Secu
Le rapport « 2025 » de l’ANSSI raconte surtout la banalisation de l’attaque invisible
Par Laurent Delattre, publié le 17 mars 2026
La cyberattaque ne force plus la porte, elle passe par les badges autorisés du SI. Télémaintenance, cloud, prestataires, IA générative et fuite de données redessinent une menace plus discrète, plus hybride et nettement plus difficile à qualifier. Le rapport 2025 de l’ANSSI dessine une réalité cyber à nouveau en mutation un brouillard opérationnel qui complique autant la détection que la décision de crise.
Le Panorama 2025 de l’ANSSI est enfin sorti. Sans surprise, il ne décrit pas d’accalmie sur le front des cybermenaces. Au contraire, il raconte une menace qui se banalise, se diffuse et devient plus difficile à lire et à prédire. Pourtant, sur le papier, en 2025, l’ANSSI a traité 3 586 événements de sécurité, soit 18 % de moins qu’en 2024. Mais l’agence attribue directement ce recul à l’effet exceptionnel des Jeux olympiques et paralympiques de Paris, qui avaient gonflé les signalements en 2024. D’ailleurs, le nombre d’incidents confirmés reste quasiment stable, à 1 366 contre 1 361 un an plus tôt. Les secteurs les plus touchés restent l’éducation et la recherche, les ministères et collectivités, la santé et les télécommunications, qui concentrent à eux seuls 76 % des incidents portés à la connaissance de l’ANSSI.
Autrement dit, la pression ne baisse pas vraiment. Elle change de texture. Moins spectaculaire dans sa forme, plus trouble dans ses auteurs, plus discrète dans ses voies d’accès, elle complique le travail des DSI et RSSI alors que parallèlement le système d’information ne cesse de s’étendre bien au-delà du périmètre historique de l’entreprise.
Outils légitimes détournés, prestataires transformés en points d’entrée, exfiltrations plus nombreuses, compromissions cloud plus fréquentes, brouillage entre espionnage, extorsion et déstabilisation : le rapport de l’ANSSI dessine une cybermenace plus intégrée au fonctionnement ordinaire du numérique et qui s’y fond redoutablement.
Une menace plus floue, plus hybride, plus difficile à qualifier
Le constat central du rapport tient dans ce que l’ANSSI appelle un « brouillard technologique et organisationnel ». Les frontières entre acteurs étatiques et cybercriminels continuent de s’éroder. Des pratiques autrefois typiques des modes opératoires liés à des États se retrouvent désormais chez des groupes cybercriminels. Inversement, des logiques d’extorsion apparaissent dans des chaînes d’attaque associées à des acteurs jusque-là surtout connus pour l’espionnage.
Conséquence directe, il devient plus difficile d’interpréter rapidement un incident, d’en anticiper la finalité réelle et d’en déduire le bon niveau de réponse.
Cette hybridation se lit aussi dans la géographie des cibles. L’ANSSI souligne la poursuite des activités d’espionnage attribuées à des acteurs russes et chinois contre des entités gouvernementales, diplomatiques, des médias, des ONG, la BITD ou encore des infrastructures critiques.
L’ANSSI insiste sur le ciblage durable des réseaux diplomatiques. Un cas toutefois, l’opération Salt Typhoon brouille la lecture habituelle et illustre la difficulté d’interprétation. Plus la liste des victimes s’allonge, plus il devient difficile de savoir si l’on a affaire à une campagne d’espionnage très ciblée ou à l’exploitation opportuniste d’équipements massivement déployés. Ce flou n’est pas théorique. Il révèle qu’une même compromission peut relever à la fois d’une logique de balayage large et d’une logique de préparation plus profonde, destinée ensuite à l’espionnage, à la persistance ou à de futures opérations offensives.
De l’hacktivisme à la désinformation
Le rapport inscrit ces constats dans un contexte plus large de montée du risque de déstabilisation. D’emblée, l’édito de Vincent Strubel s’ouvre sur un événement marquant : les attaques informatiques coordonnées à visée destructive qui ont frappé les infrastructures électriques polonaises fin 2025. C’est une première pour un État membre de l’Union européenne, et l’ANSSI y voit un signal d’alerte concret pour le scénario auquel la France se prépare d’ici 2030, une intensification massive des attaques hybrides contre les infrastructures critiques.
L’Agence observe aussi un élargissement du répertoire hacktiviste. Au-delà du DDoS et de la défiguration, des groupes pro-russes comme Z-Pentest Alliance ciblent désormais de petites installations industrielles (énergies renouvelables, secteur de l’eau) en exploitant des automates dont les interfaces de gestion sont exposées sans authentification. Les effets physiques restent limités, mais la stratégie est ailleurs : revendications sur Telegram, vidéos de manipulation d’interfaces, exagération systématique des conséquences. L’objectif est avant tout médiatique et psychologique. Le sujet n’est donc plus seulement technique : il touche à la continuité d’activité, à la communication de crise et à la résilience opérationnelle.
L’attaque se fond dans les outils du quotidien
C’est sans doute l’enseignement le plus opérationnel du rapport pour les DSI. L’ANSSI constate que le détournement d’outils et services légitimes à des fins malveillantes, longtemps l’apanage des acteurs étatiques, est désormais en recrudescence chez les cybercriminels. L’objectif : dissimuler leurs actions dans des flux que personne ne signale spontanément comme suspects.
La liste dressée par l’Agence parle d’elle-même : outils d’accès à distance (AnyDesk, TeamViewer, Atera, LogMeIn, VNC), services de stockage et partage (Google Drive, Docs, Dropbox, MEGA), briques Web de développement (WebHook.site, Cloudflare Workers, AWS Lambda URL).
Certes, la majorité des incidents observés dans cette catégorie concerne AnyDesk, mais ces incidents résument bien le changement de paradigme : La menace ne se présente plus sous la forme d’un exécutable inconnu, elle se niche dans l’ordinaire du SI.
Le rapport note aussi que l’IA générative s’inscrit dans cette tendance. L’ANSSI a identifié à plusieurs reprises des sites apparemment générés par IA pour héberger des charges malveillantes ou profiler des cibles. Elle souligne par ailleurs que l’intégration croissante de services d’IA dans les flux opérationnels élargit la surface d’attaque en l’absence de cloisonnement.
Plus les outils et plus l’IA sont intégrés au quotidien, plus ils peuvent devenir des points d’appui pour les attaquants.
Le SI étendu étend le risque aux prestataires
Le rapport est sans ambiguïté : le prestataire est devenu un vecteur majeur de compromission. L’an dernier déjà l’ANSSI avait pointé la montée des attaques à la supply chain.
Cette année, l’agence décrit notamment le cas d’un attaquant ayant compromis un prestataire servant de nombreuses entités françaises, exfiltré des ressources clientes, puis exploité les interconnexions et des identifiants volés pour se latéraliser vers plusieurs clients. Elle mentionne aussi des attaques par rebond où la première victime sert de tremplin pour en cibler une seconde, sans qu’il s’agisse nécessairement d’un sous-traitant au sens strict. Depuis longtemps, la sécurité ne peut plus se penser à l’échelle du seul réseau interne. Elle doit s’étendre à tous les clouds. Et désormais, le vrai périmètre de défense englobe l’ensemble des dépendances numériques.
Les conséquences peuvent être particulièrement sévères. Plusieurs compromissions par rançongiciel chez des prestataires ont perturbé l’accès de leurs clients à des applications critiques, affectant lourdement tout un secteur d’activité. L’ANSSI avertit en outre que les mesures d’endiguement prises dans ce type d’incident peuvent elles-mêmes aggraver la situation côté client, en coupant l’accès à certaines ressources. Le prestataire devient ainsi à la fois point d’entrée, multiplicateur d’impact et facteur de désorganisation lors de la remédiation.
Cette logique s’applique tout autant au cloud. L’Agence observe davantage de compromissions de ces environnements, avec des cas de chiffrement de ressources et d’indisponibilité temporaire touchant aussi bien des clients professionnels que des services grand public. Dans au moins un cas, l’attaquant a exploité une vulnérabilité sur un équipement de sécurité de bordure (Edge). Le cloud ne supprime pas le risque, il le redistribue entre d’autres couches, d’autres acteurs et d’autres angles morts.
Exfiltrer vaut parfois mieux que chiffrer
Le rapport met aussi en évidence un déplacement du centre de gravité des attaques lucratives. Les compromissions par rançongiciel reculent légèrement, à 128 cas connus de l’ANSSI contre 141 en 2024. Mais les incidents relatifs à des exfiltrations de données bondissent à 196, contre 130 un an plus tôt.
L’agence note en outre que ces exfiltrations sont souvent revendiquées publiquement, en particulier sur des forums cybercriminels ou sur Telegram, alors même que toutes ne sont pas authentiques : l’agence n’a pu confirmer que 80 revendications parmi celles portées à sa connaissance. Le chantage ne porte donc plus seulement sur l’indisponibilité du SI ; il joue désormais sur la fuite, la réputation et la pression médiatique.
L’ANSSI souligne que le traitement d’une revendication d’exfiltration, qu’elle soit avérée ou non, mobilise lourdement les équipes Cyber/IT et la DSI : qualification des données, identification de la source, évaluation de l’impact, communication vers les entités concernées, obligations réglementaires auprès de la CNIL. Le sujet déborde du périmètre strictement cyber pour devenir un enjeu de gouvernance, de conformité et de pilotage de crise.
Le dernier angle mort, c’est la décision de crise elle-même
Pour clôturer ce panorama, le rapport contient une leçon très concrète sur la gestion de crise. L’ANSSI cite le cas d’une compromission détectée avant le chiffrement, où l’entité victime a choisi de débrancher électriquement son data center. Si la mesure a peut-être évité une aggravation, elle a provoqué un arrêt total et une perturbation durable de l’activité. L’Agence détaille les effets de bord : redémarrage incertain de systèmes complexes, perte de traces utiles à l’investigation, réduction de la visibilité sur les actions de l’attaquant. Sa conclusion est nette : l’endiguement exige des arbitrages préparés en amont, avec un PCA et un PRA réellement opérationnels.
Et c’est peut-être la principale leçon à retenir pour les DSI. Le rapport ne dit pas seulement que la menace reste élevée. Il montre qu’elle devient plus difficile à distinguer des usages normaux, plus dépendante des écosystèmes de prestataires, plus orientée vers la donnée et plus sensible à la qualité des décisions prises dans les premières heures. L’attaque invisible n’est pas qu’une affaire de furtivité technique, c’est un problème de gouvernance du SI réel : celui des outils tolérés, des dépendances contractuelles, des accès distants, des environnements cloud et de la capacité de l’organisation à faire sens rapidement dans un brouillard devenu permanent. Un brouillard qu’il devrait persister en 2026…
La cyber-guerre en toile de fond
Le rapport de l’ANSSI ne fait pas de la « cyber-guerre » un slogan, mais elle en dessine clairement l’arrière-plan. Dès son édito, l’agence évoque les attaques coordonnées à visée destructive menées fin 2025 contre les infrastructures électriques polonaises, en les présentant comme un signal d’alerte pour l’Europe. Elle y voit l’illustration d’un scénario que la France doit désormais anticiper : la montée d’attaques hybrides capables de produire des effets concrets, voire destructeurs, sur les infrastructures critiques.
Cette toile de fond est directement reliée à la guerre menée par la Russie contre l’Ukraine. L’ANSSI rappelle qu’en 2025, les attaques observées en Ukraine ont continué à viser le sabotage et la destruction, notamment au moyen de wipers contre des infrastructures critiques. Elle souligne aussi que ces capacités ne sont pas cantonnées au théâtre ukrainien : elles peuvent être réemployées ailleurs, comme le suggèrent les campagnes attribuées à Sandworm et les actions de déstabilisation relevées en Pologne.
L’autre point clé, pour les DSI, est que cette conflictualité ne commence pas toujours par une attaque visible. Le rapport insiste sur le fait que l’espionnage peut servir de pré-positionnement durable avant un sabotage, et montre aussi combien le ciblage des réseaux diplomatiques ou des télécommunications s’inscrit dans cette logique de préparation. En clair, la cyber-guerre n’apparaît pas seulement dans les opérations destructrices : elle se joue aussi en amont, dans la prise de pied discrète dans les systèmes et la capacité à frapper plus tard.
À LIRE AUSSI :
À LIRE AUSSI :
