Les années 2025 et 2026 marquent un tournant décisif dans le paysage de la cybersécurité en France, caractérisé par l'érosion des frontières entre acteurs étatiques et cybercriminels, l'automatisation des attaques via l'intelligence artificielle (IA) et une recrudescence des tensions géopolitiques.
Voici une analyse détaillée de l'état de la menace, de ses impacts financiers et des stratégies de défense déployées à l'échelle nationale.
En 2025, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a traité 3 586 événements de sécurité, un chiffre en baisse de 18 % par rapport à 2024. Cette diminution est attribuable principalement à la fin de la période exceptionnelle des Jeux Olympiques. Toutefois, le nombre d'incidents confirmés reste stable et élevé, avec 1 366 incidents portés à la connaissance de l'Agence.
Le secteur public et le monde académique sont en première ligne. Les secteurs les plus touchés en France sont :
L'éducation et la recherche (34 % des incidents), victimes d'attaques souvent opportunistes impactant lourdement la continuité pédagogique.
Les ministères et collectivités territoriales (24 %).
La santé (10 %) et les télécommunications (9 %).
Sur le plan financier, le coût moyen d'une violation de données en France s'établit à 3,59 millions d'euros en 2025, soit une baisse de 7 % par rapport à l'année précédente. Ce coût reste cependant asymétrique : l'industrie pharmaceutique enregistre les coûts les plus lourds (5,11 millions d'euros par incident), suivie par les services financiers (4,65 millions) et le secteur de l'énergie (4,45 millions).
Si les motivations des attaquants restent l'extorsion, l'espionnage et la déstabilisation, leurs méthodes évoluent.
L'ANSSI a recensé 196 incidents d'exfiltration de données en 2025 (contre 130 en 2024), une tendance où les attaquants font du chantage à la publication sans nécessairement chiffrer les systèmes.
Avec 128 compromissions signalées, leur volume est en légère baisse, mais ils continuent de cibler indistinctement PME, hôpitaux et écoles. Les souches les plus actives sont Qilin (21 %), Akira (9 %) et Lockbit 3.0 (5 %). Fait encourageant : la résilience s'améliore, 63 % des victimes refusant désormais de payer la rançon.
Elles représentent un vecteur majeur et redoutable (13 % à 15 % des cas selon les études). En ciblant un prestataire ou un éditeur de logiciel, les attaquants compromettent de multiples clients finaux par rebond. Ce sont d'ailleurs les attaques les plus longues à identifier et contenir, nécessitant en moyenne 267 jours.
Les attaquants ciblent massivement les équipements exposés sur Internet (pare-feux, serveurs mandataires, routeurs). Le VPN traditionnel est de plus en plus considéré comme une vulnérabilité et un "aimant à risques" par les experts, facilitant l'intrusion via des identifiants compromis.
L'IA rebat les cartes et s'impose comme la norme pour les attaquants comme pour les défenseurs.
Environ 16 % des violations de données mondiales impliquent des attaquants utilisant l'IA, principalement pour générer des campagnes de phishing ultra-réalistes (37 % des cas) ou des attaques par deepfake (35 %).
L'IA est un bouclier indispensable. En France, 65 % des entreprises déploient l'IA et automatisent la sécurité. Cette intégration permet d'identifier et de contenir une violation 88 jours plus rapidement et d'économiser en moyenne 1,39 million d'euros sur le coût de l'incident. Actuellement, il faut en moyenne 213 jours pour identifier une faille et 71 jours pour la contenir en France (soit 284 jours au total).
L'utilisation non supervisée d'outils d'IA générative par les collaborateurs est un risque majeur. Ce "Shadow AI" augmente le coût total d'une violation de plus de 321 900 euros en France. Pire encore, 53 % des organisations françaises ne disposent d'aucune politique de gouvernance pour encadrer l'usage de l'IA.
Face à ces menaces devenues systémiques, le Gouvernement a dévoilé le 29 janvier 2026 sa Stratégie nationale de cybersécurité 2026-2030. Ce plan érige la cybersécurité au rang de priorité stratégique pour protéger la démocratie et l'économie.
Elle s'articule autour de cinq piliers ambitieux :
Pour faire face à des menaces de plus en plus automatisées, nous vous recommandons la mise en place de 5 piliers fondamentaux permettant la réduction de la surface d'exposition :
Appliquer la sobriété numérique (Zero Trust Data) : ne transférez que le strict nécessaire. Minimiser les flux de données réduit mécaniquement les opportunités d'interception et limite l'impact en cas de compromission d'un canal de communication.
Sanctuariser les points d'entrée (téléchargements et shadow IT) : redoublez de vigilance lors de l'acquisition de nouveaux fichiers ou logiciels. Priorisez les sources officielles et vérifiées pour éviter les "infostealers" (voleurs de mots de passe) de plus en plus présents dans les installateurs tiers.
Passer à l'authentification forte : si la complexité reste de mise, le mot de passe seul ne suffit plus en 2026. L'adoption de la double authentification (2FA/MFA) et des Passkeys (biométrie) devient le standard pour neutraliser le vol d'identifiants.
Automatiser la remédiation (patch management) : les attaquants exploitent les failles connues en quelques heures seulement. Activez les mises à jour automatiques pour garantir que vos systèmes disposent des derniers correctifs de sécurité critiques.
Adopter une veille active (cyber-surveillance) : ne subissez pas la fuite de données. Utilisez des services de monitoring pour être alerté en temps réel si vos informations personnelles ou professionnelles apparaissent sur le Dark Web, permettant une réaction immédiate avant l'exploitation de la faille.
Garantir la continuité d'activité : concevez un plan d’action post-fuite de données adossé à un PRA robuste. Savoir réagir immédiatement permet de limiter la propagation de l'attaque et d'assurer le maintien de vos services critiques.
Pour une protection plus complète, nous avons compilé 18 bonnes pratiques en matière de cybersécurité que vos collaborateurs peuvent facilement mettre en œuvre au quotidien.
Dans ce contexte, les entreprises sont appelées à abandonner les méthodes d'accès obsolètes, à gouverner strictement leurs usages de l'IA et à adopter une approche de sécurité préventive (DevSecOps, gestion robuste des identités) pour faire face aux menaces de demain.
Et vous, quelles mesures avez-vous mises en place pour protéger votre entreprise du risque cyber ? N'hésitez pas à partager vos expériences ou à nous contacter pour un audit de votre dispositif de sécurité.