2025, une année noire pour la cybersécurité en France
L'année qui vient de s'achever restera comme l'une des plus intenses en matière de cybermenaces sur le sol français. Les chiffres parlent d'eux-mêmes : plus de 17 500 cyberattaques enregistrées, en hausse de 4% par rapport à 2024. L'ANSSI a traité 1 366 incidents de sécurité, dont 128 compromissions par rançongiciel et 196 exfiltrations de données.
Mais au-delà des chiffres globaux, c'est l'ampleur des dégâts sur le tissu économique français qui frappe : des millions de données personnelles compromises, des services publics paralysés et des PME mises à genoux. Voici le bilan complet — et surtout, ce que votre entreprise doit en retenir pour 2026.
Chronologie des cyberattaques majeures en 2025
Janvier : le credential stuffing frappe le retail
L'année commence fort. Kiabi subit une attaque par credential stuffing le 7 janvier, exposant les IBAN de 20 000 clients. Le 29 janvier, c'est Chronopost qui est touché : les données de 210 000 clients sont compromises. Picard Surgelés est également victime de la même technique, avec des points fidélité pillés en masse.
Le credential stuffing — des attaquants qui testent des couples identifiant/mot de passe volés sur d'autres sites — est un fléau directement lié à la réutilisation des mots de passe. Un problème qu'un gestionnaire de mots de passe d'entreprise résout efficacement. Les entreprises du secteur e-commerce et distribution sont particulièrement exposées à ce type d'attaques.
Février : 33 millions de Français exposés
Le mois de février marque un tournant. Les opérateurs de tiers payant Viamedis et Almerys subissent une intrusion massive : les données de santé de 33 millions de personnes sont compromises. Numéros de sécurité sociale, informations d'assurance — le cauchemar absolu en termes de données sensibles.
Le 1er février, Conforama révèle une fuite touchant 9,4 millions de clients. Le 24, c'est la Fédération Française de Football avec 3 millions de personnes impactées.
Mars-Avril : institutions et infrastructures visées
La Poste signale le vol de données de 50 000 utilisateurs le 7 mars. Le 19 mars, l'aéroport de Clermont-Ferrand est mis hors service par une attaque DDoS. Le 31 mars, le Centre hospitalier Stell de Rueil-Malmaison est frappé par un rançongiciel, paralysant ses systèmes.
Été : santé et grande distribution en première ligne
Le 10 juillet, l'Hôpital privé de la Loire subit un vol de données touchant 126 000 patients. En août, le Centre hospitalier du Gers est attaqué. Le 21 août, Auchan annonce la compromission des comptes fidélité de plusieurs centaines de milliers de clients.
Automne : Free Mobile, le séisme de l'année
L'attaque contre Free Mobile reste le cauchemar de 2025 : des millions d'IBAN se retrouvent dans la nature. Un incident qui a touché directement des millions de Français et rappelé à tous que même les opérateurs télécoms majeurs ne sont pas à l'abri.
En décembre, le ministère des Sports est compromis via le dispositif Pass'Sport, impactant 3,5 millions de foyers.
Les PME, cibles prioritaires des cybercriminels
Si les attaques contre les grands noms font les gros titres, la réalité est plus alarmante encore pour les petites structures. Selon l'ANSSI, les TPE, PME et ETI représentent 37% de toutes les attaques par rançongiciel signalées en 2025.
Pourquoi ? Parce que les PME combinent trois facteurs qui en font des cibles idéales :
- Des défenses moins sophistiquées : pas de SOC, pas d'EDR, parfois même pas de MFA activé
- Des données à forte valeur : fichiers clients, données bancaires, propriété intellectuelle
- Le modèle RaaS (Ransomware-as-a-Service) : des kits de rançongiciel clé en main permettent à des attaquants peu qualifiés de cibler massivement les PME
Les trois souches de ransomware les plus actives en France en 2025 étaient Qilin (21% des cas), Akira (9%) et LockBit 3.0 (5%).
Microsoft 365 : le maillon faible des PME françaises
La majorité des PME françaises utilisent Microsoft 365 comme environnement de travail. En 2025, cet écosystème a été au centre de plusieurs incidents majeurs :
SharePoint exploité par des groupes étatiques chinois
En juillet 2025, Microsoft a révélé que des acteurs étatiques chinois — Linen Typhoon, Violet Typhoon et Storm-2603 — exploitaient activement des vulnérabilités zero-day dans SharePoint (CVE-2025-49706 et CVE-2025-49704). Storm-2603 a même déployé des rançongiciels via ces failles. Si vous hébergez encore un SharePoint on-premise, la question n'est plus "si" mais "quand".
Copilot : l'IA comme vecteur d'attaque
Des chercheurs ont démontré qu'une vulnérabilité dans Microsoft 365 Copilot permettait d'exfiltrer des données personnelles via une chaîne d'exploitation combinant injection de prompt et invocation automatique d'outils. L'IA est un formidable accélérateur de productivité, mais elle élargit aussi la surface d'attaque.
13 millions de phishing bloqués en un mois
En octobre 2025, Microsoft a bloqué plus de 13 millions d'emails de phishing provenant d'une seule plateforme. Le phishing reste le vecteur d'attaque numéro un, à l'origine de 60% des cyberattaques en France. Et avec l'IA générative, les emails frauduleux sont de plus en plus convaincants — fini les fautes d'orthographe qui servaient de signal d'alerte.
Les erreurs de configuration M365 les plus courantes
Les audits que nous réalisons chez Dhala Cyberdéfense révèlent systématiquement les mêmes failles dans les environnements Microsoft 365 des PME :
- MFA non activé ou non imposé sur tous les comptes
- Rôles administrateurs surprivilégiés : trop d'admins globaux, pas de segmentation
- Absence de protection email avancée : pas d'anti-phishing, pas de Safe Links/Safe Attachments
- Pas de politique DLP (Data Loss Prevention) : les données sensibles circulent sans contrôle
- Partages SharePoint/OneDrive trop ouverts : liens "Tout le monde" activés par défaut
NIS2 et DORA : le cadre réglementaire se durcit
2025 a aussi été l'année de l'entrée en vigueur effective de deux réglementations majeures :
NIS2 : 15 000 entités concernées en France
La directive NIS2, transposée en droit français, fait passer le nombre d'entités régulées de 300 à plus de 15 000. Les obligations incluent :
- Notification d'incident sous 24h à l'ANSSI
- Analyse de risques et mesures de sécurité proportionnées
- Responsabilité directe des dirigeants en cas de négligence
- Sanctions jusqu'à 10 millions d'euros ou 2% du CA mondial
Et attention : même si votre PME n'est pas directement visée, vous êtes concerné si vous fournissez des services à une entité régulée (hébergement, infogérance, cloud, développement...).
DORA : la finance sous haute surveillance
Depuis le 17 janvier 2025, le règlement DORA impose aux entreprises du secteur financier — et à leurs prestataires IT — des obligations strictes de résilience numérique. Si vous travaillez avec des banques, assureurs ou sociétés de gestion, vos pratiques de sécurité sont désormais auditables.
Les 7 leçons de 2025 pour protéger votre PME en 2026
1. Le MFA n'est plus optionnel
Credential stuffing, phishing, brute force : la quasi-totalité des attaques exploitent des identifiants faibles ou volés. Activez le MFA sur tous vos comptes Microsoft 365, sans exception. Privilégiez les méthodes résistantes au phishing (clés FIDO2, Authenticator avec number matching).
2. Votre email est votre première ligne de défense
60% des attaques commencent par un email. Investissez dans une protection email avancée : anti-phishing, sandboxing des pièces jointes, analyse des liens en temps réel. Une protection DNS couplée à un filtrage email dédié renforce significativement la protection native de Microsoft 365.
3. L'EDR remplace l'antivirus
L'antivirus traditionnel ne suffit plus face aux menaces modernes. Un EDR (Endpoint Detection & Response) avec supervision SOC 24/7 détecte les comportements suspects en temps réel et permet une réponse rapide avant que le ransomware ne se propage.
4. Sauvegardez en dehors de Microsoft 365
Microsoft 365 n'est pas une solution de sauvegarde. Les données supprimées, chiffrées par un ransomware ou corrompues peuvent être perdues définitivement. Mettez en place une sauvegarde tierce de vos boîtes mail, SharePoint et OneDrive avec rétention longue durée.
5. Formez vos collaborateurs — régulièrement
La sensibilisation ponctuelle ne fonctionne pas. Mettez en place des campagnes de phishing simulé mensuelles et des micro-formations continues. L'objectif n'est pas de culpabiliser, mais de créer des réflexes.
6. Préparez votre plan de réponse à incident
Quand l'attaque arrive — et elle arrivera — chaque minute compte. Avez-vous un plan documenté ? Savez-vous qui appeler ? Comment isoler les systèmes compromis ? Comment communiquer en interne et auprès de vos clients ? NIS2 impose une notification sous 24h : sans préparation, c'est impossible.
7. Faites-vous accompagner par un MSSP
La sécurité informatique n'est plus un sujet qu'on peut gérer "en interne" avec une personne à temps partiel. Un MSSP (Managed Security Service Provider) vous apporte l'expertise, les outils et la veille 24/7 dont votre PME a besoin — à un coût maîtrisé et prévisible.
Ce que Dhala Cyberdéfense met en place pour ses clients
Chez Dhala, chaque leçon de 2025 est déjà intégrée dans nos services :
- SOC managé 24/7 avec détection et réponse automatisée
- Audit Microsoft 365 et remédiation des erreurs de configuration
- Protection email avancée anti-phishing et anti-ransomware
- EDR supervisé sur tous les postes et serveurs
- Sauvegarde M365 avec rétention et restauration granulaire
- Accompagnement conformité NIS2 et DORA
- Campagnes de sensibilisation et phishing simulé
Nous accompagnons des PME de 10 à 500 collaborateurs, de Paris à Lyon, de Bordeaux à Cannes. Notre approche : pas de jargon, pas de sur-vente — un plan d'action clair, adapté à votre budget et à votre réalité opérationnelle.
