Un hôpital paralysé en pleine nuit, une mairie rançonnée pour 500 000 euros, des millions de données personnelles revendues sur le dark web — la menace cyber n’est plus une hypothèse de science-fiction. Elle frappe chaque semaine, en France comme partout en Europe, et les cibles ne sont plus uniquement les grandes multinationales.
Les derniers mois ont accéléré plusieurs tendances de fond : l’automatisation des attaques grâce à l’intelligence artificielle, la montée en puissance des groupes liés à des États, et une explosion des incidents visant les collectivités locales. Voici ce que les chiffres et les faits récents disent vraiment de l’état de la cybersécurité.
Le paysage des cybermenaces en France
Des chiffres qui donnent le vertige
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) recensait déjà plus de 3 000 incidents significatifs traités en une seule année sur le territoire français. Ce chiffre sous-estime la réalité : la majorité des attaques ne sont pas déclarées, par crainte d’atteinte à la réputation ou par simple méconnaissance des obligations légales.
Les secteurs les plus touchés restent la santé, les collectivités territoriales et les PME industrielles. Un ransomware sur deux en Europe frappe désormais une organisation de moins de 250 salariés — la PME est devenue la cible privilégiée, justement parce qu’elle investit peu en protection.
⚠️ À garder en tête
En France, une cyberattaque majeure visant un hôpital survient en moyenne toutes les six semaines. Les conséquences ne sont pas que financières : des opérations reportées, des résultats d’examens inaccessibles, des vies mises en danger.
Les collectivités locales, nouvelle cible prioritaire
Mairies, conseils départementaux, intercommunalités : les structures publiques locales sont dans le viseur. Elles cumulent plusieurs vulnérabilités — systèmes informatiques vieillissants, budgets IT réduits, personnel non formé. L’attaque contre la ville de Caen en 2023, ou celle qui a touché plusieurs services de l’Isère, illustrent cette tendance qui se confirme trimestre après trimestre.
Ces incidents ne font pas toujours la une des journaux nationaux, mais leurs effets sont concrets : état civil inaccessible, virements bloqués, données des administrés potentiellement exposées.
⚠️ Les grandes menaces du moment
Le ransomware, toujours roi
Le modèle économique du ransomware est désormais industrialisé. Des groupes comme LockBit ou BlackCat (ALPHV) fonctionnent comme des entreprises, avec service client, interface de négociation et programme d’affiliation. En 2024, LockBit a revendiqué des attaques dans plus de 40 pays simultanément avant d’être partiellement démantelé par une opération internationale coordonnée.
La double extorsion s’est généralisée : on chiffre les données ET on menace de les publier. Certains groupes ajoutent une troisième pression — les appels téléphoniques directs aux dirigeants ou aux clients de la victime.
1,1 M€
montant médian d’une rançon payée par une grande entreprise européenne en 2023 (Coveware)
L’IA au service des attaquants
Les modèles de langage ont changé la donne. Créer un email de phishing parfaitement rédigé en français, sans faute d’orthographe ni tournure étrange — ce qui trahissait autrefois les arnaques — prend désormais quelques secondes. Des outils comme WormGPT ou FraudGPT, des dérivés malveillants de modèles open source, circulent sur des forums spécialisés pour moins de 100 dollars par mois.
Plus préoccupant encore : l’IA permet de personnaliser les attaques à grande échelle. Un seul opérateur peut gérer des milliers de campagnes de spear-phishing ciblées simultanément, en adaptant le contenu à chaque victime selon ses informations publiques (LinkedIn, site d’entreprise, presse locale).
L’espionnage lié à des États
Les groupes APT (Advanced Persistent Threat) affiliés à des États restent actifs, particulièrement en période de tensions géopolitiques. La France a été explicitement ciblée par des campagnes attribuées à des acteurs russes (APT28, Sandworm) et chinois (APT31). Ces attaques visent moins le gain financier que le renseignement économique, industriel ou politique.
« La France est l’un des pays européens les plus ciblés par les opérations cyber étatiques. Le secteur de la défense, l’énergie et les institutions gouvernementales sont particulièrement exposés. »
— Rapport annuel ANSSI, 2023
Nouvelles vulnérabilités et vecteurs d’attaque
La chaîne d’approvisionnement logicielle
L’attaque SolarWinds reste l’exemple canonique : compromettre un fournisseur de logiciels pour atteindre des milliers de clients en aval. Ce vecteur ne faiblit pas. En 2024, plusieurs bibliothèques open source populaires ont été intentionnellement corrompues par des acteurs malveillants, dans des attaques dites de supply chain. Le cas XZ Utils, qui a failli compromettre des millions de serveurs Linux, a montré que même les projets communautaires bien établis peuvent être infiltrés sur plusieurs années.
Les objets connectés, un angle mort persistant
Caméras IP, routeurs domestiques, systèmes de contrôle industriel — ces appareils restent massivement non mis à jour et accessibles depuis Internet. Des botnets comme Mirai continuent d’enrôler des centaines de milliers de devices pour lancer des attaques DDoS massives. La surface d’attaque s’élargit à mesure que l’IoT se déploie dans les usines, les hôpitaux et les domiciles.
💡 Notre conseil
Pour les responsables informatiques de PME : commencez par auditer votre exposition externe avec un outil gratuit comme Shodan ou le scanner de l’ANSSI (MonServiceSécurisé). Ce que vous trouverez en dix minutes vous surprendra probablement.
🎯 Ce que les entreprises et particuliers peuvent faire concrètement
Les réflexes prioritaires côté entreprise
- Activer l’authentification multifacteur (MFA) sur tous les accès critiques — messagerie, VPN, cloud. C’est la mesure avec le meilleur ratio effort/efficacité.
- Tester les sauvegardes régulièrement. Avoir une sauvegarde ne suffit pas : encore faut-il qu’elle soit restaurable et non connectée en permanence au réseau principal.
- Former les équipes au phishing par des simulations trimestrielles. 80 % des compromissions commencent par un email.
- Mettre à jour sans délai les équipements exposés à Internet (pare-feux, VPN, serveurs web). Les correctifs publiés sont exploités en moyenne dans les 72 heures.
- Rédiger un plan de réponse aux incidents avant d’en avoir besoin, et le tester au moins une fois par an.
Côté particuliers : cinq points non négociables
- Utiliser un gestionnaire de mots de passe (Bitwarden, 1Password) et ne jamais réutiliser le même mot de passe sur deux services.
- Activer la MFA partout où c’est possible, en priorité sur la messagerie et les comptes bancaires.
- Mettre à jour systématiquement les appareils — smartphone, ordinateur, routeur. Les mises à jour contiennent des correctifs de sécurité, pas seulement de nouvelles fonctionnalités.
- Se méfier des QR codes en public : ils peuvent rediriger vers des sites de phishing conçus pour ressembler à des services légitimes.
- Vérifier si ses adresses email ont été compromises via haveibeenpwned.com — service gratuit et fiable.
✅ À retenir
La cybersécurité n’est pas une affaire de technologie seule — c’est avant tout une question d’organisation et de vigilance humaine. Les attaques les plus sophistiquées exploitent presque toujours une erreur simple : un mot de passe recyclé, un email cliqué trop vite, un accès non révoqué.
Les évolutions réglementaires à surveiller
NIS 2 : une directive qui change les règles du jeu
La directive européenne NIS 2, transposée en droit français depuis fin 2024, élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité. On passe de quelques centaines d’entités sous NIS 1 à plus de 15 000 organisations en France — collectivités, PME de secteurs sensibles, fournisseurs de services numériques.
Les sanctions potentielles atteignent 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les manquements. La responsabilité personnelle des dirigeants est explicitement engagée. Ce n’est plus un sujet réservé aux DSI.
DORA pour le secteur financier
Le règlement européen DORA (Digital Operational Resilience Act) s’applique depuis janvier 2025 à l’ensemble du secteur financier — banques, assurances, prestataires de services de paiement. Il impose des tests de résilience opérationnelle réguliers, des plans de continuité robustes et une supervision stricte des sous-traitants informatiques. Les établissements qui n’ont pas commencé leur mise en conformité ont du retard à rattraper.
Questions fréquentes
Quel est le type de cyberattaque le plus fréquent en France ?
Le phishing (hameçonnage) reste le vecteur d’attaque le plus courant : il représente environ 80 % des compromissions initiales selon l’ANSSI. Viennent ensuite les ransomwares, qui ciblent en priorité les hôpitaux, les collectivités locales et les PME industrielles. Les arnaques au président et les attaques sur la chaîne d’approvisionnement logicielle progressent aussi rapidement.
Comment savoir si mon entreprise est concernée par la directive NIS 2 ?
NIS 2 s’applique aux organisations opérant dans 18 secteurs jugés sensibles (santé, énergie, transports, eau, numérique, administration publique, alimentation…) dépassant certains seuils de taille. L’ANSSI met à disposition un outil d’auto-évaluation en ligne pour déterminer si votre structure entre dans le périmètre. En cas de doute, une consultation juridique spécialisée en droit du numérique est recommandée.
Que faire immédiatement après avoir détecté une cyberattaque ?
La priorité absolue est d’isoler les systèmes compromis du reste du réseau — sans les éteindre, pour préserver les traces forensiques. Il faut ensuite alerter son responsable sécurité ou un prestataire spécialisé, puis déposer plainte auprès du commissariat ou de la gendarmerie. Les entreprises soumises au RGPD ont 72 heures pour notifier la CNIL si des données personnelles sont impliquées. Le site cybermalveillance.gouv.fr propose une aide gratuite aux victimes.
Est-ce que payer une rançon résout vraiment le problème ?
Rarement de façon satisfaisante. Selon Coveware, seulement 61 % des entreprises qui paient récupèrent l’intégralité de leurs données. Payer finance les attaquants, ce qui encourage de nouvelles campagnes. Cela ne garantit pas non plus que les données volées ne seront pas revendues. L’ANSSI et Europol déconseillent formellement le paiement. La meilleure protection reste une stratégie de sauvegarde testée et hors ligne.
L’intelligence artificielle est-elle vraiment utilisée par les cybercriminels ?
Oui, et de façon croissante. Des outils comme WormGPT permettent de générer des emails de phishing sans fautes, dans n’importe quelle langue, en quelques secondes. L’IA sert aussi à automatiser la reconnaissance des cibles, à créer des deepfakes audio pour usurper la voix d’un dirigeant (fraude au président), et à adapter les malwares pour contourner les antivirus. La défense s’adapte aussi : les solutions de détection comportementale basées sur l’IA progressent rapidement côté défenseurs.