InterCERT France 2026 : rapport d'incidentologie sur 366 incidents cyber recensés en 2025
đ Contexte PubliĂ© en avril 2026 par InterCERT France (communautĂ© de plus de 130 CERT français), ce rapport dâincidentologie analyse 366 incidents de sĂ©curitĂ© documentĂ©s en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport Ă 2024. LâĂ©tude a Ă©tĂ© conduite avec lâappui de Wavestone via lâoutil « Le Sphinx ». đŻ Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas dĂ©terminĂ©s) Les attaques ciblĂ©es ne reprĂ©sentent que 17% de lâĂ©chantillon La motivation financiĂšre domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblĂ©es par des attaques dâespionnage, dâinfluence et de dĂ©stabilisation Les 3 secteurs les plus touchĂ©s : santĂ©/action sociale (+515% vs 2024), industrie manufacturiĂšre (+34%), administration publique (+45%) đŠ Outils et techniques PrĂšs dâune attaque outillĂ©e sur trois utilise un rançongiciel Les infostealers constituent le deuxiĂšme type dâoutil le plus utilisĂ©, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observĂ©e : exploitation de comptes lĂ©gitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisĂ©s pour Ă©tablir une persistance avant dĂ©ploiement de ransomware 34% des systĂšmes ciblĂ©s sont des environnements Microsoft đ„ Rançongiciels â focus 266 attaques recensĂ©es par lâOFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre lâacadĂ©mie dâAmiens (10 octobre 2025), touchant 80% des lycĂ©es publics des Hauts-de-France et vol de plus d'1 To de donnĂ©es ; lâANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santĂ© est le plus touchĂ©, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nĂ©cessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchĂ©es proportionnellement Double levier de nĂ©gociation : chiffrement du SI + chantage Ă la fuite de donnĂ©es đ”ïž Infostealers â focus Hausse importante des incidents impliquant des infostealers en 2025 UtilisĂ©s dans 13% des cas en amont de lâexĂ©cution dâun rançongiciel Dans 1 cas sur 3, combinĂ©s avec des backdoors ou RATs Impacts principaux : fuite/vol de donnĂ©es (36%), arrĂȘts dâactivitĂ© (18%), campagnes de phishing ultĂ©rieures (13%) Actifs les plus touchĂ©s : comptes utilisateurs, comptes de messagerie, postes utilisateurs đ Attaques non-lucratives â focus Ăchantillon de 44 incidents Ă motivation non-lucrative MajoritĂ© liĂ©e Ă lâespionnage et au prĂ©-positionnement Les attaques de dĂ©stabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisĂ©s Ă des fins de prĂ©-positionnement Les grandes entreprises sont les plus touchĂ©es par tous types dâattaques non-lucratives đ Type dâarticle Il sâagit dâun rapport statistique dâincidentologie Ă visĂ©e opĂ©rationnelle et dĂ©cisionnelle, produit par une communautĂ© nationale de CERT. Son but principal est de prĂ©senter les tendances de la menace cyber en France en 2025 Ă partir de donnĂ©es terrain dĂ©claratives, et de fournir des Ă©lĂ©ments comparatifs avec lâannĂ©e 2024. ...