Cybercriminalité : les attaques explosent en France, l’État passe à l’offensive

Avec 453.200 atteintes numériques recensées en 2025, la France franchit un nouveau cap. Le rapport annuel 2026 du ministère de l’Intérieur sur la cybercriminalité, dresse le constat d’une menace désormais structurelle. En cinq ans, ces infractions ont progressé de 87 %, confirmant une tendance lourde : la généralisation des attaques, leur diversification et leur professionnalisation. Dans le même temps, l’exécutif annonce un renforcement significatif de ses moyens, sous l’impulsion de Sébastien Lecornu.

Une progression continue des atteintes numériques

Le chiffre est sans appel : +27 % en un an. Après une année 2024 marquée par une vigilance accrue liée notamment aux Jeux olympiques de Paris, 2025 confirme l’incapacité à enrayer la dynamique des cybermenaces. Le volume total d’atteintes numériques atteint désormais 453.200 faits, un niveau inédit.

Dans le détail, les signalements se répartissent entre plusieurs grandes catégories. Les escroqueries en ligne représentent 116.695 cas, tandis que 206.902 infractions concernent l’usage frauduleux de cartes bancaires. En parallèle, la plateforme Pharos a traité 231.853 signalements de contenus illicites.

Ces chiffres traduisent que la cybercriminalité ne se limite plus à des attaques spectaculaires visant de grandes entreprises. Elle touche désormais l’ensemble du tissu économique et social, des particuliers aux administrations, en passant par les PME.

Cybersécurité : « Les petites entreprises sont vulnérables en raison de la faiblesse de leurs mesures de protection »

Le recul des rançongiciels, une illusion de répit

Longtemps au cœur de l’actualité cyber, les rançongiciels enregistrent une baisse de 19 % en 2025.

Une évolution qui pourrait laisser penser à une amélioration de la situation. Il n’en est rien.

Le rapport souligne en réalité que les attaquants s’adaptent au fur et à mesure que la protection de développe. Plutôt que de chiffrer systématiquement les données pour exiger une rançon, les cybercriminels privilégient désormais l’exfiltration et la menace de divulgation.

Cette mutation rend les attaques plus difficiles à détecter et à qualifier.

Autre indicateur préoccupant : le nombre d’attaques revendiquées continue d’augmenter. L’agence cyber de l’État en a recensé 1.347 en 2025, contre 1.062 l’année précédente. Une hausse qui témoigne d’une volonté accrue de visibilité de la part des groupes malveillants.

L’explosion des attaques DDoS et la dimension géopolitique

Parmi les techniques en forte progression, les attaques par déni de service (DDoS) s’imposent comme l’un des principaux vecteurs de déstabilisation. Leur objectif est de saturer un serveur pour rendre un service indisponible.

• Ces opérations sont souvent menées par des groupes affiliés à des États ou évoluant dans leur sphère d’influence.
• Le rapport établit un lien direct avec les tensions internationales, notamment la guerre en Ukraine et les conflits au Moyen-Orient. 78 % des attaques DDoS observées font ainsi référence à l’invasion russe.

La cybercriminalité s’inscrit désormais pleinement dans une logique hybride, à la croisée de la criminalité organisée et des stratégies étatiques.

Pour les entreprises, cela signifie une exposition accrue à des attaques dont les motivations dépassent largement le seul gain financier.

Une cybercriminalité plus accessible et plus diffuse

Autre enseignement : la démocratisation des outils et des marchés illicites. La vente de données volées n’est plus confinée au dark web. Elle s’effectue désormais sur des forums accessibles, voire via des canaux grand public comme Telegram.

Cette évolution attire une nouvelle typologie d’acteurs. Aux côtés des groupes structurés émergent des profils opportunistes, parfois très jeunes. L’affaire du piratage de l’ANTS, impliquant un adolescent de 15 ans, illustre cette tendance.

Ces nouveaux entrants sont souvent motivés par des gains rapides et disposent d’outils prêts à l’emploi. Certains vont jusqu’à fabriquer de fausses bases de données pour alimenter des escroqueries, brouillant encore davantage les frontières entre réalité et manipulation.

Des attaques en cascade qui fragilisent les écosystèmes

Le rapport met également en lumière la montée en puissance des attaques dites « par rebond ». Le principe consiste à cibler un prestataire ou une plateforme pour atteindre indirectement ses clients.

Le collectif ShinyHunters s’est illustré dans ce domaine. En exploitant une faille chez Salesforce, il a pu accéder à des données concernant plusieurs grandes entreprises françaises, dont Air France, LVMH ou Chanel.

Ces intrusions ont donné lieu à des campagnes d’extorsion à grande échelle.

Ce type d’attaque souligne la dépendance croissante des entreprises à des écosystèmes numériques complexes. La sécurité ne peut plus être pensée uniquement à l’échelle d’une organisation, mais doit intégrer l’ensemble de la chaîne de valeur.

L’ANSSI partage son guichet de diodes Eurydice en open source

Vers une autorité numérique de l’État

Face à cette montée en puissance des menaces, le gouvernement annonce un renforcement significatif de son arsenal. Après plusieurs incidents majeurs, dont le piratage de l’ANTS, Sébastien Lecornu a dévoilé un plan ambitieux.

Une enveloppe supplémentaire de 200 millions d’euros est prévue pour renforcer les capacités de lutte contre les cyberattaques. Parmi les pistes évoquées figure la création d’une « autorité numérique de l’État », chargée de mieux coordonner la prévention et la gestion des crises.

Objectif : passer d’une logique réactive à une approche anticipative. « Des scénarios de crise, y compris de black-out numérique, seront anticipés pour faire face aux situations les plus graves », a indiqué le Premier ministre. Cette perspective marque une prise de conscience : la cyberattaque systémique n’est plus une hypothèse théorique.

L’intelligence artificielle au cœur de la riposte

Le plan gouvernemental prévoit également le développement d’outils d’intelligence artificielle capables de détecter les failles et vulnérabilités en amont. Ces technologies doivent permettre d’identifier plus rapidement les signaux faibles et d’automatiser certaines réponses.

Cette orientation s’inscrit dans une tendance internationale. Face à des attaquants de plus en plus sophistiqués, l’automatisation devient un levier indispensable pour maintenir un niveau de défense acceptable.

Mais elle soulève aussi des questions : dépendance technologique, risques de faux positifs, ou encore capacité des organisations à intégrer ces outils dans leurs pratiques.

Entre prise de conscience et retard structurel

Le rapport 2026 met en évidence une problématique. Jamais la menace n’a été aussi documentée, et jamais les dispositifs de réponse n’ont été aussi développés.

Pourtant, les attaques continuent de progresser.

Pour les entreprises, notamment les TPE et PME, le défi est double. Il s’agit à la fois de se protéger contre des risques de plus en plus complexes et de s’inscrire dans une dynamique collective de cybersécurité.

La multiplication des attaques opportunistes, la porosité des systèmes et la dépendance aux prestataires rendent toute faille potentiellement critique.

Dans ce contexte, la cybersécurité tend à devenir un enjeu de continuité d’activité, au même titre que les risques financiers ou juridiques.

À mesure que les attaques se banalisent, une certitude s’impose : la question n’est plus de savoir si une organisation sera ciblée, mais quand (et avec quelles conséquences).