L’ANSSI publie son panorama 2025 et alerte sur l’évolution des attaques

“La cybermenace visant les organisations françaises reste élevée et se transforme rapidement”, a déclaré Vincent Strubel, directeur général de l'ANSSI (Agence nationale de sécurité des systèmes d'information), lors de la présentation du Panorama de la cybermenace 2025 ce mercredi 11 mars 2026 au Campus Cyber à la Défense. L’événement visait à revenir sur les principales tendances observées au cours de l’année écoulée en matière de cybersécurité. La présentation du rapport a été assurée par Vincent Strubel, directeur général de l’agence, accompagné de Chloé Chabanol, sous-directrice des opérations. Chaque année, ce panorama constitue l’un des principaux rapports publics de référence sur l’état de la cybermenace visant les organisations françaises. 

Des milliers d’événements de sécurité traités en 2025 

Selon le rapport, l’ANSSI a traité 3 586 événements de sécurité en 2025, soit une baisse d’environ 18 % par rapport à 2024. Parmi eux, 1 366 incidents ont été signalés à l’agence, ce qui correspond aux cas les plus significatifs nécessitant une analyse ou une intervention. L’étude montre également que la cybermenace reste concentrée sur certains secteurs. En 2025, quatre domaines d’activité représentent à eux seuls 76 % des incidents signalés. L’éducation et la recherche arrivent en tête avec 34 % des incidents, suivies par les ministères et collectivités territoriales (24 %). Le secteur de la santé représente 10 %, tandis que les télécommunications comptent pour 9 % des incidents remontés. Chloé Chabanol a souligné l’exposition particulière de certains services publics : « Cette année encore, les secteurs de l’éducation, de la recherche et de la santé ont concentré la majorité des incidents portés à notre connaissance. » Ces chiffres illustrent la pression exercée sur les organisations publiques et les infrastructures essentielles, souvent ciblées pour leurs données sensibles ou leur rôle stratégique.

Rançongiciels, espionnage et sabotage parmi les principales menaces 

Le panorama souligne que les attaques informatiques poursuivent plusieurs objectifs : extorsion financière, espionnage ou déstabilisation. Les rançongiciels restent l’une des menaces les plus visibles, avec plusieurs groupes particulièrement actifs. Parmi les souches de rançongiciels les plus présentes en 2025 figurent notamment Qilin, responsable de 21 % des attaques observées, suivi de Akira (9 %) et Lockbit 3.0 / Lockbit Black (5 %). Le rapport note également la présence d’un grand nombre de services de ransomware-as-a-service, qui facilitent l’accès à ces attaques pour des acteurs moins expérimentés. Au-delà de l’extorsion, l’ANSSI observe également des opérations d’espionnage attribuées à des groupes liés à des États, notamment russes ou chinois, ainsi que des actions de sabotage ou de déni de service visant à perturber des infrastructures. 

Des techniques d’attaque en constante évolution 

Le rapport met aussi en avant l’évolution des méthodes utilisées par les attaquants. Ceux-ci exploitent de plus en plus des services légitimes ou des outils existants afin de dissimuler leurs activités et de contourner les mécanismes de détection. Les techniques d’ingénierie sociale restent également très utilisées pour obtenir un accès initial aux systèmes d’information. Les attaquants cherchent par ailleurs à tirer parti des vulnérabilités techniques et du ciblage de sous-traitants ou partenaires afin de pénétrer dans des organisations plus importantes. « Certains acteurs se détournent du rançongiciel vers l’exfiltration de données, une approche qui permet de rester discret tout en identifiant une façon de valoriser ces informations », a déclaré Vincent Strubel. Selon l’Agence, cette complexité croissante souligne l’importance du travail d’analyse des menaces pour orienter les dispositifs de détection, améliorer les audits de sécurité et renforcer la réponse aux incidents.