Le 11 mars 2026, l'ANSSI a publié son Panorama de la cybermenace 2025 via le CERT-FR. Et une tendance saute aux yeux : les cybercriminels délaissent progressivement les rançongiciels au profit du simple vol de données. Autrement dit, plutôt que de chiffrer vos fichiers pour demander une rançon, ils les copient discrètement et les revendent ou les publient.
Pourquoi ce changement de méthode ? Parce que c'est plus discret, moins risqué juridiquement dans certains cas, et que la revente de données sensibles est très lucrative. Pour vous, particulier ou dirigeant d'entreprise, ça change la nature du risque : vous ne verrez peut-être rien avant que vos informations circulent.
Qui est le CERT-FR ?
Le CERT-FR, c'est le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, rattaché à l'ANSSI. Chaque année, il publie un panorama des menaces observées sur le territoire français et au-delà. Ce rapport s'appuie sur des centaines d'incidents réels traités par l'agence.
Si je vous en parle, c'est parce que ce document reflète les vraies tendances des attaques, pas les fantasmes médiatiques. Il donne une photographie fidèle de ce qui menace concrètement les entreprises, les collectivités et, par ricochet, les citoyens.
Les grandes évolutions de 2025
Moins de rançongiciels, plus de vols de données
Le rapport note une baisse de l'utilisation de rançongiciels au profit d'une augmentation significative de l'exfiltration de données seules. En clair : les attaquants entrent dans vos systèmes, copient vos fichiers (comptabilité, contacts clients, données RH, dossiers médicaux) et repartent sans laisser de trace immédiate. Vous ne le découvrez souvent que des semaines ou mois plus tard, quand vos données sont publiées ou revendues.
Ingénierie sociale réinventée
Les techniques de manipulation évoluent et vont au-delà des faux supports informatiques. Je pense notamment aux deepfakes audio, aux faux appels de banques ultra-réalistes, ou aux scénarios d'urgence. L'intelligence artificielle commence à être utilisée par certains acteurs, même si le rapport tempère : on n'est pas face à un changement de paradigme, plutôt à une amélioration graduelle des arnaques existantes.
Exploitation massive de vulnérabilités
Les attaquants continuent d'exploiter massivement les failles de sécurité, notamment sur les équipements de bordure exposés sur internet (routeurs, pare-feux, serveurs VPN). Le rapport souligne que ces vulnérabilités peuvent être exploitées très rapidement après leur publication. Si vous gérez un site web, une boutique en ligne ou un réseau d'entreprise, c'est un point d'attention critique.
Frontières floues entre États et cybercriminels
Le rapport note que la distinction entre acteurs étatiques et cybercriminels s'érode. Des pratiques autrefois réservées à des groupes liés à des États (détournement d'outils légitimes, attaques très furtives) sont désormais utilisées par des cybercriminels classiques. Résultat : il devient plus difficile de savoir qui attaque et pourquoi.
Bref.
Vérifiez toujours l'identité de votre interlocuteur, même si la voix ou l'adresse e-mail semble familière. En cas de doute sur un appel urgent (banque, impôts, proche en détresse), raccrochez et rappelez sur un numéro officiel ou connu.
Activez les mises à jour automatiques sur tous vos équipements connectés à internet : box, ordinateurs, smartphones, objets connectés. Si vous gérez une entreprise, faites auditer régulièrement vos équipements exposés (serveurs, site web, accès VPN).
Surveillez vos comptes. Activez les notifications en cas de connexion inhabituelle sur vos services en ligne. Mettez en place les bonnes pratiques en matière de politique de mots de passe.
Enfin, le rapport du CERT-FR est livré avec un rapport très intéressant au format PDF que je conseille aux plus courageux (il fait 60 pages !)