Publié le 11 mars 2026, le Panorama de la cybermenace 2025 constitue l’analyse annuelle de l’Anssi sur l’état de la cybersécurité en France. Le rapport examine les incidents signalés à l’agence et les opérations de réponse à incident menées au cours de l’année précédente. Selon l’agence, 3 586 événements de sécurité ont été traités en 2025, soit une baisse d’environ 18 % par rapport à 2024. Toutefois, cette baisse ne traduit pas un recul de la menace elle-même.
Une menace cyber persistante qui plane sur la France selon l’Anssi
Le nombre d’incidents confirmés reste en effet stable. L’Anssi indique avoir traité 1 366 incidents de sécurité en 2025, contre 1 361 en 2024, 1 112 en 2023 et 831 en 2022, selon le Panorama de la cybermenace 2025. Cette stabilité illustre la persistance d’une pression élevée sur les systèmes d’information français. Le rapport souligne ainsi que « la menace d’attaque par rançongiciel pèse toujours fortement sur les organisations ».
L’agence observe également que certains secteurs concentrent l’essentiel des attaques. Quatre secteurs représentent 76 % des incidents recensés en 2025, selon le rapport : l’éducation et la recherche (34 %), les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %).
Les rançongiciels restent une menace majeure
Les attaques par rançongiciel continuent de représenter l’un des principaux risques cyber en France. En 2025, l’Anssi a recensé 128 compromissions liées à des rançongiciels, contre 141 en 2024, selon le Panorama de la cybermenace 2025. Même si ce chiffre marque une légère baisse, l’agence souligne que ces attaques restent particulièrement déstabilisantes pour les organisations. Les intrusions peuvent conduire à l’arrêt complet de l’activité, à la perte de données et à des perturbations prolongées.
Certaines catégories d’organisations sont particulièrement touchées. Les PME, TPE et entreprises de taille intermédiaire représentent 48 % des victimes de rançongiciels recensées par l’Anssi en 2025. Les collectivités territoriales et les établissements publics restent également exposés. Le rapport indique que 11 % des victimes sont des collectivités territoriales, tandis que 8 % concernent des établissements de santé.
Par ailleurs, l’extorsion de données devient un levier de plus en plus fréquent pour les attaquants. L’Anssi indique avoir été informée de 196 incidents impliquant l’exfiltration de données en 2025, contre 130 en 2024. Toutefois, toutes les revendications publiées par les cybercriminels ne correspondent pas à des intrusions confirmées. L’agence précise avoir pu confirmer seulement 80 revendications d’attaques parmi celles portées à sa connaissance.
L’exploitation des vulnérabilités au cœur du risque cyber
Le rapport souligne que l’exploitation de vulnérabilités constitue aujourd’hui l’un des principaux vecteurs d’attaque.
Les cybercriminels ciblent en particulier les équipements exposés sur Internet, comme les pare-feux, les solutions VPN ou les systèmes d’accès distant. Lorsque ces équipements présentent des failles non corrigées, ils deviennent des points d’entrée privilégiés pour les intrusions.
L’Anssi rappelle que près de 29 % des vulnérabilités exploitées en 2025 l’ont été le jour même de leur publication ou avant celle-ci, selon le Panorama de la cybermenace 2025. Le rapport souligne également qu’environ 8 % des vulnérabilités sont exploitées avant même la publication d’un correctif, ce qui complique considérablement la protection des organisations. Autre donnée révélatrice : plus de 6 200 actifs en France restaient encore vulnérables fin 2025 à certaines failles exploitées depuis 2023 ou 2024.
Ces chiffres montrent que le problème ne réside pas seulement dans la découverte de nouvelles vulnérabilités. La lenteur dans l’application des correctifs constitue aussi un facteur majeur de risque. Le rapport cite notamment un cas d’intrusion dans lequel un attaquant a exploité plusieurs vulnérabilités sur un équipement de sécurité avant de corriger lui-même les failles afin de masquer son intrusion.
Des attaques sophistiquées visant les infrastructures numériques
Le Panorama de la cybermenace 2025 détaille également plusieurs exemples d’attaques observées par l’Anssi.
L’agence mentionne notamment des campagnes d’attaques visant les équipements VPN Ivanti Connect Secure, exploités via les vulnérabilités CVE-2025-0282 et CVE-2025-0283. Dans plusieurs cas, les attaquants ont pu se déplacer latéralement dans les systèmes d’information après avoir compromis ces équipements.
Certaines attaques ont également ciblé des solutions largement utilisées dans les organisations. Le rapport évoque par exemple plusieurs vulnérabilités affectant Microsoft SharePoint, exploitées à grande échelle en 2025.
Selon l’Anssi, certaines de ces failles ont été exploitées avant même la publication publique des vulnérabilités, ce qui illustre la capacité d’anticipation de certains attaquants.
Le rapport souligne également l’augmentation des incidents liés aux environnements cloud. L’agence cite notamment un cas survenu en octobre 2025, dans lequel une attaque par rançongiciel a chiffré des ressources d’une solution logicielle française hébergée dans le cloud.
Dans un autre incident, survenu en juillet 2025, la compromission d’une infrastructure cloud d’une organisation française d’importance étatique a provoqué une indisponibilité temporaire de services numériques pour des clients professionnels et des services grand public.
Enfin, l’agence indique avoir observé le déploiement de cryptomineurs dans des ressources cloud d’une entité publique en juin 2025, démontrant que ces infrastructures peuvent également être utilisées pour des opérations de détournement de puissance de calcul.
