025 | Confirmé |
| CNFPT | 34 000 | Banque des Territoires | 04/07/2025 | Confirmé |
| Leroy Merlin | 350 000-500 000 | Le Monde (estimation) | 04/12/2025 | Probable |
Données économiques
| Indicateur | Valeur | Fourchette | Source | Qualif. |
|---|---|---|---|---|
| Coût total France 2025 | 2,8 Mds€ | 2,1-4,5 Mds€ | Modélisation SensPo | Estimé |
| Sanctions CNIL 2025 | 38,5 M€ | - | CNIL registre | Confirmé |
| Marché cyber France | 8,7 Mds€ | - | ACN | Confirmé |
| Budget ANSSI 2025 | 285 M€ | - | PLF 2025 | Confirmé |
| Effectifs ANSSI | 685 ETP | - | PLF 2025 | Confirmé |
| Primes cyber-assurance FR | 450 M€ | - | AMRAE LUCY | Confirmé |
| Déficit talents cyber | 15 000 postes | 12 000-18 000 | APEC + Pôle Emploi | Estimé |
Coûts unitaires par type d'incident
| Type incident | Coût moyen | Fourchette | Source | Qualif. |
|---|---|---|---|---|
| Ransomware GE | 3,8 M€ | 2,8-8,5 M€ | Wavestone + cas publics | Estimé |
| Ransomware ETI | 720 k€ | 350 k€-1,2 M€ | Wavestone benchmark | Estimé |
| Ransomware PME | 85 k€ | 55-180 k€ | ANSSI retex | Estimé |
| Fuite massive (>1M) | 3,2 M€ | 1,5-6,2 M€ | Cas Bouygues, FT | Estimé |
| Fuite données ETI | 280 k€ | 120-450 k€ | Consultants | Estimé |
| DDoS prolongé (>7j) | 180 k€ | 80-350 k€ | Cas Indigo Pub. | Estimé |
| DDoS ponctuel | 25 k€ | 12-45 k€ | Benchmark MSSP | Estimé |
Délais observés
| Indicateur | Valeur | Source | Qualif. |
|---|---|---|---|
| Délai moyen détection-divulgation | 13,5 jours | Compilation incidents | Confirmé |
| Délai médian | 4 jours | Compilation incidents | Confirmé |
| Dwell time moyen France | 58 jours | Wavestone/Mandiant | Estimé |
| Dwell time secteur santé | 112 jours | CERT Santé | Estimé |
| Remédiation ransomware (moyenne) | 47 jours | ANSSI retex | Confirmé |
Données secteur public
| Indicateur | Valeur | Source | Date | Qualif. |
|---|---|---|---|---|
| Budget cyber État total | 895 M€ | PLF 2025 | Oct. 2024 | Confirmé |
| Collectivités avec RSSI dédié | 8% | Étude AMF/ANSSI | 2025 | Estimé |
| Hôpitaux niveau maturité >3 | 12% | CERT Santé | 2025 | Estimé |
| Communes victimes (estimé) | 245 | Signalements ANSSI | 2025 | Estimé |
Données marché et talents
| Indicateur | Valeur | Source | Date | Qualif. |
|---|---|---|---|---|
| Diplômés cyber/an | 5 200 | OPIIEC | 2025 | Confirmé |
| Objectif 2027 | 10 000 | France 2030 | 2025 | Officiel |
| Femmes dans le secteur | 11% | ANSSI/Campus Cyber | 2025 | Confirmé |
| Turnover moyen | 18% | CESIN | 2025 | Confirmé |
| Salaire médian confirmé (5 ans) IDF | 52 k€ | APEC | 2025 | Confirmé |
Données internationales comparatives
| Indicateur | France | Allemagne | UK | Source |
|---|---|---|---|---|
| Incidents majeurs 2025 | 21 | 34 | 29 | Compilation médias |
| Budget agence nationale | 285 M€ | 242 M€ | 330 M€ | Budgets officiels |
| Ratio budget/PIB | 0,010% | 0,006% | 0,012% | Calcul SensPo |
| Score GCI (ITU) | 97,85 | 96,89 | 99,54 | ITU GCI 2025 |
| Taux adoption Zero Trust | 78% GE | 72% GE | 85% GE | Gartner |
Opération Eastwood - Bilan chiffré
| Indicateur | Valeur | Source | Qualif. |
|---|---|---|---|
| Pays participants | 14 | Europol communiqué | Confirmé |
| Arrestations | 7 | Europol communiqué | Confirmé |
| Perquisitions | 29 | Europol communiqué | Confirmé |
| Serveurs saisis | 42 | Europol communiqué | Confirmé |
| Crypto saisies | 1,2 M€ | Europol communiqué | Confirmé |
| Attaques NoName057 (total) | 6 500+ | Europol/analystes | Estimé |
| Cibles France | ~200 | Europol communiqué | Confirmé |
ANNEXE C : Notes méthodologiques
Qualification des chiffres
Confirmé : Donnée issue d'une source officielle (communiqué entreprise, rapport institutionnel, registre public) ou de multiples sources concordantes.
Probable : Donnée issue de sources médiatiques crédibles mais non confirmée officiellement, ou extrapolation raisonnable à partir de données partielles.
Estimé : Donnée résultant d'une modélisation, d'une extrapolation ou d'un benchmark, avec hypothèses explicites. Incertitude significative.
Modélisation du coût économique
Approche : Bottom-up à partir des incidents documentés, extrapolation pour les incidents non déclarés.
Facteur de sous-déclaration : Estimé entre x1,5 (hypothèse basse) et x2,5 (hypothèse haute) sur la base de :
Coûts indirects : Modélisés via :
Limites de l'analyse
Mises à jour
Ce document sera actualisé trimestriellement. Les corrections et précisions seront intégrées avec mention de la date de modification.
Historique des versions :