Panorama de la cybermenace 2025 : principaux enseignements pour les organisations
Comme chaque année, l’ANSSI publie son Panorama de la cybermenace, une analyse des tendances observées à partir des incidents traités ou signalés à l’agence. L’édition 2025 confirme plusieurs évolutions déjà perceptibles ces dernières années : la menace cyber reste soutenue, les techniques employées par les attaquants continuent d’évoluer, et les frontières entre cybercriminalité, espionnage étatique et opérations de déstabilisation apparaissent de plus en plus floues.
Même si le nombre global d’événements signalés a légèrement diminué par rapport à 2024, le niveau de menace reste élevé. Le nombre d'incidents confirmés reste stable et les équipes de réponse à incident continuent d’observer des attaques toujours plus difficiles à détecter et à attribuer.
Une menace structurée autour de trois motivations
L’analyse de l’ANSSI montre que les attaques observées répondent généralement à trois logiques principales : l’extorsion financière, la collecte de renseignement stratégique et les opérations de déstabilisation. Ces motivations ne sont pas nouvelles, mais leur combinaison au sein d’un même écosystème d’attaquants rend les campagnes plus difficiles à analyser et à attribuer. La cybercriminalité demeure une composante majeure de la menace. Les attaques par rançongiciel continuent d’affecter de nombreuses organisations en France, en particulier les PME, les collectivités territoriales ou les établissements de santé.
En 2025, 128 compromissions par rançongiciel ont été portées à la connaissance de l’ANSSI. Les souches les plus fréquemment observées incluent notamment Qilin, Akira ou encore Lockbit.
Si ces attaques restent importantes, l’écosystème cybercriminel évolue progressivement. Une tendance notable concerne l’augmentation des incidents liés à l’exfiltration de données. Les attaquants cherchent désormais, dans certains cas, à obtenir un accès au système d’information pour voler des données puis exercer un chantage à la divulgation, sans nécessairement déployer de rançongiciel. Cette évolution se reflète dans les statistiques : 196 incidents impliquant des exfiltrations de données ont été signalés en 2025, contre 130 l’année précédente. Ce modèle d’attaque présente plusieurs avantages pour les attaquants : il permet une monétisation rapide des données et réduit les risques liés au déploiement d’un malware destructeur susceptible d’attirer davantage l’attention.
Dans ce contexte, le rôle des courtiers en accès initiaux (Initial Access Brokers) continue de se renforcer. Ces acteurs se spécialisent dans l’obtention et la revente d’accès compromis à d’autres groupes cybercriminels.
L’usage d’outils légitimes dans les attaques se généralise
Une autre tendance forte concerne l’utilisation d’outils et de services légitimes dans les chaînes de compromission. Les attaquants détournent notamment des solutions d’accès à distance, des services de stockage cloud ou encore des plateformes de développement afin de mener leurs opérations. Cette approche présente plusieurs avantages. Elle permet de masquer l’activité malveillante dans des flux qui peuvent paraître légitimes et réduit la nécessité de maintenir une infrastructure d’attaque dédiée.
Pour les équipes de détection, cette évolution complique l’identification des comportements suspects, puisque les outils utilisés sont souvent présents dans les environnements professionnels.
L’ingénierie sociale reste un vecteur d’intrusion majeur
Malgré les évolutions techniques, de nombreuses intrusions reposent encore sur des techniques d’ingénierie sociale. L’ANSSI observe notamment l’emploi de méthodes telles que :
le phishing ciblé ;
l’usurpation d’identité ;
le SIM swapping ;
les attaques de fatigue MFA ;
le phishing vocal.
L’émergence de l’intelligence artificielle dans les attaques
L’intelligence artificielle générative constitue également un facteur d’évolution potentiel de la menace. Les attaquants peuvent s’appuyer sur ces outils pour produire des contenus de phishing plus crédibles, automatiser certaines tâches ou générer rapidement des infrastructures malveillantes. L’ANSSI a notamment identifié des cas où des sites utilisés dans des opérations offensives semblaient avoir été générés à l’aide d’outils d’IA générative.
Si ces usages restent encore limités, ils pourraient contribuer à abaisser les barrières techniques pour certains acteurs malveillants.
Des secteurs particulièrement exposés
Les incidents analysés par l’ANSSI montrent que certains secteurs sont plus fréquemment touchés. En 2025, quatre secteurs concentrent environ 76 % des incidents signalés :
l’éducation et la recherche ;
les ministères et collectivités territoriales ;
la santé ;
les télécommunications.
Le secteur académique apparaît notamment très exposé, en raison du nombre important d’organisations concernées et de l’intérêt stratégique que peuvent représenter certains travaux de recherche.
Conclusion
Le Panorama de la cybermenace 2025 confirme que la cybermenace reste durablement installée dans l’environnement numérique des organisations. Dans ce contexte, la capacité à détecter les compromissions précoces, à gérer les vulnérabilités et à partager l’information entre acteurs de cybersécurité reste essentielle pour renforcer la résilience des organisations.