Secu
Cybermalveillance.gouv.fr : plus de 504 000 demandes d’assistance en 2025
Par Laurent Delattre, publié le 27 mars 2026
Alors que le Forum InCyber ouvrira ses portes la semaine prochaine, Cybermalveillance.gouv.fr prend les devants et publie un rapport d’activité riche d’enseignements qui éclairent les défis collectifs qui attendent les français, les entreprises et les collectivités en 2026. Petit tour d’horizon…
Le rapport d’activité 2025 du GIP ACYMA dessine le portrait d’une France toujours un peu plus cyberattaquée. Durant l’année écoulée, Cybermalveillance.gouv.fr a enregistré plus de 504 000 demandes d’assistance en ligne, en hausse de 20 %. Et la plateforme a dépassé 5,1 millions de visiteurs uniques. Preuve que la cybermalveillance n’est pas une succession d’incidents ponctuels, mais une pression continue, diffuse et de plus en plus industrialisée sur les systèmes d’information des entreprises françaises et plus simplement sur les français.
Des chiffres qui confirment aussi que Cybermalveillance.gouv.fr a réussi son ancrage comme guichet de référence pour les particuliers, les entreprises et les collectivités. La répartition entre ces trois entités reste relativement stable – 93 % de particuliers, 6 % d’entreprises/associations, 1 % de collectivités – même si les professionnels enregistrent la progression la plus forte : +73 % de demandes d’assistance pour les entreprises et associations, +22 % pour les collectivités, +47% pour les particuliers.
La donnée personnelle, carburant de la chaîne cybercriminelle
Le rapport le dit sans détour : 2025 a encore été « particulièrement marquée par les fuites de données ». C’est le fait majeur de l’année. Les violations massives de données ont alimenté des vagues d’hameçonnage par SMS, courriel ou appel, puis des piratages de comptes, des fraudes au virement et des usurpations d’identité. Fédérations sportives, opérateurs télécoms, services de santé, commerces en ligne, organismes de l’emploi, les fuites ont touché tous les secteurs, exposant les informations de millions de Français.
Ces données volées alimentent un marché souterrain de plus en plus structuré, où les cybercriminels achètent des bases triées et enrichies par croisement de sources, puis les exploitent pour personnaliser leurs attaques. Le rapport relève un nombre croissant de messages d’hameçonnage incluant l’IBAN, le numéro de plaque d’immatriculation ou le numéro client du destinataire, autant d’éléments issus de fuites récentes qui renforcent la crédibilité de l’approche. « Ces fuites de données facilitent la diffusion des menaces avec une plus grande efficacité » rappelle le rapport. Les DSI en tireront une leçon : la donnée personnelle n’est plus seulement un sujet de conformité, c’est aussi un carburant opérationnel pour les attaquants.
Et cette augmentation des fuites de données laisse présagée des temps encore plus difficiles : « La perspective pour 2026 laisse présager de nouveau, des volumes importants d’hameçonnage, de piratages de compte, d’usurpations d’identité ou d’autres tentatives d’arnaques, probablement mieux personnalisées, plus réalistes et plus ciblées ».
Hameçonnage : toujours massif, toujours plus personnalisé
Conséquence logique, l’hameçonnage (ou phishing) reste la menace numéro un tous publics confondus, avec 108 000 demandes d’assistance (+70 %). Un tiers de toutes les sollicitations de particuliers porte sur cette seule menace. Les thématiques sont les mêmes depuis des années : fausse livraison de colis, fausse contravention, fausse commande, fausse alerte au piratage de comptes… Ce qui progresse significativement en revanche, c’est la personnalisation des messages. Et, oui, l’IA y est pour beaucoup dans ce regain de sophistication, même si le rapport note – et c’est un peu étonnant – que « les campagnes malveillantes de masse entièrement pilotées par IA ne sont pas attestées à ce stade ».
Fait notable, une variante estivale a exploité une astuce d’ingénierie sociale pour contourner les protections anti-smishing : un simple SMS « Bonjour, vous êtes chez vous ? » incitait la victime à répondre, ce qui rendait les liens malveillants des messages suivants cliquables.
Autre nouveauté en 2025 : l’hameçonnage aux impayés de péage autoroutier, exploitant le déploiement des péages en flux libre.
Le piratage de compte : menace n°1 pour les professionnels
Avec 41 000 demandes d’assistance (+17 %), le piratage de compte en ligne s’installe en tête pour les entreprises, associations et collectivités. Le piratage de compte devient la première menace, avec 21 % des parcours d’assistance, devant l’hameçonnage à 16 %. La fraude au virement s’installe désormais dans le trio de tête, à 13,5 %, avec une progression de 93 %.
Les comptes Microsoft Office 365 sont particulièrement ciblés, servant de point d’entrée dans les systèmes d’information. Le rapport documente aussi des cas de piratage de comptes Booking.com d’hôtels, de logiciels de facturation, de comptes Meta Business ou encore de comptes Colissimo Entreprise, à chaque fois avec des préjudices pouvant atteindre plusieurs milliers d’euros.
Fraude au virement : l’explosion
La fraude au virement connaît la progression la plus spectaculaire parmi les menaces majeures : +170 % tous publics, +262 % pour les collectivités, +93 % pour les entreprises.
Le mode opératoire classique, qui consiste à pirater la messagerie puis à intercepter des factures pour en modifier le RIB, s’enrichit de nouvelles variantes. L’une d’elles, apparue fin 2025, voit les escrocs ouvrir un compte bancaire au nom de la victime à l’aide d’une identité usurpée, puis tenter un détournement de salaire auprès de l’employeur, une parade au système interbancaire de vérification d’identité mis en place en octobre 2025.
Faux conseiller bancaire : +159 % malgré la sensibilisation
Malgré la médiatisation intensive et les campagnes de prévention des banques, la fraude au faux conseiller bancaire a bondi de 159 % pour atteindre 15 000 demandes d’assistance chez les particuliers. Le rapport souligne l’essor de l’hameçonnage au faux numéro d’opposition bancaire, où ce n’est plus l’escroc qui appelle la victime (cas typique en 2024) mais la victime qui appelle l’escroc via un faux numéro. L’utilisation de WhatsApp, avec affichage du logo de la banque en photo de profil et activation du partage d’écran pour « guider » la victime, est devenue courante.
Rançongiciels : une reprise qui se confirme
Après l’accalmie de 2024, les attaques par rançongiciel repartent à la hausse avec 2 700 demandes d’assistance (+10 %), dont 1 691 pour les seuls professionnels (+7 %). Le ransomware reste ainsi la menace la plus redoutée : il figure au troisième rang pour les collectivités et au quatrième pour les entreprises.
Si des opérations judiciaires internationales ont fragmenté l’écosystème, de nouvelles franchises ont rapidement émergé. Les vecteurs d’attaque restent inchangés : failles sur les accès VPN, RDP, NAS et équipements de bordure.
Trois menaces en forte accélération à surveiller
Le rapport met en lumière trois phénomènes en croissance rapide :
L’usurpation de numéro de téléphone, d’abord, bondit de 517 % et entre dans le top 10 des menaces pour les particuliers malgré les dispositifs réglementaires de la loi Naegelen.
Les escroqueries commerciales ensuite, avec la prolifération de faux sites de commerce promus par publicité ciblée sur les réseaux sociaux (+170 %).
Le cyberharcèlement enfin, qui progresse de 138 % tous publics confondus et s’installe dans les principaux motifs de demande d’assistance, y compris pour les professionnels, avec un nouveau mode opératoire d’extorsion par avis négatifs massifs sur Google.
Il découle de ces chiffres un autre enseignement fort du rapport : la menace se disperse. Les dix principales cybermenaces représentaient encore 92 % des assistances en 2023 ; elles ne pèsent plus que 81 % en 2025. Autrement dit, les attaquants multiplient les variantes, réactivent d’anciens procédés et exploitent mieux les données déjà volées. Cette diffusion complique le travail des DSI et RSSI, car elle impose moins une logique de défense contre un risque unique qu’une capacité de résilience sur toute la chaîne : détection, qualification, confinement, communication, reprise et accompagnement des métiers.
La frontière cyber-physique s’estompe
L’un des constats les plus préoccupants du rapport concerne la convergence croissante entre cybercriminalité et criminalité physique. Des licenciés de la Fédération Française de Tir ont été victimes de tentatives de vol par ruse et effraction après une violation de données. Des détenteurs de cryptomonnaies ont été menacés, agressés, voire séquestrés suite à des fuites de données dans le secteur des crypto-actifs. Le rapport note que certains réseaux criminels recrutent désormais des équipes de terrain pour récupérer des cartes bancaires à domicile ou exercer des pressions physiques.
Une maturité toujours absente
Le rapport insiste aussi sur un angle trop souvent sous-estimé dans les arbitrages budgétaires : la maturité reste fragile. Dans le baromètre consacré aux TPE-PME, 6 entreprises sur 10 disent encore ne pas savoir évaluer les conséquences d’une cyberattaque, et 80 % ne s’estiment pas suffisamment préparées. Dit autrement, l’écart demeure large entre la conscience du risque et la capacité réelle à l’absorber.
Et l’invasion de l’IA dans le quotidien des collaborateurs avec les mauvaises pratiques qui l’accompagne (utilisation des IA gratuites qui utilisent les données échangées pour l’apprentissage, copier/coller d’informations secrètes ou personnelles, shadow AI, etc.) ne fait que compliquer la situation.
Pour les DSI, cela renforce la nécessité d’un travail de fond avec les directions générales, les finances, les RH et les métiers, bien au-delà du seul périmètre technique.
Bien évidemment le rapport revient aussi sur l’organisation, les missions, les multiples actions et la gestion de cybermalveillance.gouv.fr. Il met en avant le déploiement depuis un an du 17Cyber désormais articulé avec les premiers CSIRT territoriaux. Cinq régions ont déjà intégré cette offre d’assistance téléphonique dans le dispositif fin 2025. La cybermalveillance est un sujet de continuité d’activité, de confiance et de coordination nationale. Vincent Strubel, le patron de l’ANSSI, l’inscrit dans l’ambition d’une « résilience cyber collective » et rappelle surtout que « l’État ne pourra pas y faire face seul ». Et Jérôme Notin, directeur général du GIP ACYMA, d’enfoncer le clou : ces attaques « touchent d’autant plus les cibles vulnérables » et justifient d’aller directement au contact des publics, entreprises et collectivités pour les sensibiliser face à la menace.
Plus que jamais, le rapport 2025 est un appel à une mobilisation générale. Il encourage les particuliers à la prudence. Et il invite les entreprises et collectivités à durcir les accès, protéger la donnée, préparer la réponse à incident, mais aussi construire, bien au-delà du seul SI, une culture commune de vigilance et de résilience.
À LIRE AUSSI :
