L'Agence nationale de la sécurité des systèmes d'information a publié son «Panorama de la cybermenace 2025», qui pointe un niveau de menace élevé et des attaquants plus difficiles à contrer.
En matière de cybermenace, la France est sous pression constante. Dans son bilan 2025, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) recense 1.366 incidents sur l'année, un volume similaire à 2024 (1.361).
Vincent Strubel, directeur général de l'agence, note toutefois que l'année 2024 avait été marquée par l'organisation et la tenue des Jeux olympiques et paralympiques de Paris, propice à ce genre de menace, alors que 2025 n'a connu aucun événement majeur.
«On ne peut pas parler de raz-de-marée d'attaques durant l'année écoulée mais on est face à une marée haute qui se maintient, développe-t-il. Le niveau de menace est très significatif par rapport à 2022 par exemple, qui avait enregistré 831 incidents.»
[1/4] #PanoramaCybermenace | 🌍 En 2025, la menace cyber s'est stabilisée à un niveau particulièrement élevé, posant une pression constante sur l’Etat et le tissu économique et social français, dans un contexte d’aggravation des tensions géopolitiques mondiales. pic.twitter.com/5nqgTdK6A2
— ANSSI (@ANSSI_FR) March 11, 2026
Surtout, l'année 2025 «s'est terminée sur un événement qui devrait collectivement nous alarmer» selon Vincent Strubel : «une série d’attaques informatiques coordonnées à visée destructive contre les infrastructures électriques polonaises [...] Une première pour un État membre de l’Union européenne.»
Des attaques hybrides sur des sites sensibles
L'objectif était de provoquer des coupures d’électricité et de chauffage «pour un nombre conséquent de citoyens», ce qui illustre le scénario auquel la France se prépare : «une augmentation massive, d'ici à 2030, des attaques dites "hybrides", dont les cyberattaques constituent un pan majeur, avec des effets concrets voire destructeurs sur nos infrastructures critiques.»
Sur le territoire français, quatre secteurs d'activité ont concentré 76% des incidents en 2025 : l'Education et la recherche (34%), les ministères et les collectivités territoriales (24%), la santé (10%) et les télécommunications (9%).
Globalement, l'ANSSI a observé un léger recul des rançongiciels, ces logiciels malveillants qui prennent en otage des données personnelles. Cela reste une menace sérieuse, qui affecte tout particulièrement les entreprises de petite taille : PME, TPE et ETI.
Le vol de données en lui-même reste «systématique» puisque certains acteurs cybercriminels parviennent à les exfiltrer sans déployer de rançongiciels, non seulement coûteux mais pouvant être parés. Les données volées sont souvent revendues ou bien utilisées pour extorquer les victimes. 196 incidents de ce genre ont été traités par l'ANSSI en 2025, contre 130 en 2024.
Selon Vincent Strubel, les attaquants agissent souvent par opportunisme, en exploitant notamment des vulnérabilités dans les systèmes d'information. Ils les trouvent souvent dans ce que l'on appel les «équipements de bordure», comme les pare-feu ou les passerelles anti-spam.
L'ANSSI attire également l'attention sur les téléphones mobiles qui restent une «cible de choix» pour les cybercriminels. Ils concentrent une quantité importante d'informations diverses et présentent des vulnérabilité au niveau des interfaces sans fil et du système d'exploitation.
Certaines applications sont également exploitées, à l'image des messageries privées qui sont «un vecteur privilégié pour compromettre un téléphone mobile», selon Vincent Strubel.
Un «brouillard technologique»
En 2025, l'ANSSI a par ailleurs observé l'érosion des frontières existant traditionnellement entre acteurs étatiques et cybercriminels. Ce «brouillard technologique et organisationnel» est dû au fait que ces différents acteurs adoptent désormais des pratiques croisées et font montre d'un partage de capacités plus prononcé.
Par exemple, le détournement d'outils et de services légitimes, comme le cloud, à des fins malveillantes était jusqu'ici plutôt réservé aux acteurs liés à des Etats. Mais, désormais, cette technique est en recrudescence chez les cybercriminels. Une tendance qui brouille les pistes et rend les responsables plus difficiles à détecter.
Dans un contexte d'aggravation des tensions géopolitiques mondiales, l'ANSSI garde un oeil sur les compromissions à des fins d'espionnage ou de surveillance. Elles sont le plus souvent «réputées liées aux services de renseignement russes ou chinois» et ciblent surtout les réseaux diplomatiques, dans le but de collecter des renseignements stratégiques.
Pas de regain de cybermenaces liées à l'Iran
Alors que la situation est particulièrement tendue en Iran, Vincent Strubel a indiqué ne pas avoir observé de «regain» de cybermenaces liées à des intérêts iraniens. «Cela reste une possibilité mais on ne s'y attend pas vraiment, a-t-il affirmé. Les acteurs iraniens sont occupés ailleurs actuellement et une cyberattaque pointue se construit dans la durée».
Quelle que soit la provenance et l'ampleur de la menace, le directeur général de l'ANSSI appelle avant tout à la prévention. «Quand on intervient en tant que cyberpompier, on a déjà perdu quelque part puisque l'attaque a déjà eu lieu, déplore-t-il. La cybersécurité est une grande école d'humilité : tout le monde finit par être victime d'une attaque.»
