Un adolescent de 15 ans, passionné de cybersécurité et scolarisé en Corse, est soupçonné d'être le pirate derrière l'attaque informatique contre le portail de l'Agence nationale des titres sécurisés. Connu sous le pseudonyme « Breach 3D », il aurait aspiré les données de 11,7 millions de comptes de particuliers et professionnels. Sa mère l'a elle-même conduit au commissariat, une scène digne d'un remake de War Games. Mais ce fait divers n'est que la partie émergée d'un phénomène bien plus vaste.
Une pression cyber durable et structurelle
En 2025, le Commandement du ministère de l'Intérieur dans le cyberespace (COMCYBER-MI) a recensé 1 347 revendications ou annonces de cyberattaques visant la France, contre 1 062 en 2024, soit une hausse de 27 %. Ce bond est d'autant plus inquiétant qu'en 2024, le volume élevé s'expliquait en partie par des événements exceptionnels comme les Jeux olympiques de Paris ou l'arrestation de Pavel Durov. En 2025, aucun facteur conjoncturel ne justifie cette flambée. Selon le rapport, « ceci traduit une pression cyber durable et structurelle ».
Les attaques les plus fréquentes
Les dénis de service distribués (DDoS), les vols de données et les rançongiciels dominent le classement. Les intrusions dans les systèmes industriels SCADA, qui pilotent des infrastructures critiques comme les barrages ou les réseaux d'eau, connaissent une augmentation notable. Bien que les dispositifs de sécurité aient jusqu'ici évité des dommages majeurs, ces incidents illustrent une montée en gamme des modes opératoires.
Hacktivisme et cyberguerre : des causes politiques omniprésentes
Près des deux tiers des attaques de 2025 sont attribuées à des acteurs se revendiquant de causes politiques ou religieuses. L'hacktivisme domine, avec 89,2 % des revendications de type DDoS, contre 64 % en 2024. Les conflits géopolitiques sont au cœur des motivations : 78 % des attaques font référence à la guerre en Ukraine, 11 % au conflit au Moyen-Orient. Des groupes prorusses comme NoName057 ou Z-ALLIANCE ciblent régulièrement la France. L'opération Eastwood, menée par Europol en juillet 2025, a temporairement neutralisé NoName057, mais les acteurs ont rapidement repris leurs activités, ciblant notamment les pays impliqués, dont la France.
Rançongiciels en pleine mutation
La menace rançongiciel a bondi de 36 % en 2025, avec 177 revendications. Les groupes dominants en 2024, LockBit et RansomHub, ont cédé la place à Qilin et Brain Cypher, qui concentrent 55,6 % des attaques. Les cybercriminels délaissent le chiffrement systématique au profit de l'exfiltration de données, exerçant une pression par la menace de divulgation publique. En septembre 2025, une coalition inédite entre DragonForce, LockBit et Qilin s'est formée pour accroître les profits et renforcer leur influence, laissant présager une intensification des activités.
Un marché noir structuré : le Cybercrime-as-a-Service
Le rapport souligne l'explosion d'un marché noir organisé, fonctionnant comme une entreprise. Le modèle CaaS (Cybercrime-as-a-Service) démocratise l'accès à des outils malveillants : bots automatisés, abonnements mensuels, documentation et support technique. La chaîne est rodée : des développeurs conçoivent des infostealers, des courtiers revendent les accès, et des opérateurs de rançongiciels exploitent ces accès pour des attaques ciblées. L'intelligence artificielle accélère cette dynamique avec des outils comme DarkGPT, SpamGPT ou EvilAI, regroupés sous l'appellation AI-as-a-Service, abaissant la barrière technique et structurant des campagnes d'attaque plus élaborées.
En juin 2025, le collectif SCATTERED SP1D3R HUNTERS, administré par « ShinyHunters », a piraté une application Salesforce pour accéder à des données sensibles de clients, puis a mené une campagne d'extorsion visant Air France, Cartier, Allianz Life, LVMH et Chanel, avec des menaces de diffusion publique en l'absence de paiement.
L'informatique quantique et l'IA agentique : des menaces émergentes
Le rapport consacre un chapitre à l'informatique quantique, qui pourrait à terme casser les algorithmes de chiffrement actuels. La stratégie « store now, decrypt later » consiste à exfiltrer des données chiffrées pour les déchiffrer plus tard, avec un Q-day estimé entre 2030 et 2035. L'Anssi a annoncé qu'à partir de 2027, elle ne qualifiera plus de nouveaux produits reposant uniquement sur des algorithmes classiques.
L'IA agentique représente une menace encore plus immédiate. En septembre 2025, la société Anthropic a détecté une campagne où un agent IA a exécuté de manière autonome la majorité des phases d'attaque (reconnaissance, exploitation, exfiltration), l'intervention humaine se limitant à la supervision. « L'IA n'est plus seulement un outil d'assistance, mais devient un acteur opérationnel de la menace », souligne le rapport.
Réponses françaises et coopération internationale
Face à cette déferlante, les autorités françaises ont mené plusieurs opérations majeures en 2025 : démantèlement du forum XSS.is avec arrestation d'un administrateur en Ukraine, interpellation de quatre pirates français liés à BreachForums, destruction d'un réseau de faux investissements en cryptomonnaies ayant blanchi près de 700 millions d'euros, et l'opération ENDGAME qui a mis hors service 300 serveurs et 650 domaines criminels en mai 2025.
Sur le plan juridique, la loi du 13 juin 2025 contre le narcotrafic a élargi les capacités d'investigation cyber, autorisant la captation d'images et de sons à distance et l'utilisation de deepfakes à des fins de protection des investigations. Enfin, en octobre 2025, la France a signé à Hanoï la Convention des Nations unies contre la cybercriminalité, premier instrument onusien visant à harmoniser les législations et renforcer la coopération judiciaire internationale. La guerre ne fait que commencer.
