France

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...

📰 Source : Clubic — Article publié le 29 mars 2026, relatant une annonce faite sur un forum cybercriminel concernant un prétendu piratage d’OVH Cloud. 🎯 Allégation de l’attaquant Un individu disposant du statut d’administrateur sur un forum cybercriminel affirme avoir eu accès à un compte parent d’OVH ainsi qu’à des serveurs. Il revendique : La récupération de 590 To de données La compromission des données de 1,6 million de clients La vente partielle des données à ce jour 🛡️ Réaction d’OVH Aucune confirmation officielle n’a été émise par OVH. Le fondateur Octave Klaba a répondu sur X (ex-Twitter) à une publication relayant l’annonce du forum, indiquant de manière concise que « le sample [échantillon] cité ne se trouve pas dans nos bases », remettant en cause l’authenticité des preuves présentées. ...

📋 Contexte Le Centre national des œuvres universitaires et scolaires (Cnous) a publié le 29 mars 2026 une annonce officielle concernant une exfiltration de données détectée le 23 mars 2026 sur la plateforme mesrdv.etudiant.gouv.fr, utilisée pour la prise de rendez-vous avec les services sociaux et logement des Crous. 🎯 Périmètre de l’incident 774 000 personnes au total sont concernées, issues de rendez-vous pris sur les dix dernières années 139 000 personnes ont subi une exfiltration de pièces jointes déposées dans l’application 635 000 personnes ont subi une exfiltration de données limitées : nom, prénom, adresse mail, objet et date du rendez-vous 🔧 Réponse à l’incident Les accès concernés ont été immédiatement sécurisés dès la détection Une investigation technique approfondie a été lancée L’accès au site est temporairement suspendu Une déclaration a été faite auprès de la CNIL Un dépôt de plainte est en cours Chaque personne concernée sera notifiée individuellement par le Cnous 📌 Type d’article Il s’agit d’une annonce d’incident officielle publiée par l’organisation victime, visant à informer les personnes concernées et le public de la nature, du périmètre et des mesures prises suite à la violation de données. ...

🏢 Contexte Le 20 mars 2026, La Mutuelle Familiale (mutuelle de santé française) a publié sur son site officiel un communiqué informant ses adhérents d’un incident de cybersécurité découvert le 17 mars 2026. 🔴 Impact opérationnel L’incident a provoqué une indisponibilité temporaire de plusieurs services critiques : Remboursements Tiers payant Plateforme téléphonique Espace adhérents Application mobile 🔍 État des investigations Dès la détection, les équipes internes, appuyées par des experts externes en cybersécurité, ont engagé des mesures de confinement et de sécurisation. Les investigations techniques sont toujours en cours au moment de la publication. Les premières analyses ne permettent pas encore d’établir de manière exhaustive la nature des données personnelles potentiellement compromises (adhérents, partenaires, collaborateurs). ...

📰 Contexte Source : France 3 Régions, publié le 24 mars 2026. Le ministère de l’Éducation nationale français a communiqué le 23 mars 2026 sur un incident de sécurité ayant compromis les données personnelles de 243 000 agents, essentiellement des enseignants. 🎯 Cible et données compromises L’attaque a ciblé Compas, un logiciel de ressources humaines du ministère dédié à la gestion des stagiaires du premier et second degré. Les données exfiltrées comprennent : ...

🏥 Contexte Publié le 12 mars 2026 sur le site de l’Agence du Numérique en Santé (ANS), ce communiqué de presse présente les résultats de la première enquête nationale sur la cybersécurité des établissements de santé, réalisée en 2025 par le cabinet Occurrence (groupe IFOP) auprès de 719 directeurs d’établissements de santé. L’étude a été présentée lors des premières Rencontres de l’ANS à PariSanté Campus. 📊 Principaux enseignements de l’enquête 86% des directions générales s’impliquent dans les exercices de crise cyber (2023/2024) 72% des directeurs déclarent intervenir personnellement dans l’élaboration du plan de prévention des risques cyber En cas de cyberattaque, les impacts prioritaires identifiés sont : continuité des soins (4,1/5), coût financier (3,9/5), qualité de vie au travail (3,8/5) 9 directeurs sur 10 plébiscitent la mutualisation des expertises entre établissements d’un même territoire 42% des directeurs estiment que leur budget ne permet pas d’élaborer un plan de prévention cyber au bon niveau ⚠️ Données sur la menace 764 incidents cyber déclarés en 2025 dans les établissements de santé français, confirmant un niveau de menace élevé et persistant sur ce secteur. ...

🏉 Contexte Le 17 mars 2026, la Fédération Française de Rugby (FFR) a publié un communiqué officiel sur son site pour informer ses licenciés d’un incident de sécurité informatique détecté en amont de cette date. 🎣 Nature de l’attaque Les investigations techniques menées par la FFR indiquent que l’incident résulte d’une campagne de phishing (usurpation d’identité numérique) ciblant les populations licenciées de la fédération. Il est explicitement précisé qu’il ne s’agit pas d’une intrusion directe dans les bases de données centrales, lesquelles ne sont pas compromises. ...

🗓️ Contexte Article publié le 20 mars 2026 par France Info (Corentin Alloune / France Télévisions), relayant une révélation du quotidien Le Monde datée du 19 mars 2026. 📍 Incident Le porte-avions Charles-de-Gaulle, déployé en mer Méditerranée dans le contexte de tensions entre les États-Unis, Israël et l’Iran, a été localisé au large de Chypre (à environ 100 km des côtes turques) le vendredi 13 mars 2026. La localisation a été rendue possible par les données publiées sur Strava par un jeune officier de la Marine nationale, qui y avait enregistré un footing de plus de 7 km en 37 minutes et 20 secondes effectué sur le pont du navire. Ces données étaient accessibles publiquement à tout utilisateur de la plateforme. ...

Le Centre de Coordination des Crises Cyber (C4) publie une note d’alerte signalant une hausse d’attaques visant les messageries instantanées, en particulier Signal (et aussi WhatsApp), contre des personnalités politiques et cadres de l’administration, notamment des secteurs régaliens. Les attaques reposent sur de la fraude à l’identité et le détournement de fonctionnalités légitimes (association d’appareils, transfert de compte), permettant l’accès à l’historique des conversations, au carnet d’adresses, l’usurpation d’identité pour envoyer des messages, et des usages de désinformation/manipulation dans des contextes d’ingérence étrangère. ...

Source et contexte: ANSSI — Le « Panorama de la cybermenace 2025 » (publication ANSSI) présente les tendances observées en France et en Europe : menaces persistantes, brouillage entre acteurs étatiques et cybercriminels, et forte pression sur secteurs publics et privés. Niveau de menace et secteurs touchés. En 2025, 3 586 événements de sécurité traités (−18% vs 2024) dont 1 366 incidents (stable). Quatre secteurs concentrent 76% des incidents: éducation & recherche (34%), ministères & collectivités (24%), santé (10%), télécoms (9%). Les frontières entre acteurs étatiques et cybercriminels s’érodent, complexifiant l’imputation et la détection. ...