Les cyberattaques observées en 2025 confirment une évolution stratégique majeure. Espionnage étatique, extorsion financière et sabotage d’infrastructures s’entremêlent désormais dans un écosystème offensif plus opaque et plus difficile à attribuer.
Le panorama 2025 de la cybermenace publié par l’ANSSI décrit une transformation profonde du paysage offensif numérique. Les attaques informatiques combinent désormais criminalité organisée, opérations d’espionnage étatique et actions de déstabilisation. En 2025, 1366 incidents confirmés ont été portés à la connaissance du Saint-Bernard Français de la cybersécurité, un niveau stable malgré une baisse globale des signalements. Les secteurs les plus touchés restent l’éducation et la recherche, les administrations publiques, la santé et les télécommunications.
Une cybercriminalité structurée autour de l’extorsion
L’extorsion de fonds demeure la motivation dominante pour de nombreux attaquants. En 2025, 128 compromissions liées à des rançongiciels ont été signalées à l’ANSSI. Ce volume diminue légèrement par rapport à 2024, tout en restant une composante centrale de la cybercriminalité.
Selon les chiffres de ZATAZ en ce 16 mars 2026 : une forte baisse apparente des attaques recensées en 2026 par rapport au total observé en 2025. Les États-Unis restent de très loin la cible principale. avec 9 901 attaques recensées au total. En 2026, 899 attaques sont déjà observées contre 3 894 sur l’année 2025. Le pays concentre largement l’activité hostile. En seconde position, le Service de veille a remarqué que le Canada se retrouvaient avec 999 attaques au total. 87 attaques recensées en 2026 contre 393 en 2025. Viennent ensuite le Royaume-Uni (81 attaques en 2026 contre 287 en 2025) ; l’Allemagne : (56 attaques en 2026 contre 298 en 2025). L’Italie avec 54 attaques en 2026 contre 169 en 2025. La France affiche 547 attaques documentées. 43 attaques recensées en 2026 contre 176 en 2025. Si je regarde la courbe de cette tendance haussiére (1 attaque toutes les 48 heures), 2026 va finir avec + 19% de malveillances supplémentaires. Et nous sommes déjà à 24,4% de la part atteinte en 2025. Le rythme 2026 est environ 19 % plus élevé que celui de 2025 à la même vitesse annuelle.
Mais gardons confiance. Les États-Unis dominent largement le classement des pays ciblés. Les pays européens et le Canada se situent dans un second groupe, avec des volumes nettement plus faibles. Les chiffres 2026 restent pour l’instant inférieurs à ceux observés sur l’ensemble de l’année 2025.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Les cibles sont variées
Comme l’indique l’ANSSI, les petites et moyennes entreprises représentent toujours la catégorie la plus exposée. Les collectivités territoriales, les établissements de santé et les institutions éducatives apparaissent également parmi les victimes récurrentes. Les conséquences opérationnelles peuvent être lourdes. Certains hôpitaux ont subi des perturbations dans la prise en charge des patients. Dans le secteur éducatif, plusieurs établissements ont dû fonctionner en mode dégradé durant plusieurs semaines.
Le modèle économique du ransomware évolue. Les groupes criminels privilégient souvent une stratégie de double ou triple extorsion. Les données sont exfiltrées puis chiffrées, tandis que les victimes subissent une pression supplémentaire via des menaces de publication ou des attaques par déni de service.
Une mutation importante concerne la montée des attaques sans chiffrement. Les acteurs malveillants se contentent parfois d’exfiltrer les informations avant de réclamer une rançon. En 2025, l’ANSSI a recensé 196 incidents liés à des fuites de données, contre 130 l’année précédente.
Cette évolution s’appuie sur un écosystème cybercriminel fragmenté. Les courtiers en accès initiaux revendent les accès compromis à d’autres groupes spécialisés. Les infostealers jouent un rôle central dans cette chaîne d’infection en collectant identifiants, cookies et informations financières sur les postes infectés.
Parallèlement, certaines opérations criminelles reposent désormais sur l’exploitation directe de vulnérabilités dans des logiciels d’entreprise. Des groupes comme Cl0p ciblent par exemple les solutions de transfert de fichiers ou les plateformes de gestion d’entreprise pour siphonner les bases de données d’organisations entières.
Plus surprenant encore, certaines opérations d’extorsion impliquent des acteurs liés à des États. Des modes opératoires associés à la Corée du Nord ou à la Chine ont été observés utilisant des rançongiciels ou des campagnes hybrides mêlant espionnage et gain financier. Cette hybridation complique l’analyse stratégique de la menace.
Espionnage stratégique et sabotage numérique
Au-delà du cybercrime, l’espionnage informatique demeure une priorité pour plusieurs puissances étatiques. Les services de renseignement russes et chinois apparaissent régulièrement dans les investigations techniques menées par les agences de cybersécurité.
Les cibles correspondent aux intérêts stratégiques classiques du renseignement. Les administrations publiques, les organisations internationales, les médias, les ONG et les entreprises de défense figurent parmi les victimes les plus fréquentes. Des campagnes d’hameçonnage ont par exemple visé des membres de l’organisation Reporters Sans Frontières afin de collecter des informations sensibles.
Les infrastructures critiques constituent également un objectif prioritaire. Les secteurs des télécommunications, de l’énergie ou du transport offrent un accès privilégié à des informations techniques ou à des capacités de prépositionnement. Dans certains cas, les attaquants collectent des plans d’architecture réseau ou des identifiants administrateurs pouvant servir lors d’opérations ultérieures.
Les réseaux diplomatiques représentent une cible particulièrement recherchée. Les compromissions permettent d’accéder à des communications confidentielles, à des documents stratégiques ou à des échanges entre États. Dans certains incidents, les attaquants ont exploité des vulnérabilités d’équipements de sécurité afin d’obtenir des privilèges élevés dans les systèmes compromis.
La guerre en Ukraine illustre également la dimension destructive des cyberopérations. Des attaques informatiques attribuées à des acteurs russes continuent de viser les infrastructures critiques ukrainiennes. Les logiciels destructeurs, appelés wipers, servent à perturber durablement les systèmes informatiques.
Ce type d’opérations ne se limite pas au théâtre ukrainien. Fin 2025, une série d’attaques coordonnées a ciblé les infrastructures énergétiques polonaises avec l’objectif de provoquer des coupures d’électricité et de chauffage. L’incident souligne la possibilité d’opérations hybrides combinant pression militaire, sabotage numérique et déstabilisation politique.
À un niveau plus diffus, les groupes hacktivistes participent également à ces stratégies de perturbation. Les attaques par déni de service restent l’outil privilégié. Peu sophistiquées techniquement, elles visent surtout à provoquer un impact médiatique et à nuire à la réputation des institutions visées.
Certains groupes vont plus loin en ciblant des installations industrielles faiblement protégées. Des automates de gestion d’infrastructures hydrauliques ou énergétiques exposés sur Internet ont ainsi été manipulés à distance. Les effets physiques observés restent limités, tout en démontrant la vulnérabilité de certains systèmes industriels.
Cette convergence entre cybercriminalité, espionnage et sabotage traduit une mutation profonde du cyberespace stratégique. Les frontières entre acteurs étatiques et groupes criminels deviennent de plus en plus floues.
Dans cet environnement, l’analyse du renseignement cyber devient un outil essentiel pour anticiper les menaces et renforcer la résilience des infrastructures critiques.
La cybersécurité apparaît désormais comme un champ à part entière de la confrontation stratégique entre États.
