Une menace qui ne disparaît plus
Il fut un temps où la cyberattaque relevait de l’exception.
Un incident isolé, souvent technique, parfois spectaculaire.
Ce temps est révolu.
Le Rapport annuel sur la cybercriminalité 2026, publié par le Centre d'analyse et de regroupement des cybermenaces (CECyber) du COMCYBER-MI au sein du ministère de l'Intérieur, confirme un basculement : la menace n'est plus ponctuelle, elle est devenue structurelle.
453 200 atteintes numériques recensées en 2025
+87%
en cinq ans
Ces chiffres ne traduisent pas seulement une augmentation. Ils révèlent une transformation : la cyberattaque est désormais un phénomène de masse. Sur la même période, le SSMSI estime que les infractions liées au numérique progressent en moyenne de 12 % par an depuis 2016.
Une organisation industrielle du cybercrime
Le rapport met en évidence une évolution majeure dans la manière dont les attaques sont conçues.
Les cybercriminels ne fonctionnent plus comme des individus isolés. Ils s'inscrivent dans un écosystème structuré, où chaque acteur remplit une fonction précise. Le COMCYBER-MI parle explicitement d'une « industrialisation de la cybercriminalité » : développeurs de logiciels malveillants, vendeurs d'accès initiaux, vendeurs de bases de données, affiliés rançongiciel, mules financières, blanchisseurs en cryptoactifs.
Certains collectent des données, d'autres les valorisent, d'autres encore les exploitent. Cette répartition des tâches permet de lancer des attaques rapidement, avec moins d'efforts et une efficacité accrue.
Attention
Aujourd’hui, une attaque ne nécessite plus forcément de compétences techniques avancées.
Elle nécessite surtout :
- un accès,
- un outil,
- et une opportunité.
Des attaques guidées par la rentabilité
Les principales formes d’attaques observées en 2025 traduisent une logique économique.
| Type d'attaque | Objectif | Impact |
|---|---|---|
| DDoS | Perturbation rapide | Visibilité et pression |
| Vol de données | Exploitation long terme | Risque durable, double extorsion |
| Rançongiciel | Gain immédiat | Pression directe, coût de continuité |
| Phishing & BEC | Accès initial, fraude au virement | Vecteur n°1 des incidents |
| Compromission de chaîne d'approvisionnement | Effet de levier sur N+1 fournisseurs | Risque systémique |
Ce tableau illustre une réalité simple : les attaques ne cherchent plus seulement à nuire, elles cherc
hent à rentabiliser.
Critique
L’évolution vers l’exfiltration de données change profondément la gestion des incidents.
Une fuite ne se corrige pas. Elle s’expose, se diffuse, et se réutilise.
L’intelligence artificielle, facteur d’accélération
L'IA joue désormais un rôle central dans la conduite des attaques. Elle permet de produire des messages crédibles, d'automatiser des campagnes et d'adapter les contenus aux cibles en temps réel.
Les chiffres parlent d'eux-mêmes :
+202 % d'emails de phishing recensés au second semestre 2024 (SlashNext, State of Phishing 2024).
Taux de clic +60 % sur les emails de phishing générés par IA versus emails traditionnels (étude Université d'Oxford, 2024).
Près de 40 % des emails de Business Email Compromise (BEC) au T2 2025 sont confirmés comme générés par IA (analyses ComplianCERT, 2025).
+19 % d'incidents deepfake recensés au seul T1 2025, dépassant déjà l'ensemble de l'année 2024 (Deepfake Incident Tracking).
+400 % d'attaques par quishing (QR codes piégés) entre 2023 et 2025 (APWG).
Le cas de référence pour 2024–2025 reste celui d'un employé du groupe d'ingénierie britannique Arup, victime d'une fraude de 25 millions de dollars après avoir participé à une visioconférence où les quatre interlocuteurs, dont le directeur financier, étaient des deepfakes générés par IA en temps réel.
Ce qui disparaît progressivement, ce sont les signaux distincts : la faute d'orthographe, le ton mécanique, l'expéditeur exotique. L'attaque devient difficile à distinguer d'une interaction légitime.
Attention
Une attaque moderne ne ressemble plus à une attaque. Elle ressemble à une situation normale.
Quand le cyber devient concret
Le rapport souligne une évolution critique : certaines attaques peuvent produire des effets physiques.
Des intrusions ont été observées dans des systèmes sensibles, notamment dans le secteur de la santé.
Ce constat élargit le périmètre du risque.
Il ne s’agit plus uniquement de données, mais de continuité d’activité et de sécurité.
Infrastructures critiques : des risques tangibles
| Secteur | Risque | Conséquence |
|---|---|---|
| Énergie | Altération des systèmes | Déséquilibre du réseau |
| Transport | Manipulation des équipements | Perturbation ou accident |
| Eau | Modification des paramètres | Risque sanitaire |
| Santé | Intrusion systèmes critiques | Mise en danger directe |
Ces scénarios ne sont pas théoriques. Ils sont techniquement réalisables. Le panorama 2024 de l'ANSSI confirme une intensification continue : 4 386 événements de sécurité traités en 2024, soit +15 % en un an.
Une menace devenue géopolitique
À la lecture du rapport, un élément revient de manière insistante : la cyberattaque n'est plus seulement un outil criminel. Elle est devenue un instrument d'expression.
Les chiffres sont révélateurs. Une large majorité des attaques revendiquées s'inscrivent dans un contexte international tendu, avec une prédominance liée au conflit en Ukraine, suivi par le Moyen-Orient.
Mais au-delà des pourcentages, ce qui compte vraiment, c'est la dynamique. Les attaques rejoignent l'actualité. Elles suivent les décisions politiques, les annonces diplomatiques, les événements médiatiques.
Autrement dit, la cyber n'est plus en marge du monde réel. Elle en est désormais un prolongement direct.
Le facteur humain, point de bascule permanent
Et pourtant, malgré cette montée en puissance technique et stratégique, un élément reste désespérément stable.
Les attaques passent encore, dans la majorité des cas, par une interaction humaine.
Un message reçu au mauvais moment.
Une demande qui semble crédible.
Une décision prise trop vite.
Ce ne sont pas des failles techniques spectaculaires. Ce sont des microdécisions, souvent invisibles, mais décisives.
C'est précisément ce qui rend le risque difficile à contenir.
On ne sécurise pas un comportement comme on sécurise un système.
Là où la cybersécurité échoue vraiment
C'est ici que se situe le décalage majeur.
Pendant des années, la cybersécurité s'est construite autour des outils, des architectures, des procédures.
Mais les attaques décrites dans le rapport reposent rarement sur ces éléments.
Elles reposent sur des situations.
- Un faux email interne.
- Un fournisseur qui semble légitime.
- Une urgence qui pousse à agir sans vérifier.
Reproduire une situation, provoquer une décision, observer une réaction. C'est là que vit la formation utile, pas celle qui transmet une connaissance, mais celle qui ancre un réflexe.
Une attaque ne s’arrête jamais à l’attaque
Ce que le rapport montre aussi, c’est que l’impact d’une cyberattaque dépasse largement le moment de l’incident.
- Une fois les données exfiltrées, elles circulent.
- Une fois la confiance rompue, elle se reconstruit difficilement.
- Une fois l’activité perturbée, les effets se prolongent
Le temps de l’attaque est court. Le temps des conséquences est long.
Et c’est souvent cette temporalité que les organisations sous-estiment.
Apprendre à réagir, pas seulement à savoir
On peut connaître les bonnes pratiques.
On peut suivre une formation.
On peut même réussir un quiz.
Mais face à une situation crédible, en conditions réelles, la réaction n’est jamais théorique.
C’est une décision.
Prise dans un contexte, avec un niveau d’attention limité, parfois sous pression.
ROOMCA recrée précisément ces conditions.
L’utilisateur ne se contente pas d’identifier une menace.
Il agit. Et c’est cette action qui permet d’ancrer un réflexe.
Une menace installée, une réponse à transformer
Le rapport 2026 ne décrit pas une dégradation soudaine.
Il décrit une installation.
La cybercriminalité est plus structurée, plus accessible, plus intégrée au réel.
Mais elle repose toujours sur un mécanisme simple : exploiter la confiance.
Et tant que ce levier existera, la technologie seule ne suffira pas.
La seule question qui reste
On peut renforcer ses systèmes.
On peut améliorer ses outils.
On peut multiplier les contrôles.
Mais au moment où tout repose sur une décision humaine, une seule question compte vraiment :
Vos équipes sauraient-elles réagir ?
ROOMCA permet d’y répondre, non pas en théorie, mais en situation.
Sources :
- Rapport annuel sur la cybercriminalité 2026, Centre d'analyse et de regroupement des cybermenaces (CECyber), COMCYBER-MI, Ministère de l'Intérieur, février 2026.
- Service statistique ministériel de la sécurité intérieure (SSMSI), Chiffres clés 2025, publication du 19 février 2026.
- Panorama de la cybermenace 2024, ANSSI, 2025.
- State of Phishing Report 2024, SlashNext.
- Anti-Phishing Working Group (APWG), Phishing Activity Trends Report, 2024–2025.
- Étude Université d'Oxford sur l'efficacité des emails de phishing générés par IA, 2024.
- Affaire Arup, fraude au deepfake de 25 M$ documentée par Hong Kong Police Force et Reuters, février 2024.
