Un niveau de menaces toujours très élevé en 2025 selon l'Anssi

« Nous avons vécu une année 2025 rythmée par des attaques prévisibles à une fréquence assez forte, visible et médiatisée », a lancé Vincent Strubel, directeur général de l'ANSSI lors de la présentation presse du panorama de la cybermenace 2025. Sur l'année écoulée, l'agence a traité 1 366 incidents de cybersécurité (sur 3 586 événements de sécurité) contre 1 361 l'année précédente. Un nombre d'incidents qui reste très élevé comparé aux 1 112 de 2023 et 831 de 2022. « On est sur un plateau très haut, pas sur un raz de marée », indique le dirigeant. Un niveau très significatif d'autant que l'an dernier l'effet JO avait provoqué une recrudescence d'attaques informatiques par rapport aux années précédentes. Si le volume est quasi constant d'une année sur l'autre, la nature des attaques a évolué avec une hausse des activités liées à l'appât du gain, de l'extorsion avec une évolution de l'approche des attaquants qui pratiquent un peu moins de rançongiciels mais de manière systématique le vol de données qui n'est cependant pas toujours avéré. « Sur 2025, 65 % étaient soit du bluff complet soit du recyclage de données dans la nature ou déjà publiques », indique le directeur général de l'Anssi. Tout en soulignant que « les dégâts sont autant réputationnels et peuvent également concourir à épuiser les équipes cybersécurité.»

Le vol de données ne constitue cependant que 15 % de la volumétrie globale des attaques traitées par l'Anssi en 2025, avec 196 incidents rapportés (versus 130 en 2024) sans chiffrement systématique du système d'information. Une approche permettant aux attaquants de rester discrets et de mieux valoriser les données exfiltrées d'après l'agence. Dans les 85 % restants, on trouve le rançongiciel (128 compromissions recensées), qui a diminué mais pas disparu avec une diversification dans la typologie des victimes : en 2025, les PME, TPE et ETI restent la catégorie la plus touchée par les ransomwares, 48 % étant de petites structures qui continuent d'être affectées. Mais aussi le DDoS (avec de plus en plus de criminels qui utilisent ce levier pour mettre de la pression supplémentaire sur leurs victimes), ou encore l'espionnage (qui reste très ciblé sur le réseau diplomatique, les entreprises de défense et leurs sous-traitants, mais aussi des ONG, des médias...). « Ce qui doit vraiment nous inquiéter au-delà de l'espionnage ce sont les activités de sabotage, de destruction et déstabilisation au sens large », poursuit Vincent Strubel. « Ce qui frappe en 2025 en particulier c'est le brouillard technique et organisationnel qui s'instaure entre les différents pans de la menace qui complique la détection, son imputation et qui brouille les frontières entre acteurs étatiques et non étatiques de la menace », annonce le responsable.

Des vulnérabilités qui augmentent, un temps d'exploitation qui se réduit

Si les entreprises sont toujours particulièrement visées par les ransomwares, les administrations publiques sont elles ciblées surtout par des opérations d'espionnage menées aussi bien par des acteurs étatiques que des groupes cybercriminels. Sur l'ensemble des incidents cybersécurité portés à la connaissance de l'Anssi, arrivent en tête les secteurs de l'Education (32 %), la recherche (18 %), et la santé (11 %). Sachant que près du quart (24 %) des incidents rapportés concerne à la fois des ministères et des collectivités territoriales. Sophistication des attaques autant que faiblesses des infrastructures cibles sont-elles en cause en ce qui concerne le secteur public particulièrement touché ces derniers temps (Bercy, ministère de l'Intérieur...) ? « Toute fuite de données est la traduction d'une vulnérabilité, d'une faiblesse qui peut être humaine ou technique ou le chainage des deux avec de l'ingénierie sociale », explique Vincent Strubel. « Je n'ai pas l'impression qu'il y ait un différentiel significatif entre le secteur public et privé en la matière [...] Il n'y a pas de défaillance technique des services publics mais je le répète régulièrement et plus que jamais la cybersécurité c'est la plus grande école d'humilité car tout le monde fini par être touché et d'empathie avec les victimes. »

L'utilisation de l'IA pour automatiser une partie de leurs activités (envoi de mail, phishing, exploitation de données, création d'infrastructure de code...) continue à abaisser le seuil pour mener des attaques. Autre phénomène frappant, l'usage d'outils légitimes présent dans le réseau des victimes pour réaliser des attaques. « Le fait nouveau de 2025 est que ce n'est plus limité à un petit nombre d'acteurs du haut du spectre mais d'autres plus ou moins organisés », note Vincent Strubel. Autre sujet d'inquiétude sur l'année écoulée qui inquiète l'agence, les vulnérabilités qui augmentent d'année après année (18 % par an) soit près de 50 000 CVE en 2025, avec en même temps la durée qui se réduit « à peau de chagrin » entre l'apparition d'une faille et le temps de son exploitation avec une hausse significative d'exploit en zero day (ou one day). « Ce qui m'inquiète c'est le fait qu'un scan rapide montre que plus de 6 000 équipements en France connectés à Internet présentent encore les principales vulnérabilités exploitées en 2023 et 2024. L'absence de correction est une épée de Damoclès qui pourra être exploité si ce n'est pas déjà le cas », poursuit le directeur.