Le bilan cyber 2025 de l'ANSSI tient en trois chiffres et une tendance qui inquiète : 1 366 incidents confirmés, des vols de données en hausse de 51%, et des hackers d'État qui empruntent désormais les méthodes des criminels.
L'Agence nationale de la sécurité des systèmes d'information a traité 3 586 événements de sécurité en 2025, soit 18% de moins qu'en 2024. Ce recul s'explique en partie par un pic de signalements provoqué par les Jeux olympiques l'année précédente. Le nombre d'incidents confirmés reste, lui, stable : 1 366, contre 1 361 en 2024.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Rançongiciel en repli, exfiltrations en hausse marquée
128 compromissions par rançongiciel ont été portées à la connaissance de l'ANSSI en 2025, contre 141 en 2024. Mais cette baisse doit être prise avec des pincettes. Les incidents liés à des exfiltrations de données ont bondi de 130 à 196 cas. Certains groupes préfèrent désormais voler les données sans chiffrer les systèmes, pour les revendre à d'autres attaquants ou exercer un chantage direct sur leurs victimes.
Les PME, TPE et ETI restent les premières cibles du rançongiciel avec 37% des cas. La part des établissements de santé repart à la hausse à 8%, avec plusieurs centres hospitaliers contraints d'assurer un fonctionnement dégradé pendant des semaines. Les établissements scolaires du primaire et du secondaire ont été particulièrement touchés l'année dernière. En octobre 2025, le groupe Everest a compromis Collins Aerospace, perturbant plusieurs aéroports européens avec des retards et des annulations de vols sur plusieurs jours.
La franchise Qilin domine avec 21% des souches identifiées et plus de 700 victimes revendiquées, dont 185 en octobre 2025 seul. Akira représente 9% des incidents, LockBit 3.0 cinq pour cent. Plus d'une dizaine de nouvelles souches, dont Nova, Warlock et Sinobi, font leur apparition pour la première fois cette année.
Quand les États adoptent les codes des cybercriminels
La frontière entre acteurs étatiques et cybercriminels continue de s'éroder. Le mode opératoire Moonstone Sleet - réputé lié à la Corée du Nord - aurait utilisé le RaaS Qilin pour mener des attaques à des fins lucratives. Un RaaS, ou "Ransomware-as-a-Service", est un modèle où un opérateur loue son infrastructure de rançongiciel à des affiliés en échange d'un pourcentage des rançons. Côté chinois, la nouveauté vient du rançongiciel. Ces groupes, habituellement cantonnés à l'espionnage, ont aussi cherché à soutirer de l'argent à leurs victimes en 2025.
L'espionnage reste un axe parallèle actif. L'ANSSI a assisté une entité française liée à la diplomatie victime d'une compromission via l'exploitation de vulnérabilités d'équipements de bordure (ces équipements exposés sur Internet qui servent de passerelles). Des membres de Reporters Sans Frontières auraient été ciblés en mars par des courriels d'hameçonnage associés au MOA Callisto, attribué au FSB russe. Le MOA Salt Typhoon, lié à la Chine, a étendu ses activités à de nouveaux secteurs en France, sans que l'ANSSI ne soit en mesure de déterminer si ce ciblage est stratégique ou opportuniste.
Services légitimes détournés et technique "ClickFix"
Les attaquants utilisent des outils du quotidien pour passer inaperçus. Dans le camp cybercriminel, AnyDesk est l'outil d'accès à distance le plus souvent observé lors d'incidents. Il a notamment été déployé par le groupe Inc Ransom lors d'une attaque contre un centre hospitalier en octobre 2025. Les opérateurs russes d'APT28 ont eux recours à des services de stockage en ligne. En septembre 2025, l'éditeur Sekoia les a documentés utilisant Koofr, Icedrive et Filen.io pour héberger et récupérer des charges malveillantes.
La technique "ClickFix" progresse. Pour mémoire, celle-ci pousse la victime à copier-coller elle-même une commande dans son terminal Windowspour soi-disant résoudre un problème technique. Mais bien évidemment, cette manipulation déclenche à son insu l'installation d'un programme malveillant. Nous rapportions en février 2026 qu'une attaque de ce type exploitait une requête DNS pour déployer un malware sur des PC. Les infostealers Lumma Stealer et Rhadamanthys se diffusent largement par ce mécanisme. Des groupes étatiques comme Callisto et APT28 y ont également eu recours en 2025.
Enfin bien sûr, il y a l'IA générative qui passe à l'offensive. L'ANSSI a identifié des sites à l'apparence légitime, générés par IA, servant à héberger des charges malveillantes ou à collecter des données techniques sur les visiteurs avant de les compromettre.
Cloud et sous-traitants : 2 vecteurs en hausse
76% des 1 366 incidents traités se concentrent dans quatre secteurs : éducation et recherche (34%), ministères et collectivités (24%), santé (10%) et télécommunications (9%). La chaîne d'approvisionnement représente un risque croissant. Entre janvier et juin 2025, plusieurs entités industrielles impliquées dans la Base Industrielle et Technologique de Défense (BITD) française ont été compromises par rançongiciel. Et ce n'est pas rien puisque la BITD désigne les entreprises qui fabriquent et conçoivent des systèmes liés à la défense et à l'aéronautique. Des informations sensibles ont potentiellement été exposées lors de ces incidents.
Les environnements cloud sont devenus une cible de choix. En juillet 2025, le chiffrement de ressources cloud d'une entité française importante a entraîné une indisponibilité de services pour des clients professionnels et grand public en France. En octobre 2025, une instance GitLab de RedHat a été compromise, entraînant le vol de données d'organisations à travers le monde, dont des entités françaises. Ce même mois, une solution SaaS d'un éditeur français hébergée sur Amazon Web Services a été victime d'un rançongiciel.
Retrouvez le rapport dans son intégralité ici.
