Cybermenaces : risque élévé, systémique et soutenu

ParLai Ly

Read in English

Panorama de la menace 2025 de l’ANSSI : quels enseignements pour les PME ?

Chaque année, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie le Panorama de la cybermenace, qui analyse les principales tendances observées à partir des incidents traités et portés à sa connaissance.

Le constat de l’édition 2025 est clair : « le niveau de cybermenace reste élevé, n’épargne personne et est le fait d’attaquants toujours plus difficiles à suivre ».

L’ANSSI décrit une menace « systémique », c’est à dire qui touche désormais l’ensemble du tissu économique et social, et plus seulement quelques organisations ciblées.

De plus, les cybermenaces s’inscrivent dans une tendance qui s’installe.

Les attaques sont souvent opportunistes. Les cybercriminels ciblent de nombreuses organisations sans distinction particulière de secteur, même si l’éducation et la santé figurent parmi les secteurs les plus touchés en 2025.

Ce rapport est dense et technique. Nous en proposons ici une lecture claire, sans jargon.
Six tendances en ressortent, avec un impact direct pour les PME.
Puis des pistes concrètes pour anticiper et réagir.

Les évolutions de la cybermenace qui concernent directement les PME

1. Les PME restent les premières victimes des rançongiciels

Le rançongiciel (attaque avec demande de rançon) demeure une menace majeure selon le rapport.

Depuis 2021, les PME sont systématiquement la catégorie la plus touchée par les rançongiciels. En 2025, ellesreprésentent 48 % des victimes de rançongiciels en 2025, soit près d’1 victime sur 2.

Parallèlement, le rapport souligne la forte progression du chantage par le vol de données. Dans ce scénario, les attaquants ne bloquent plus nécessairement les systèmes : ils menacent simplement de publier les données volées.

Comme le rappelle l’ANSSI, ces exfiltrations de données (vols de données) peuvent entraîner un risque réputationnel important, susceptible d’affecter la confiance des clients et parfois la survie économique de l’entreprise.

« Ces exfiltrations de données – quelle que soit leur nature – et leur médiatisation font peser un risque réputationnel substantiel sur les victimes.
Elles risquent de perdre la confiance de leurs clients ou voir leur survie économique affectée. »
— Panorama de la cybermenace 2025, ANSSI

2. L’IA peut accélérer les capacités d’attaque

L’ANSSI souligne que l’IA générative constitue un potentiel accélérateur des capacités offensives des attaquants.

Par exemple, elle peut faciliter la diffusion de fausses informations à grande échelle, la création de faux profils d’entreprises ou d’employés sur les réseaux sociaux, ainsi que la génération de contenus d’hameçonnage plus crédibles.

L’IA peut aussi servir au profilage des victimes ou à la conception de programmes malveillants.

Cependant, l’ANSSI souligne que ces outils sont aujourd’hui principalement utilisés comme assistants pour les attaquants. Elle n’a pas eu connaissance d’attaque conduite seule par une IA.

3. Des attaques de plus en plus discrètes et plus difficiles à détecter

Les attaques les plus visibles n’ont pas disparu, mais une part croissante des compromissions est désormais plus discrète.

Les attaquants utilisent de plus en plus des services légitimes — cloud, outils d’accès à distance, services web – pour se fondre dans le trafic normal et compliquer la détection.

Ils peuvent rester des mois dans un système d’information avant d’exfiltrer des données ou de déclencher une attaque plus visible.

Pour les entreprises, cette évolution signifie que certaines intrusions peuvent passer inaperçues pendant une période prolongée, rendant la détection de la cybermenace plus complexe.

4. Des techniques de manipulation de plus en plus sophistiquées

Avec l’aide de l’IA ou d’autres techniques toujours plus sophistiquées, les techniques d’ingénierie sociale (exploitation humaine) deviennent plus difficiles à détecter. Par exemple, la technique appelée «ClickFix», est en forte hausse en 2025, incite l’employé à exécuter lui-même des commandes malveillantes sous couvert de faux messages techniques (ex: faux captcha).

« Sans avoir besoin d’une haute technicité, les attaquants continuent d’exploiter les biais inhérents à la nature humaine, entre autres en s’appuyant sur le bon vouloir des personnes ciblées. » — Panorama de la cybermenace 2025, ANSSI

5. Les fournisseurs seront la porte d’entrée pour les attaquants

Passer par un fournisseur pour atteindre une entreprise cible est une pratique connue depuis plus de dix ans.

Le rapport 2025 de l’ANSSI observe une multiplication des attaques passant par les sous-traitants et prestataires informatiques, au sein de la chaîne d’approvisionnement.

En compromettant un fournisseur — par exemple un prestataire IT ou un service cloud — les attaquants peuvent accéder aux systèmes ou aux données des entreprises clientes.

Pour une PME, cela signifie que la sécurité de l’entreprise dépend aussi du niveau de sécurité de ses partenaires et fournisseurs.

6. La cybersécurité deviendra une exigence du marché

L’ANSSI souligne que plusieurs réglementations européennes – notamment la directive NIS2 (Network and Information Security Directive 2) et le CRA (Cyber Resilience Act) – visent à élever le niveau global de cybersécurité.

À cela s’ajoute, pour le secteur financier, l’application déjà effective de DORA (Digital Operational Resilience Act).

Ces textes auront aussi un impact direct sur un grand nombre de PME. Même lorsqu’elles ne sont pas directement visées par ces textes, de nombreuses PME verront leurs clients, donneurs d’ordre ou prestataires exiger un niveau de sécurité plus élevé.

Comment anticiper pour ne pas subir ?

Le Panorama 2025 montre une chose simple : pour une PME, la question n’est plus seulement de savoir si elle peut être visée, mais surtout si elle est prête à résister et à reprendre son activité en cas d’incident.

Autrement dit, une PME ne peut plus seulement chercher à empêcher les attaques. Elle doit aussi être prête à réagir pour continuer à fonctionner si une attaque survient.

Nous proposons de structurer cette approche autour de quatre étapes clés du cycle de cyber-résilience : identifier, sécuriser, préparer, remédier.

1. Identifier ses failles avant les attaquants

Le Panorama montre que la sécurité ne peut pas reposer uniquement sur des outils techniques : les attaquants exploitent aussi des failles d’organisation, des erreurs humaines et des dépendances mal maîtrisées.

Pour une PME, cela plaide pour une évaluation globale du niveau de sécurité, couvrant à la fois les aspects techniques, organisationnels et les dépendances vis-à-vis des prestataires. 

2. Sécuriser : l’humain et la technique

Dans un contexte où les attaquants exploitent à la fois des vulnérabilités techniques et des manipulations humaines, la sécurisation doit être double :

  • Technique : Sécuriser les accès aux systèmes et maintenir un niveau de protection adapté.
  • Organisationnelle : Sensibiliser les collaborateurs, car les attaquants cherchent souvent à tromper un utilisateur pour entrer dans l’entreprise.

3. Préparer : Gouvernance et documentation

Les tendances soulignées par le Panorama 2025 illustrent encore une fois qu’une cyberattaque n’est pas seulement un problème technique.

Elle peut arrêter l’activité : production bloquée, salariés à l’arrêt et perte de confiance des clients.
Ces risques concernent donc directement la direction.

La cybersécurité est ainsi un sujet de gouvernance d’entreprise, renforcé par les nouvelles exigences réglementaires.

De plus, L’ANSSI rappelle aussi que la capacité de préparation est déterminante. Or, celle-ci ne repose pas seulement sur la technique, mais aussi sur une organisation claire au sein de l’entreprise.

Cela implique, même pour une PME, d’avoir :

  • Une gouvernance de la cybersécurité : fixer des priorités, piloter les projets, définir les rôles et responsabilités.
  • Des plans de continuité documentés : disposer de procédures pour ne pas improviser lorsque les systèmes deviennent indisponibles.

4. Remédier : Gérer les conséquences d’une cyberattaque

Dans un contexte de cybermenace élevée et soutenue, L’ANSSI rappelle que la remédiation – c’est-à-dire nettoyer un système après une cyberattaque – est une étape complexe.

Il s’agit d’identifier et supprimer tous les accès laissés par l’attaquant pour éviter que l’attaquant revienne par une « porte dérobée ».

Cette phase nécessite souvent une expertise spécialisée et dépend fortement de la préparation de l’entreprise en amont.

En résumé

La cybersécurité pour les PME n’est plus une simple question technique.
Elle devient une condition de continuité de l’activité dans un environnement où les attaques se multiplient.

Pour un dirigeant, la question est désormais stratégique :
Comment l’entreprise continuera -t-elle à fonctionner si une attaque survient ?

Cette réalité s’accompagne également d’un renforcement rapide de la réglementation européenne.     

Auteur
Lai Ly
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteur Financier

Contributeur
Stéphane Hivert
Spécialiste Cybersécurité PME
Spécialiste Secteurs e-commerce, Industrie

Ne laissez pas la cybermenace décider de l’avenir de votre entreprise.

La résilience, c’est assurer la continuité de votre activité.

Chez LINARIS, nous aidons les dirigeants de PME à comprendre leurs risques cyber et à structurer leur résilience avant qu’un incident ne survienne.

Un premier échange confidentiel permet souvent d’identifier les priorités.

[Contactez-nous]