Une urgence ?

07 87 70 44 63‬

Démo

Cyberattaque France : Le bilan complet de l’année 2025

Photo de profil de l'auteur Mohamed
22/12/2025
13 min de lecture

Sommaire

Besoin d’un audit de cybersécurité ?

Vous voulez savoir où en est vraiment la sécurité de votre système d’information ?

Planifier un Pentest
L’essentiel à retenir : en 2025, la cybermenace délaisse l’attaque frontale pour infiltrer la chaîne d’approvisionnement, transformant les prestataires de confiance en chevaux de Troie. Ce contournement vise désormais la constitution de « kits d’identité » complets par croisement de données, rendant l’usurpation redoutable. La protection efficace ne s’arrête plus aux frontières de l’organisation mais englobe tout son écosystème.

Face à une cyberattaque en France devenue systémique en 2025, la question n’est plus de savoir si vous êtes ciblé, mais quelles parties de votre vie numérique sont déjà compromises. Ce bilan détaille les assauts spectaculaires contre Free ou Viamedis pour illustrer comment les pirates exploitent désormais nos prestataires tiers comme de véritables chevaux de Troie. Vous découvrirez ici la réalité inquiétante derrière ces chiffres : la constitution méthodique de profils complets par les attaquants, rendant l’usurpation d’i

Face à une cyberattaque en France devenue systémique en 2025, la question n’est plus de savoir si vous êtes ciblé, mais quelles parties de votre vie numérique sont déjà compromises. Ce bilan détaille les assauts spectaculaires contre Free ou Viamedis pour illustrer comment les pirates exploitent désormais nos prestataires tiers comme de véritables chevaux de Troie. Vous découvrirez ici la réalité inquiétante derrière ces chiffres : la constitution méthodique de profils complets par les attaquants, rendant l’usurpation d’identité plus accessible et dévastatrice que jamais.

  1. La chaîne d’approvisionnement : le talon d’Achille de la cybersécurité française en 2025
  2. Ransomware, fuites et comptes volés : les trois plaies de l’année
  3. L’avènement du « kit d’identité » numérique : le vrai butin des pirates
  4. L’état, les services publics, les entreprises : personne n’est à l’abri

La chaîne d’approvisionnement : le talon d’Achille de la cybersécurité française en 2025

Quand le danger vient de l’extérieur

Imaginez votre système comme une forteresse : les murs sont épais, mais le garde laisse entrer le boulanger sans fouille. C’est le principe de l’attaque par la chaîne d’approvisionnement. Le pirate ne force plus la porte blindée ; il passe par l’entrée de service, caché chez un fournisseur de confiance devenu cheval de Troie.

Regardez le Ministère des Sports en décembre. La cible n’était pas le ministère, mais une plateforme tierce de gestion de licences. Résultat : des millions de données sensibles exposées par ricochet, piégeant des adhérents qui se croyaient protégés.

Même scénario pour France Travail en juillet 2025. Les pirates ont frappé via le partenaire Kairos, touchant 340 000 chômeurs sans jamais avoir besoin d’effleurer le cœur du réacteur de l’organisme.

Des prestataires sous-protégés, des conséquences en cascade

Pourquoi s’épuiser sur une porte blindée quand la fenêtre du voisin est ouverte ? Les attaquants visent le maillon faible. Votre sous-traitant ou ce petit logiciel tiers moins sécurisé devient leur point d’entrée royal pour contourner vos défenses les plus coûteuses.

La Fédération Française de Football (FFF) en a fait les frais en novembre, piratée via un prestataire vulnérable. Idem pour Cdiscount le 22 novembre, dont les données ont fuité à cause d’un probable partenaire logistique défaillant.

La réalité est brutale : votre sécurité s’aligne désormais strictement sur celle de votre partenaire le moins vigilant.

L’illusion de la sécurité interne

Vous pensez être à l’abri car vos serveurs sont verrouillés ? C’est une illusion face à la cyberattaque moderne. Beaucoup vivent dans cette fausse quiétude, ignorant que leur périmètre de défense s’étend désormais chez des dizaines de tiers incontrôlables.

On audite nos propres machines, mais la menace exploite un accès légitime offert à un partenaire. C’est ce changement de paradigme que les décideurs refusent de voir, laissant la porte grande ouverte.

Ransomware, fuites et comptes volés : les trois plaies de l’année

Le ransomware : la prise d’otage numérique

Le ransomware ne se contente pas de voler, il fige tout. Imaginez une entreprise dont les portes se verrouillent soudainement de l’intérieur, bloquant l’accès aux outils de travail. L’objectif est brutal : paralyser totalement l’activité pour forcer le paiement d’une rançon immédiate.

Regardez l’Hôpital Stell : retour forcé au papier et soins ralentis faute d’informatique. Même scénario pour Truffaut perturbé en magasin, ou encore OGI Groupe, dont l’activité a été lourdement freinée. Plus symbolique encore, le Grand Palais a été frappé en pleins Jeux Olympiques.

Face à ce chaos, la réaction initiale est déterminante pour la survie de la structure. Vous devez absolument savoir comment réagir dans les 60 premières minutes pour limiter la casse.

Le « credential stuffing » : vos mots de passe utilisés contre vous

Ici, pas d’effraction complexe. Le credential stuffing, c’est comme un voleur qui ramasse une clé dans la rue et la teste sur toutes les serrures du quartier. Les pirates exploitent simplement le fait que nous réutilisons souvent les mêmes mots de passe partout.

C’est cette méthode basique qui a touché Kiabi ou encore Picard Surgelés pour piller des points fidélité. France Travail en a aussi fait les frais lors de sa troisième attaque. Simple, mais terriblement efficace contre des utilisateurs négligents.

Le credential stuffing est la preuve que notre plus grande faiblesse n’est pas la technologie, mais l’humain. Les pirates n’ont plus besoin de forcer la porte, ils utilisent la clé que nous laissons sous le paillasson.

Fuites de données massives : l’hémorragie continue

Enfin, il y a l’exfiltration pure et dure. Une cyberattaque france en 2025 finit souvent par la vente de bases de données complètes sur le dark web, exposant la vie privée de millions de citoyens.

L’incident Free Mobile reste le cauchemar de l’année avec ses millions d’IBANs dans la nature. Ajoutez à cela les fuites massives chez Cultura, Boulanger et la récidive chez SFR, et vous obtenez une année noire pour la confidentialité.

Entité Ciblée Type d’Attaque Impact Principal
Free Mobile Accès illégitime / Fuite de données Données personnelles et bancaires de millions de clients exposées.
Viamedis / Almerys Vol d’identifiants (via tiers payant) Données de santé (numéro de Sécu) de 33 millions de Français touchées.
Hôpital Stell Ransomware Paralysie des soins et retour aux méthodes papier.
FFF (Fédération Française de Football) Ransomware / Supply Chain Vol de scans de licences et d’identités de licenciés.

L’avènement du « kit d’identité » numérique : le vrai butin des pirates

Mais toutes ces données volées ne restent pas isolées. Les attaquants les assemblent pour un objectif bien plus inquiétant : la création de profils complets.

De la donnée brute à l’usurpation d’identité

Oubliez la simple brèche isolée. Le véritable danger de 2025 réside dans l’agrégation méthodique des données. Les pirates ne se contentent plus d’une seule fuite ; ils croisent les informations issues de plusieurs brèches pour reconstituer un puzzle effrayant.

C’est un véritable cocktail toxique. La fuite Viamedis/Almerys fournit le numéro de Sécu, celle de Free Mobile livre l’IBAN et le contact, tandis que France Travail complète avec l’historique professionnel. Le résultat est un profil citoyen quasi complet.

Pourquoi ce puzzle de données est si dangereux

La valeur de ces données combinées devient exponentielle. Elles rendent les tentatives d’arnaque et d’usurpation d’identité extrêmement crédibles, presque impossibles à déceler pour les victimes ou les institutions bancaires.

Sur le marché noir, ces informations permettent de contourner les sécurités classiques. Un « kit d’identité » prêt à l’emploi contient typiquement :

  • Des informations d’état civil complètes (nom, adresse, date de naissance).
  • Des données de santé et sociales (numéro de sécurité sociale).
  • Des coordonnées bancaires validées (IBAN).
  • Des identifiants de connexion réutilisables (e-mails, mots de passe).

Le citoyen, produit final de la cybercriminalité

Prenons un peu de recul pour comprendre l’enjeu. Le modèle économique a muté : la marchandise n’est plus une base de données, mais une identité numérique fonctionnelle, prête à l’emploi. Chaque cyberattaque en France alimente cette industrie de l’humain numérisé.

Cette industrialisation de la fraude transforme chaque citoyen en un actif financier pour les réseaux mafieux :

« En 2025, le produit le plus rentable du dark web n’était plus une carte de crédit volée, mais une identité complète. Un ‘kit’ qui permet de devenir vous, numériquement, pour commettre des fraudes. »

L’état, les services publics, les entreprises : personne n’est à l’abri

Les méthodes sont claires et le but est l’usurpation d’identité, mais qui sont les cibles ? La réponse de 2025 est simple : absolument tout le monde.

Les institutions régaliennes en première ligne

On imagine souvent l’État comme une forteresse imprenable. Pourtant, décembre a prouvé le contraire quand le Ministère de l’Intérieur a vu les données de ses agents fuiter via un tiers. C’est une brèche symbolique terrible pour l’autorité publique.

Le désordre s’est propagé jusqu’aux territoires. Une vague coordonnée d’attaques DDoS a paralysé les sites de plus de 20 grandes mairies, de Lyon à Marseille. L’intention est claire : saboter la relation de confiance locale.

Cette fragilité administrative est alarmante, un nombre de ces entités publiques étant désormais encadrées par la directive NIS2. Hélas, la conformité réglementaire ne suffit pas toujours à stopper des assaillants déterminés.

Quand les services du quotidien sont paralysés

Vous voyez le problème ? Ça touche votre vie réelle. Le piratage de Viamedis/Almerys a exposé la santé de 33 millions de personnes, tandis que La Poste voyait 50 000 comptes partir dans la nature. C’est votre intimité qui est vendue au plus offrant.

Parfois, l’objectif est juste de tout casser. Regardez l’attaque DDoS contre l’Aéroport de Clermont-Ferrand. Pas de vol de données, juste un écran noir. Ce type de cyberattaque en France vise à créer un climat d’insécurité permanent sur nos infrastructures.

Du luxe à l’industrie stratégique : des cibles de grande valeur

Les criminels visent aussi le haut du panier. En s’attaquant à Dior ou Culinary Jet Concierge, ils cherchent des leviers de chantage sur des VIP. Ils ne veulent pas juste des données, ils veulent des moyens de pression.

Plus effrayant, c’est le pillage technologique. Le cas d’Assystem dans le nucléaire montre que notre savoir-faire est menacé. Pour ces industries, un audit de cybersécurité n’est pas une option, c’est une nécessité vitale.

En 2025, la cybersécurité ne se joue plus seulement derrière des pare-feux, mais dans la confiance accordée à chaque partenaire. Face à l’assemblage redoutable de nos données en « kits d’identité », la vigilance doit devenir un réflexe quotidien. La forteresse imprenable est une illusion : seule une défense active et collective permettra de verrouiller durablement nos portes.

FAQ

Quels sont les signes qui doivent vous alerter d’une cyberattaque ?

Imaginez votre système informatique comme le moteur d’une voiture : s’il commence à tousser ou à caler sans raison, c’est suspect. Concrètement, un ralentissement soudain du réseau, comme celui vécu par le groupe OGI en décembre, ou une impossibilité d’accéder à vos fichiers (signe classique d’un ransomware) sont des alertes rouges immédiates. L’apparition de fenêtres pop-up inhabituelles ou une activité disque intense alors que vous ne faites rien doivent également vous mettre la puce à l’oreille.

Parfois, le signe est malheureusement externe. Dans les cas de fuites de données silencieuses, comme celle du Ministère de l’Intérieur ou de SFR, vous ne vous en apercevez que lorsque vos informations sont mises en vente sur le dark web ou que vous recevez une notification officielle. C’est pourquoi la surveillance active de vos systèmes est aussi cruciale que de fermer sa porte à clé.

Quelles ont été les cyberattaques les plus marquantes en France en 2025 ?

L’année 2025 restera gravée comme celle des records et de la fragilité des sous-traitants. L’attaque la plus massive concerne sans doute le vol de données chez Free Mobile en octobre, touchant 19 millions de clients et exposant 5 millions d’IBANs. Dans le secteur de la santé, la double attaque Viamedis / Almerys en février a compromis les données de sécurité sociale de 33 millions de Français, créant un précédent historique.

Mais 2025 est aussi l’année des attaques par « ricochet » via la chaîne d’approvisionnement (Supply Chain). Des entités comme le Ministère des Sports, la Fédération Française de Football (FFF) ou encore France Travail n’ont pas été piratées frontalement, mais via leurs prestataires de confiance. Ces incidents montrent que même les forteresses les mieux gardées tombent si le fournisseur qui possède les clés de service est vulnérable.

Qui faut-il contacter en urgence si vous êtes victime d’une cyberattaque ?

Si l’incendie numérique se déclare, votre premier réflexe doit être de vous tourner vers la plateforme gouvernementale Cybermalveillance.gouv.fr. Elle agit comme un centre de triage pour vous orienter vers les bonnes démarches et des prestataires labellisés capables de stopper l’hémorragie. Pour les particuliers comme pour les entreprises, le dépôt de plainte auprès de la police ou de la gendarmerie est une étape indispensable pour faire valoir vos droits.

Pour les professionnels, une obligation légale s’ajoute : vous devez notifier la CNIL (Commission Nationale de l’Informatique et des Libertés) dans les 72 heures si des données personnelles sont touchées. C’est ce qu’ont dû faire des entreprises comme Cdiscount ou Boulanger suite aux fuites de novembre et septembre. Cette transparence est cruciale pour protéger les personnes dont les données ont été exposées.

Quelles sont les grandes phases d’une cyberattaque moderne ?

Une cyberattaque se déroule souvent comme un cambriolage en quatre actes. La première phase est la reconnaissance : les pirates cherchent la faille, souvent en ciblant un partenaire moins sécurisé (comme dans le cas de Cdiscount). Vient ensuite l’intrusion, où ils pénètrent le système, parfois simplement en utilisant des mots de passe volés (credential stuffing), une méthode qui a frappé Kiabi et Picard Surgelés cette année.

Une fois à l’intérieur, c’est la phase d’élévation de privilèges et de mouvement latéral : l’attaquant explore le réseau pour trouver les données les plus précieuses sans se faire repérer. Enfin, la dernière phase est l’action sur l’objectif : soit l’exfiltration des données pour les revendre, soit le chiffrement brutal via un ransomware pour paralyser l’activité, comme l’ont subi l’Hôpital Stell ou les boutiques du Grand Palais.

Partager cet article

Pour aller plus loin

Parcourez nos autres articles pour mieux comprendre les enjeux, méthodes et bonnes pratiques de tests d’intrusion.

airplane-captain-throttling-engine-takeoff-fly-jet-cockpit-flying-plane-using-dashboard-command-control-panel-buttons-looking-windscreen-radar-compass-taking-off-close-up
Photo de profil de l'auteur Mohamed
30/01/2026
10 min

Test résilience offensive : Votre PRA est une fiction

L’essentiel à retenir : un Plan de Reprise d’Activité administratif s’effondre face à la violence d’un ransomware. Pour éviter la faillite, seule la simulation offensive valide la capacité réelle de redémarrer l’usine en quatre heures. Cette épreuve de vérité est indispensable quand l’inaction coûte jusqu’à 510 000 euros par heure d’arrêt aux grandes entreprises.
assortment-chess-pieces-with-dramatic-scenery
Photo de profil de l'auteur Mohamed
30/01/2026
10 min

Pentest obligatoire 2026 : La charge de la preuve s’inverse

Ce qu’il faut retenir : Dès 2026, la simple protection périmétrique devient juridiquement obsolète face aux directives NIS 2 et DORA. Le test d’intrusion s’impose comme le seul mécanisme de preuve opposable pour valider la sécurité réelle. Sans cet audit offensif, la responsabilité pénale du dirigeant est engagée pour négligence, risquant des amendes jusqu’à 4 % du chiffre d’affaires mondial.
medication-dark-environment
Photo de profil de l'auteur Mohamed
28/01/2026
9 min

Cybersécurité en pharmacie : Blindez votre officine

L’essentiel à retenir : Avec une valeur de 8 euros par dossier sur le darkweb, les données de santé transforment l’officine en cible financière prioritaire. La conformité NIS2 et RGPD dépasse la simple obligation légale pour devenir un impératif de survie économique face aux cyberattaques. Sécuriser l’infrastructure par des sauvegardes déconnectées constitue l’unique rempart fiable contre la paralysie totale de l’activité.
Démo