📋 Contexte

Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ».

🎯 Ciblage et motivations

  • Les attaques opportunistes restent largement majoritaires (83% des cas déterminés)
  • Les attaques ciblées ne représentent que 17% de l’échantillon
  • La motivation financière domine (72% des attaques)
  • Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation
  • Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%)

🦠 Outils et techniques

  • Près d’une attaque outillée sur trois utilise un rançongiciel
  • Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser)
  • La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025
  • Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware
  • 34% des systèmes ciblés sont des environnements Microsoft

💥 Rançongiciels — focus

  • 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023
  • Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS)
  • Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025
  • Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024
  • 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI
  • Les PME sont les plus touchées proportionnellement
  • Double levier de négociation : chiffrement du SI + chantage à la fuite de données

🕵️ Infostealers — focus

  • Hausse importante des incidents impliquant des infostealers en 2025
  • Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel
  • Dans 1 cas sur 3, combinés avec des backdoors ou RATs
  • Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%)
  • Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs

🌐 Attaques non-lucratives — focus

  • Échantillon de 44 incidents à motivation non-lucrative
  • Majorité liée à l’espionnage et au pré-positionnement
  • Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques)
  • Les infostealers sont majoritairement utilisés à des fins de pré-positionnement
  • Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives

📊 Type d’article

Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Qilin (cybercriminal)
  • LockBit (cybercriminal)
  • Akira (cybercriminal)

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1566 — Phishing (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1498 — Network Denial of Service (Impact)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

Malware / Outils

  • Qilin (ransomware)
  • LockBit (ransomware)
  • Akira (ransomware)
  • ClickFix (other)
  • EpiBrowser (other)
  • Infostealer (stealer)
  • Remote Access Trojan (rat)
  • Backdoor (backdoor)
  • Webshell (other)
  • LOLBin (tool)
  • Cryptolocker (ransomware)
  • Keylogger (other)
  • Downloader/Dropper (loader)
  • Spyware (other)
  • Worm (other)
  • Rogue Software (other)

🔗 Source originale : https://www.intercert-france.fr/publications/etude-analyse-menace/2025-etude-incidentologie-vue-des-cert/