Le rapport d’incidentologie 2026 d’InterCERT France dresse un constat net : les cyberattaques ne relèvent plus de l’accident isolé. Elles sont devenues une pression continue sur les entreprises françaises, avec des méthodes souvent connues, mais toujours efficaces.

Une étude sortie voilà quelques semaines mérite un détour. L’étude s’appuie sur 366 incidents cyber recensés en 2025 par 66 CERT français. L’échantillon montre une hausse du nombre d’incidents documentés par rapport au précédent rapport. Cette progression ne signifie pas forcément une explosion mécanique de la menace, mais plutôt une meilleure remontée des informations par les équipes de réponse à incident.

Un point ressort clairement : les attaques opportunistes restent majoritaires. Les cybercriminels cherchent d’abord les failles simples, les accès exposés, les identifiants déjà compromis et les systèmes mal protégés. L’objectif principal reste financier. Mais le rapport souligne aussi la présence persistante d’attaques non lucratives, liées à l’espionnage, au pré-positionnement, à l’influence ou à la déstabilisation.

Les identifiants au cœur de la menace

Le rapport met en avant une tendance devenue centrale : l’exploitation de comptes légitimes. Les attaquants cherchent moins à « casser la porte » qu’à entrer avec la bonne clé. Comptes utilisateurs, messageries, comptes administrateurs ou comptes de service deviennent des cibles prioritaires.

Cette évolution explique la place prise par les infostealers, ces logiciels malveillants conçus pour voler discrètement des mots de passe, cookies de session, jetons d’accès ou autres secrets d’authentification. En 2025, leur usage augmente fortement dans les incidents observés.

Leur rôle ne se limite plus au vol de données. Dans plusieurs cas, ils servent de première étape avant une attaque plus lourde. Le rapport indique que les infostealers sont associés à des fuites ou pertes de données dans une part importante des incidents, mais aussi à des arrêts d’activité et à des campagnes de phishing ultérieures. Autrement dit : un poste infecté aujourd’hui peut devenir le point de départ d’une crise majeure demain.

Les grandes entreprises sont particulièrement exposées aux compromissions de comptes, en raison du volume d’identités à gérer et de la complexité des droits. Mais les PME restent des cibles très attractives, notamment lorsqu’elles servent de passerelles vers d’autres organisations.

Rançongiciel : moins de bruit, toujours autant de casse

Le rançongiciel reste l’un des phénomènes les plus destructeurs. Le rapport rappelle que les attaques par ransomware ne se limitent plus au chiffrement des données. L’exfiltration est devenue un levier de pression majeur : les attaquants volent, menacent de publier, puis chiffrent.

Selon les données citées dans le rapport, l’OFAC recense 266 attaques par rançongiciel en 2025, en baisse par rapport à 2024 et 2023. Cette diminution ne doit pas faire baisser la garde. Les attaques restantes sont souvent mieux préparées, plus ciblées dans leurs effets et plus difficiles à traiter.

Les PME apparaissent comme des victimes privilégiées. Elles offrent un bon rapport coût/bénéfice pour les groupes cybercriminels : des moyens de défense souvent plus limités que ceux des grands groupes, mais des enjeux financiers et opérationnels suffisamment importants pour rendre l’extorsion rentable.

Le rapport souligne un chiffre lourd : dans 85 % des incidents avec rançongiciel, une reconstruction partielle ou totale du système d’information est nécessaire. Cela confirme que le ransomware n’est pas seulement un problème de chiffrement. C’est une crise d’exploitation, de continuité d’activité, de communication, de juridique et de confiance.

Les bons réflexes : identité, logs, EDR, sauvegardes

Les recommandations d’InterCERT France vont droit au but. La première priorité est la sécurisation des identités. L’authentification multifacteur doit être généralisée, les privilèges limités au strict nécessaire et les comportements anormaux surveillés.

Deuxième pilier : la détection. L’EDR reste présenté comme un outil de première ligne, à condition d’être largement déployé et connecté aux autres sources de logs. L’enjeu n’est pas seulement de bloquer une attaque, mais aussi de comprendre ce qui s’est passé après l’incident.

Troisième axe : séparer strictement les usages personnels et professionnels. L’utilisation de comptes professionnels sur des services personnels, la réutilisation de mots de passe ou l’usage d’appareils personnels dans un contexte professionnel augmentent fortement le risque de compromission.

Enfin, les sauvegardes restent vitales. Elles doivent être fiables, testées, isolées et suffisamment récentes pour permettre une reconstruction sans dépendre des cybercriminels. Dans les attaques modernes, elles servent aussi à comparer les données réellement compromises avec les revendications des attaquants.

Le message du rapport est limpide : la cyberrésilience ne peut plus être un slogan. Elle doit devenir une méthode. Inventaire des actifs, MFA, moindre privilège, logs exploitables, EDR, sauvegardes testées, formation continue. Rien de spectaculaire. Juste les fondamentaux. Mais en cybersécurité, ce sont souvent les fondamentaux oubliés qui coûtent le plus cher.