Cybermenaces : risque élevé, systémique et soutenu
Panorama de la cybermenace 2025 de l’ANSSI : quels enseignements pour les PME ?
Chaque année, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie le Panorama de la cybermenace, qui analyse les principales tendances observées à partir des incidents traités et portés à sa connaissance.
Le constat de l’édition 2025 est clair : « le niveau de cybermenace reste élevé, n’épargne personne et est le fait d’attaquants toujours plus difficiles à suivre ».
L’ANSSI décrit une menace « systémique », c’est à dire qui touche désormais l’ensemble du tissu économique et social, et plus seulement quelques organisations ciblées.
De plus, les cybermenaces s’inscrivent dans une tendance qui s’installe.
Le rapport indique aussi que les attaques sont souvent opportunistes.
C’est à dire que les cybercriminels ciblent de nombreuses organisations sans distinction de secteur, même si l’éducation et la santé figurent parmi les secteurs les plus touchés en 2025.
Comme le rapport est dense et technique, nous proposons dans cet article une lecture claire et sans jargon.
Nous mettons en lumière six tendances clés ayant un impact direct sur les PME.
Puis, nous présentons des pistes concrètes pour anticiper et réagir.
Les évolutions de la cybermenace qui concernent directement les PME
1. Les PME restent les premières victimes des rançongiciels
Le rançongiciel (attaque avec demande de rançon) demeure une menace majeure selon le rapport.
Depuis 2021, les PME sont systématiquement la catégorie la plus touchée par les rançongiciels. En 2025, elles représentent 48 % des victimes de rançongiciels, soit près d’1 victime sur 2.
Parallèlement, le rapport souligne la forte progression du chantage par le vol de données. Dans ce scénario, les attaquants ne bloquent plus nécessairement les systèmes : ils menacent simplement de publier les données volées.
Comme le rappelle l’ANSSI, ces exfiltrations de données (vols de données) peuvent entraîner un risque réputationnel important, susceptible d’affecter la confiance des clients et parfois la survie économique de l’entreprise.
« Ces exfiltrations de données – quelle que soit leur nature – et leur médiatisation font peser un risque réputationnel substantiel sur les victimes.
Elles risquent de perdre la confiance de leurs clients ou voir leur survie économique affectée. »
— Panorama de la cybermenace 2025, ANSSI
2. L’IA peut accélérer les capacités d’attaque
L’ANSSI souligne que l’IA générative constitue un potentiel accélérateur des capacités offensives des attaquants.
Par exemple, elle peut faciliter la diffusion de fausses informations à grande échelle, la création de faux profils d’entreprises ou d’employés sur les réseaux sociaux, ainsi que la génération de contenus d’hameçonnage plus crédibles.
L’IA peut aussi servir au profilage des victimes ou à la conception de programmes malveillants.
Cependant, l’ANSSI souligne que ces outils sont aujourd’hui principalement utilisés comme assistants pour les attaquants. Elle n’a pas eu connaissance d’attaque conduite seule par une IA.
3. Des attaques plus discrètes et plus difficiles à détecter
Les attaques les plus visibles n’ont pas disparu, mais une part croissante des compromissions est désormais plus discrète.
Les attaquants utilisent de plus en plus des services légitimes — cloud, outils d’accès à distance, services web – pour se fondre dans le trafic normal et compliquer la détection.
Ils peuvent ainsi rester des mois dans un système d’information avant d’exfiltrer des données ou de déclencher une attaque plus visible.
Pour les entreprises, cette évolution signifie que certaines intrusions peuvent passer inaperçues pendant une période prolongée, rendant la détection de la cybermenace plus complexe.
4. Des techniques de manipulation toujours plus sophistiquées
Avec l’aide de l’IA ou d’autres techniques toujours plus sophistiquées, les techniques d’ingénierie sociale (exploitation humaine) deviennent plus difficiles à détecter.
Par exemple, la technique appelée «ClickFix», en forte hausse en 2025, incite un individu à exécuter lui-même des commandes malveillantes sous couvert de faux messages techniques (ex: faux captcha).
« Sans avoir besoin d’une haute technicité, les attaquants continuent d’exploiter les biais inhérents à la nature humaine, entre autres en s’appuyant sur le bon vouloir des personnes ciblées. » — Panorama de la cybermenace 2025, ANSSI
5. Les fournisseurs: une porte d’entrée de plus en plus exploitée
Passer par un fournisseur pour atteindre une entreprise cible est une pratique connue depuis plus de dix ans.
Le rapport 2025 de l’ANSSI observe cependant une multiplication des attaques passant par les sous-traitants (ex. service cloud) et prestataires informatiques, au sein de la chaîne d’approvisionnement.
En compromettant un fournisseur, les attaquants peuvent en effet accéder aux systèmes ou aux données de ses entreprises clientes.
Pour une PME, cela signifie que la sécurité de l’entreprise dépend aussi du niveau de sécurité de ses partenaires et fournisseurs.
6. La cybersécurité deviendra une exigence du marché
L’ANSSI souligne que plusieurs réglementations européennes – notamment la directive NIS2 (Network and Information Security Directive 2) et le CRA (Cyber Resilience Act) – visent à élever le niveau global de cybersécurité.
À cela s’ajoute la réglementation européenne DORA (Digital Operational Resilience Act) pour le secteur financier.
Ces textes auront aussi un impact direct sur un grand nombre de PME.
Même lorsqu’elles ne sont pas directement visées par ces textes, de nombreuses PME verront leurs clients, donneurs d’ordre ou prestataires exiger un niveau de sécurité plus élevé.
Comment anticiper pour ne pas subir ?
Compte tenu des tendances mises en lumière ci-dessus, la question pour une PME n’est plus seulement de savoir si elle peut être visée, mais aussi si elle est prête à résister et à reprendre son activité en cas d’incident.
Autrement dit, une PME ne peut plus seulement chercher à empêcher les attaques.
Elle doit aussi être prête à réagir pour continuer à fonctionner si une attaque survient.
Nous proposons de structurer cette approche autour de quatre étapes clés du cycle de cyber-résilience : identifier, sécuriser, préparer, remédier.
1. Identifier ses failles avant les attaquants
Le Panorama 2025 montre que la cybersécurité ne peut pas reposer uniquement sur des outils techniques.
Les attaquants exploitent aussi des failles d’organisation, des erreurs humaines et des dépendances mal maîtrisées.
Pour une PME, cela plaide pour une évaluation globale du niveau de sécurité, couvrant à la fois les aspects techniques, organisationnels et les dépendances vis-à-vis des prestataires.
2. Sécuriser : l’humain et la technique
Dans un contexte où les attaquants exploitent à la fois des vulnérabilités techniques et des manipulations humaines, la sécurisation doit être double :
- Technique : Sécuriser les accès aux systèmes et maintenir un niveau de protection adapté.
- Organisationnelle : Sensibiliser les collaborateurs, car les attaquants cherchent souvent à tromper un utilisateur pour entrer dans l’entreprise.
3. Préparer : gouvernance et documentation
Les tendances soulignées par le Panorama 2025 illustrent encore une fois qu’une cyberattaque n’est pas seulement un problème technique.
Elle peut arrêter l’activité. Par exemple, production bloquée, salariés à l’arrêt et perte de confiance des clients. Ces risques concernent donc directement la direction.
Autrement dit, la cybersécurité est un sujet de gouvernance d’entreprise, renforcé par les nouvelles exigences réglementaires.
De plus, L’ANSSI rappelle aussi que la capacité de préparation est déterminante.
Or, celle-ci ne repose pas seulement sur la technique, mais aussi sur une organisation claire au sein de l’entreprise.
Cela implique, même pour une PME, d’avoir :
- Une gouvernance de la cybersécurité : fixer des priorités, piloter les projets, définir les rôles et responsabilités.
- Des plans de continuité documentés : disposer de procédures pour ne pas improviser lorsque les systèmes deviennent indisponibles.
4. Remédier : gérer les conséquences d’une cyberattaque
Dans un contexte de cybermenace élevée et soutenue, L’ANSSI rappelle que la remédiation – c’est-à-dire nettoyer un système après une cyberattaque – est une étape complexe.
Il s’agit d’identifier et supprimer tous les accès laissés par l’attaquant pour éviter que ce dernier ne revienne par une « porte dérobée ».
Cette phase nécessite souvent une expertise spécialisée et dépend fortement de la préparation de l’entreprise en amont.
En résumé
Dans un contexte de cybermenace élevée, systémique et soutenue, la cybersécurité des PME n’est plus une simple question technique.
Elle devient surtout une condition de continuité de l’activité dans un environnement où les attaques se multiplient.
Pour un dirigeant, la question est désormais stratégique :
Comment l’entreprise continuera -t-elle à fonctionner si une attaque survient ?
Cette réalité s’accompagne également d’un renforcement rapide de la réglementation européenne qui concerne aussi les PME.
Auteur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteur Financier
Contributeur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste Secteurs e-commerce, Industrie
Disclaimer
Ce rapport est fourni à titre informatif uniquement et reflète l’opinion de son auteur à la date de l’analyse. Il ne constitue pas un avis juridique ou réglementaire et ne garantit pas l’absence de risques ou de vulnérabilités. Les menaces et niveaux de risque peuvent évoluer dans le temps. Toute décision prise sur la base de ce rapport relève de la seule responsabilité du lecteur.