Baisse des événements de sécurité : un rapport ANSSI 2025 à lire en creux
Le rapport ANSSI 2025 sur le bilan de la cybersécurité en France (Rapport d’activité 2024, publié en 2025, pages 18 à 25) affiche 3 586 événements de sécurité traités sur l’année 2024, soit une baisse de 18 % par rapport à l’exercice 2023. Derrière cette apparente amélioration de la cybersécurité, l’Agence nationale de la sécurité des systèmes d’information insiste pourtant sur la gravité croissante des incidents qualifiés et sur la concentration des attaques sur quelques secteurs clés. Pour un DSI, ce rapport d’activité de l’ANSSI n’est pas un signal de relâchement mais un appel à rehausser le niveau de cybersécurité, à renforcer la défense de la sécurité nationale et à adapter la gouvernance des risques numériques.
Sur ces 3 586 événements de sécurité recensés en 2024, le rapport détaille 2 209 signalements pour 1 366 incidents qualifiés, ce qui montre un tri plus fin des alertes et une meilleure priorisation des réponses opérationnelles. Autrement dit, le volume global d’événements diminue par rapport à 2023, mais la part d’incidents réellement graves augmente, ce qui explique que le même document fasse état d’une progression de 38 % des cyberattaques ciblant les organisations françaises : les périmètres de mesure ne sont pas identiques, les événements recensés couvrant un spectre plus large que les attaques confirmées et les compromissions avérées. Le panorama des cybermenaces présenté par l’ANSSI met en évidence 128 compromissions par rançongiciel sur la période, avec des attaquants qui ciblent des systèmes d’information où la moindre interruption de services a un impact macroéconomique immédiat et des effets en chaîne sur les usagers. La baisse statistique masque donc une nouvelle réalité de la menace cyber, où chaque incident pèse plus lourd sur les organisations publiques et privées et où la résilience devient un indicateur central.
Le bilan 2025 souligne aussi une sophistication accrue des modes opératoires, confirmant que les attaquants ne se retirent pas mais affinent leurs tactiques et industrialisent leurs campagnes. L’Agence nationale de la sécurité des systèmes d’information rappelle ainsi que la majorité des compromissions réussies débute par un vecteur de type email frauduleux, ce qui renvoie directement à la maturité des exercices de crise, des plans de réponse aux incidents et des tests de sensibilisation menés en interne. Le rapport précise par exemple que « les campagnes de hameçonnage restent le point d’entrée privilégié des attaquants, en particulier dans les secteurs les moins matures en cybersécurité », une formulation qui éclaire la responsabilité des directions générales et des comités de pilotage. Pour les comités exécutifs, le message est clair : moins d’incidents recensés ne signifie pas moins de menace, mais une transformation profonde du panorama des cybermenaces et des orientations stratégiques à inscrire dans la gouvernance. Pour aller plus loin, le document complet est accessible sur le site de l’ANSSI sous la forme d’un rapport PDF détaillé, avec un chapitre dédié au bilan de la cybersécurité nationale.
Secteurs sous pression : éducation, santé, collectivités en première ligne
Le rapport ANSSI 2025 sur l’état de la cybersécurité met en avant un chiffre qui doit alerter tous les comités de pilotage : 34 % des incidents qualifiés concernent le secteur éducation recherche, loin devant la santé qui représente 8 % des cas sur la période 2024, avec une tendance similaire à celle observée en 2023. Les infrastructures critiques de ces secteurs, souvent appuyées sur des systèmes d’information hétérogènes et anciens, deviennent des cibles privilégiées pour des attaquants qui arbitrent leur effort en fonction du levier de négociation offert par les données et de la sensibilité des services rendus. Cette réalité oblige les responsables IT à revoir la sécurité des systèmes et la cyber résilience non comme un projet technique mais comme une condition de continuité pédagogique, de protection des citoyens et de sécurité nationale.
Les rançongiciels décrits dans le panorama des cybermenaces de l’ANSSI se concentrent sur les hôpitaux, les universités et les collectivités, où l’arrêt des services publics crée une pression politique immédiate et un risque d’atteinte à la confiance des usagers. Dans ces environnements, les événements de sécurité ne se résument plus à des incidents isolés mais à des crises systémiques qui exigent des exercices de crise réguliers, des plans de reprise d’activité testés et une coordination étroite avec l’Agence nationale de la sécurité des systèmes d’information. Pour les DSI de ces organisations, la priorité n’est plus seulement de bloquer la menace cyber, mais de maintenir un niveau de cybersécurité compatible avec la protection des données sensibles, la continuité des services nationaux et les obligations réglementaires sectorielles.
Le rapport d’activité de l’ANSSI rappelle aussi le rôle des acteurs étatiques et des groupes criminels structurés, qui exploitent les failles des infrastructures critiques et des services numériques pour contourner les défenses classiques et tester la robustesse des politiques publiques. Dans ce contexte, les orientations stratégiques en matière de cybersécurité doivent intégrer les exigences du futur Cyber Resilience Act européen et des cadres de conformité locaux, y compris pour la gestion du consentement et des données personnelles, comme le montre la mise en place du Consent Mode V2 dans les grandes villes françaises. La cybersécurité n’est plus un sujet cantonné aux RSSI ; elle devient un pilier de la stratégie nationale de sécurité, de la gouvernance des données et de la confiance numérique accordée aux services publics.
Budget, sous-déclaration et phishing : ce que le rapport ne dit qu’à demi-mot
En filigrane, le rapport ANSSI 2025 laisse entrevoir une sous déclaration probable des incidents dans le secteur privé, notamment parmi les PME et les ETI qui restent en marge des dispositifs de remontée. Les chiffres de l’Agence nationale de la sécurité des systèmes d’information reposent sur les signalements reçus, ce qui exclut mécaniquement une partie des organisations qui gèrent leurs crises en interne ou via des prestataires sans remonter l’information vers l’écosystème institutionnel. Cette zone grise fausse la perception du niveau de cybersécurité réel en France, complique le calibrage des budgets de sécurité pour la prochaine année et rend plus difficile l’évaluation globale de l’exposition aux rançongiciels.
Pour un COMEX, la baisse des événements de sécurité ne doit pas conduire à réduire les lignes budgétaires, mais à les réallouer vers les bons leviers : durcissement des systèmes d’information, automatisation de la détection, renforcement des capacités d’exercice de crise et montée en compétence des équipes face au phishing et aux attaques par ingénierie sociale. Le rapport d’activité de l’ANSSI insiste sur le rôle central du courrier électronique comme vecteur d’intrusion, ce qui impose de combiner filtrage avancé, formation continue et scénarios d’attaque réalistes, en s’appuyant sur des tests de maturité réguliers et des indicateurs de performance clairs pour piloter les investissements. Les rançongiciels comme Akira, déjà analysés dans le détail pour les PME françaises dans l’étude sur le ransomware Akira et ses cibles prioritaires, illustrent parfaitement cette évolution vers des campagnes plus ciblées, plus discrètes et plus rentables pour les attaquants.
Le rapport ANSSI 2025 sur la cybersécurité nationale insiste enfin sur la montée en puissance de l’intelligence artificielle, utilisée à la fois par les défenseurs et par les attaquants pour industrialiser leurs activités, automatiser la détection ou générer des contenus de phishing plus crédibles. Les orientations stratégiques nationales en matière de sécurité des systèmes devront intégrer les futures obligations européennes, qu’il s’agisse du Cyber Resilience Act ou des sandboxes réglementaires de l’AI Act, déjà analysées sous l’angle de la gouvernance dans cette étude sur les sandboxes réglementaires et la préparation des gouvernances. Pour les dirigeants, l’enjeu n’est plus de savoir si la cybersécurité relève de la défense et de la sécurité nationale, mais de mesurer comment chaque euro investi réduit concrètement le risque d’incident majeur sur leurs infrastructures critiques, leurs données et leur capacité à résister aux rançongiciels de nouvelle génération.