Les signaux s’accumulent et la France n’apparaît plus comme une cible secondaire. Les attaques gagnent en cadence, frappent plus visiblement et cherchent moins à se cacher qu’à bloquer net.
Le dernier panorama annuel de 2025 dresse un état des lieux plus dur que prévu, avec des menaces cyber en France qui se diversifient et une pression sur les réseaux qui monte à mesure que les offensives se banalisent. Services publics, entreprises, plateformes exposées, tout le monde encaisse. Le seuil a été franchi.
Pourquoi la France figure parmi les cibles les plus touchées en Europe
Le bilan 2025 de Check Point place la France parmi les pays les plus frappés d’Europe. Avec 13 % des attaques observées, elle suit le Royaume-Uni, proche de 17 %, et rejoint quasiment l’Allemagne, elle aussi autour de 13 %.
L’écart avec l’Espagne, à 9 %, et l’Italie, à 7 %, confirme la place du pays parmi les cibles européennes. Ce rang tient au poids géopolitique français, à la surface d’attaque numérique très exposée et à une concentration des incidents qui touche à la fois acteurs publics et privés.
Le DDoS prend le dessus sur le rançongiciel
Le mouvement le plus net relevé par Check Point en 2025 concerne la nature des offensives. En France, le DDoS passe de 27,4 % à 46,8 % des cas, tandis que le rançongiciel retombe de 34,6 % à 16,4 %.
Cette bascule des tactiques favorise les attaques par déni de service, plus rapides à lancer et plus visibles pour les victimes. Leur force tient à un impact opérationnel immédiat : site bloqué, service indisponible, relation client coupée. Sur la même période, les intrusions chutent de 36,5 % à 12,2 %.
- DDoS : 27,4 % en 2024, puis 46,8 % en 2025
- Rançongiciel : 34,6 % en 2024, puis 16,4 % en 2025
- Intrusions : 36,5 % en 2024, puis 12,2 % en 2025
Défacement, fuites et intrusions dans un paysage d’attaques plus visible
Entre 2024 et 2025, la carte des attaques s’est déplacée. Les intrusions reculent de 36,5 % à 12,2 %, pendant que les fuites de données passent de 1,5 % à 2,3 %. Cette lecture gagne en relief avec une comparaison entre 2024 et 2025 centrée sur les vecteurs désormais visibles.
La rupture vient du défacement de sites web, inexistant en 2024 puis monté à 22,3 % en 2025. Avec des DDoS à 46,8 %, ces opérations cherchent la perturbation publique, sous les yeux de tous, bien plus qu’une présence furtive ou une exfiltration lente prolongée.
| Vecteur d’attaque | 2024 (%) | 2025 (%) | Évolution |
|---|---|---|---|
| DDoS | 27,4 | 46,8 | +19,4 points |
| Défacement | 0,0 | 22,3 | +22,3 points |
| Rançongiciel | 34,6 | 16,4 | -18,2 points |
| Intrusion | 36,5 | 12,2 | -24,3 points |
| Fuite de données | 1,5 | 2,3 | +0,8 point |
L’État et les services publics sous pression
En 2025, l’appareil public concentre 22,3 % des incidents recensés en France, devant les services aux entreprises et la distribution. Derrière ce poids, les institutions gouvernementales restent exposées à des campagnes d’espionnage, de perturbation et d’influence liées au rang diplomatique français dans l’Union européenne et à sa visibilité.
Une attaque DDoS majeure a visé La Poste et sa banque lors d’un pic d’activité. En avril, des opérations ont été attribuées au GRU, puis en décembre le ministère de l’Intérieur a été compromis, cette fois, plaçant les infrastructures critiques et la confiance du public sous la même pression.
Services aux entreprises et distribution en première ligne
En France, les services aux entreprises rassemblent 18 % des incidents recensés en 2025, devant la distribution à 15,2 %. Leur exposition tient à leur place d’interface entre clients, outils métier et partenaires, avec une chaîne d’approvisionnement numérique étendue, des accès partagés et des dépendances techniques qui multiplient les points d’entrée.
Le commerce attire aussi les attaquants pour la valeur des fichiers détenus et la continuité des ventes. Les bases de données clients, les systèmes de paiement et les liens avec des prestataires externes élargissent l’impact d’une intrusion locale, car une panne ou une fuite peut bloquer l’activité bien au-delà de l’entreprise touchée.
- Les prestataires relient plusieurs clients grâce à des outils mutualisés
- Les enseignes traitent de forts volumes de transactions et de données personnelles
- Les temps commerciaux créent une pression opérationnelle favorable aux assaillants
- Une faille chez un sous-traitant peut se diffuser à toute une chaîne de clients
Décembre concentre le choc cyber
Chez Check Point, la courbe 2025 n’est pas linéaire. Le pic de décembre se détache, avec près de 25 % des attaques annuelles concentrées sur ce mois, un niveau bien supérieur à celui observé durant les autres périodes de l’année sur la France entière.
À l’approche des fêtes, les achats en ligne, les réservations et les transactions financières s’accélèrent. Les campagnes saisonnières mêlent faux sites, promotions frauduleuses et messages de hameçonnage, profitant d’un trafic numérique dense et d’équipes parfois réduites, ce qui donne aux attaquants plus d’occasions pour tromper, détourner ou saturer les services.
| Indicateur | Valeur observée en 2025 |
|---|---|
| Mois le plus touché | Décembre |
| Part des attaques annuelles | Près de 25 % |
| Facteurs relevés | Achats en ligne, transactions financières, réservations de voyages |
| Formes d’attaque citées | Hameçonnage, fausses promotions, sites frauduleux |
Qui sont les groupes les plus actifs contre la France
Chez Check Point, le nom qui revient le plus est Noname057(16), dont l’activité contre la France grimpe de 411 % sur un an. Autour de lui, Keymous+, Chinafans et Mr. Hamza incarnent des groupes hacktivistes portés par des motivations idéologiques et par la recherche d’impact public.
Le versant lucratif passe par Qilin, crédité de 51 attaques, soit +750 % par rapport à 2024, avec une double extorsion mêlant chiffrement et vol de données. Keymous+ bondit, lui, de 2120 % et organise sa coordination sur Telegram avant les salves DDoS.
Faux développeurs, faux médias, vraies menaces
Le rapport évoque des infiltrations attribuées à des opérateurs nord-coréens recrutés sous de fausses identités dans des entreprises françaises. Présentés comme des développeurs à distance, ces profils cherchent un accès durable aux réseaux, tout en transformant des missions ordinaires en source de financement pour Pyongyang.
Côté influence, le réseau russe storm-1516 a pratiqué l’usurpation d’identité de journalistes français afin d’alimenter des faux sites de presse et de pousser de faux récits. Le procédé frappe juste : il exploite la notoriété des médias, brouille les repères du public et installe un doute politique persistant durable.
Quand l’IA aide les attaquants à aller plus vite
Selon Check Point, l’année 2025 marque un cap : l’IA raccourcit le délai entre la préparation et l’impact d’une attaque. Au lieu de messages grossiers, les fraudeurs déploient un phishing hyperpersonnalisé, rédigé dans un ton crédible, nourri par des données publiques et taillé pour tromper un salarié, un client ou un partenaire en quelques échanges seulement, avec une aisance qui trouble même les équipes.
Le même rapport décrit une reconnaissance automatisée capable de cartographier des profils, des accès et des faiblesses à grande vitesse. Les campagnes s’ajustent alors presque en temps réel. Pour 2026, Check Point redoute des vagues plus ciblées, des botnets plus souples et des usurpations dopées aux deepfakes visant la France et ses grandes organisations.
Ce que les organisations françaises doivent corriger sans tarder
Côté défense, le signal adressé aux entreprises et aux administrations françaises est limpide : les bases doivent être revues sans délai inutile. Cela passe par la sensibilisation des salariés, via des formations contre le hameçonnage et l’usurpation, mais aussi par la vérification d’identité des candidats, freelances et prestataires, après des cas de faux développeurs attribués à la Corée du Nord repérés ces derniers mois encore.
Une autre faille tient à la circulation trop lente des signaux d’alerte entre équipes. L’appui d’un renseignement sur les menaces relié aux opérations de sécurité aide à repérer plus tôt les campagnes émergentes. Des exercices de crise testent la décision, les métiers et la communication lorsqu’une attaque vise un service déjà exposé sur le territoire français.
Source : checkpoint.com
