Le rapport annuel sur la cybercriminalité 2026 du COMCYBER-MI confirme une impression que beaucoup de professionnels du numérique ressentent déjà sur le terrain : la cybercriminalité n’est plus un bruit de fond réservé aux grandes entreprises, aux administrations ou aux experts sécurité. Elle est devenue une réalité quotidienne, massive, structurée, parfois banale dans sa forme, mais rarement anodine dans ses conséquences.
En 2025, 453 200 atteintes numériques ont été enregistrées en France. Le chiffre est impressionnant, surtout lorsqu’on le remet en perspective : cela représente une hausse de 87 % sur les cinq dernières années. Derrière cette progression, il n’y a pas seulement des attaques spectaculaires, des groupes de rançongiciels ou des opérations géopolitiques. Il y a aussi des escroqueries en ligne, des usurpations d’identité, des vols de comptes, des données revendues, des collectivités perturbées, des entreprises fragilisées et des particuliers qui découvrent trop tard que leur vie numérique peut avoir des effets très concrets.
Ce rapport est intéressant parce qu’il ne parle pas seulement de technique. Il montre une bascule plus large : le cyberespace est devenu un prolongement naturel de la délinquance, de l’espionnage, de l’activisme politique, de la criminalité organisée et parfois même de menaces physiques. En tant que développeur web freelance, je le lis aussi comme un rappel utile : chaque site, chaque accès administrateur, chaque formulaire, chaque prestataire et chaque compte utilisateur peut devenir un point d’entrée.
Une cybercriminalité qui s’installe dans le quotidien
Le premier enseignement du rapport tient dans la répartition des atteintes numériques enregistrées en 2025. 61,9 % concernent des atteintes numériques aux biens, comme les escroqueries, les fraudes et les arnaques en ligne. 33 % relèvent d’atteintes numériques à la personne. Les atteintes aux institutions représentent 4,7 %.
Cette répartition dit quelque chose d’important : la cybercriminalité ne se résume pas aux grandes opérations visibles dans la presse. Une grande partie des faits touche directement des personnes et des organisations dans leur usage ordinaire du numérique. Un faux SMS de livraison, un faux support bancaire, une boutique frauduleuse, une usurpation de compte, un message de phishing bien rédigé ou une arnaque au virement peuvent faire autant de dégâts, à leur échelle, qu’une attaque plus technique.
Ce qui change, c’est la densité du phénomène. Nous utilisons le numérique pour travailler, acheter, déclarer, échanger, stocker, signer, payer, apprendre, gérer notre santé, accéder à des services publics. Plus cette dépendance augmente, plus la surface d’attaque s’étend.
Le rapport ne décrit donc pas seulement une hausse statistique. Il montre une forme de normalisation de la menace. La cybercriminalité est devenue une économie parallèle, capable de toucher aussi bien un hôpital qu’un artisan, une collectivité qu’un freelance, une grande entreprise qu’un particulier.
Le volume ne dit pas tout : l’impact compte autant que le nombre
Face à un chiffre comme 453 200 atteintes numériques, le réflexe naturel est de regarder la quantité. Pourtant, le volume ne suffit pas à comprendre la menace. Toutes les attaques n’ont pas le même niveau de gravité, le même objectif ni les mêmes conséquences.
Une campagne de phishing envoyée à grande échelle peut générer beaucoup de signalements, mais avoir un impact limité si elle est mal conçue ou rapidement bloquée. À l’inverse, une seule intrusion dans un système sensible peut entraîner des conséquences lourdes : fuite de données médicales, interruption de service, perte de confiance, obligation de notification, coûts de remise en état, voire mise en danger de personnes dans certains contextes.
C’est là que le rapport est utile : il montre que la cybercriminalité se déploie sur plusieurs niveaux. Il y a la délinquance opportuniste, souvent automatisée, qui cherche la faille facile. Et il y a des opérations plus structurées, menées par des groupes organisés, parfois avec des motivations financières, idéologiques ou géopolitiques.
Dans les deux cas, les points d’entrée restent souvent très simples : un mot de passe réutilisé, un accès distant mal protégé, une mise à jour oubliée, un prestataire compromis, un email crédible envoyé au bon moment. La sophistication n’est pas toujours dans la faille technique. Elle est souvent dans l’organisation, le ciblage et la capacité à industrialiser des méthodes connues.
Le rançongiciel évolue : chiffrer n’est plus toujours nécessaire
Les rançongiciels restent l’une des menaces les plus redoutées. Pendant longtemps, l’image dominante était assez claire : un attaquant chiffre les fichiers d’une organisation, bloque son activité, puis exige une rançon contre une clé de déchiffrement.
Cette logique existe toujours, mais elle n’est plus la seule. Le rapport montre une évolution importante : les groupes criminels privilégient de plus en plus l’exfiltration de données et la menace de publication. Autrement dit, ils n’ont pas toujours besoin de bloquer techniquement le système d’information pour mettre une victime sous pression. Il suffit parfois de voler des données sensibles et de menacer de les diffuser.
Ce changement est majeur. Il signifie qu’une entreprise peut disposer de sauvegardes correctes, restaurer ses serveurs et rester malgré tout exposée à une crise sérieuse. Si des données clients, des documents RH, des informations commerciales, des contrats, des données de santé ou des secrets industriels ont été copiés, la question ne se limite plus à redémarrer l’activité.
La sauvegarde reste indispensable, mais elle ne suffit plus. Il faut aussi se demander : quelles données sont stockées ? qui y a accès ? depuis où ? pendant combien de temps ? sont-elles vraiment nécessaires ? les accès sont-ils journalisés ?
C’est un point que je retrouve souvent dans les projets web. On accumule facilement des données “au cas où”. On garde d’anciens exports, des comptes inactifs, des accès prestataires, des sauvegardes non chiffrées, des interfaces d’administration oubliées. Le problème, c’est qu’une donnée inutile mais conservée reste une donnée attaquable.
Hacktivisme : quand l’actualité internationale frappe les sites français
Le rapport insiste aussi sur la place de l’hacktivisme. En 2025, les campagnes revendiquées par des groupes se réclamant de causes politiques, religieuses ou géopolitiques ont occupé une place importante, avec une forte domination des attaques par déni de service distribué, ou DDoS.
Une attaque DDoS n’a pas toujours pour objectif de voler des données. Elle vise plutôt à rendre un service indisponible en le saturant de requêtes. Pour une cible très visible, l’effet recherché est souvent médiatique : afficher une capacité de nuisance, faire passer un message, embarrasser une institution ou s’inscrire dans une actualité internationale.
Le rapport montre que les conflits en Ukraine et au Moyen-Orient alimentent directement certaines campagnes. Des groupes se coordonnent, s’allient ponctuellement, reprennent des mots d’ordre, ciblent des pays, des entreprises ou des institutions en fonction de prises de position politiques ou d’événements diplomatiques.
Ce qui me semble important ici, c’est qu’une organisation peut devenir une cible non pas parce qu’elle détient une donnée précieuse, mais parce qu’elle représente quelque chose. Une mairie, un média local, un prestataire public, une entreprise associée à un secteur stratégique ou un événement visible peuvent être pris pour cible à des fins symboliques.
Pour beaucoup de structures, c’est contre-intuitif. Elles se pensent trop petites ou trop peu intéressantes. Mais dans une logique hacktiviste, la valeur d’une cible n’est pas toujours économique. Elle peut être politique, médiatique ou simplement opportuniste.
Les infrastructures critiques sous pression
Le rapport consacre une place importante aux infrastructures critiques : santé, transports, énergie, télécommunications, collectivités. Ce sont des secteurs où une attaque informatique peut avoir des conséquences qui dépassent largement l’écran.
Dans la santé, les enjeux sont évidents. Les hôpitaux, laboratoires, cliniques, pharmacies ou professionnels de santé manipulent des données sensibles et doivent maintenir une continuité de service. Une attaque peut désorganiser les soins, retarder des prises en charge ou exposer des informations très personnelles.
Dans les transports, les attaques peuvent viser des sites vitrines, des comptes usurpés, des données clients ou, dans les scénarios les plus graves, des systèmes liés à la régulation. Dans l’énergie, le rapport souligne la sensibilité des systèmes industriels et le risque de sabotage ou de perturbation. Les télécommunications, elles, constituent une colonne vertébrale : quand elles sont touchées, les effets peuvent se répercuter sur beaucoup d’autres services.
Un point ressort particulièrement : les systèmes industriels de type SCADA. Ces systèmes servent à superviser et contrôler des équipements physiques : eau, énergie, production, transport, installations techniques. Leur exposition au risque cyber est préoccupante parce qu’ils relient directement le numérique au monde matériel.
Il ne s’agit pas de céder au scénario catastrophe permanent. Le rapport indique que les impacts observés restent souvent limités. Mais la trajectoire est claire : certains groupes cherchent à tester les frontières entre action numérique et effet physique. C’est une bascule à prendre au sérieux.
Le cybercrime est devenu une économie de services
L’un des aspects les plus frappants du rapport concerne la structuration de l’écosystème cybercriminel. On parle de Cybercrime-as-a-Service, par analogie avec les services numériques classiques.
L’idée est simple : il n’est plus nécessaire d’être un expert complet pour lancer ou participer à une attaque. Des outils, des accès, des scripts, des malwares, des services d’hébergement, des kits de phishing, des bases de données et même du support technique circulent dans des espaces clandestins. Chacun peut occuper un rôle précis.
Certains développent des logiciels malveillants. D’autres collectent des identifiants via des infostealers. D’autres encore revendent des accès initiaux à des réseaux d’entreprise. Des opérateurs de rançongiciels exploitent ensuite ces accès. Des intermédiaires négocient, blanchissent, revendent ou publient.
Cette spécialisation rend l’ensemble plus efficace. Elle permet aussi à des profils moins techniques de participer. C’est peut-être l’un des points les plus inquiétants : la barrière d’entrée baisse. Là où il fallait autrefois des compétences solides, il suffit parfois d’acheter un service ou de suivre une documentation.
On retrouve presque les codes d’une économie de plateforme : réputation, abonnements, commissions, affiliation, assistance, mises à jour. La différence, évidemment, c’est que tout cela sert une activité criminelle.
Pour les défenseurs, cela complique le travail. Une attaque n’est pas forcément menée de bout en bout par un seul groupe identifiable. Elle peut être le résultat d’une chaîne de prestataires criminels, chacun spécialisé dans une étape.
IA : un accélérateur, pas une baguette magique
Le rapport aborde aussi l’usage de l’intelligence artificielle par les cybercriminels. Le sujet attire beaucoup de fantasmes, parfois justifiés, parfois exagérés. À mon sens, le point essentiel est celui-ci : l’IA ne transforme pas chaque attaquant en génie, mais elle accélère certaines tâches et rend des campagnes plus crédibles.
Elle peut aider à rédiger des emails de phishing plus naturels, dans un français correct, avec un ton adapté. Elle peut générer des variantes de messages, produire des contenus trompeurs, automatiser une partie du tri d’informations ou faciliter la création de scripts. Elle peut aussi contribuer à des deepfakes ou à des manipulations plus difficiles à repérer.
Le danger n’est donc pas seulement technique. Il est aussi social. Pendant longtemps, on repérait une arnaque à ses fautes grossières, à son ton étrange, à ses formulations maladroites. Ce filtre devient moins fiable. Les messages frauduleux peuvent être mieux écrits, mieux ciblés, plus personnalisés.
Cela ne veut pas dire que tout devient indétectable. Les fondamentaux restent valables : vérifier l’expéditeur, ne pas cliquer dans l’urgence, contrôler les demandes inhabituelles par un autre canal, limiter les droits, activer l’authentification multifacteur, surveiller les accès. Mais il faut accepter une réalité : la qualité moyenne des tentatives va monter.
Pour les développeurs, les administrateurs et les équipes produit, cela invite aussi à concevoir des parcours moins fragiles. Un utilisateur pressé, stressé ou mal informé reste une cible. La sécurité ne doit pas dépendre uniquement de sa vigilance.
Données volées : un marché bruyant, instable, mais dangereux
Le rapport décrit aussi la démocratisation des ventes de données volées. Ce marché est devenu très bruyant. On y trouve de vraies fuites, des données anciennes recyclées, des bases recomposées, des annonces exagérées et parfois des preuves fabriquées.
Cette confusion peut donner l’impression d’un écosystème désordonné, presque amateur. C’est en partie vrai. Certains acteurs cherchent surtout de la visibilité, republient d’anciennes bases ou revendiquent des intrusions qu’ils n’ont pas réalisées. Mais il ne faut pas en conclure que le risque est faible.
Même une donnée ancienne peut rester utile pour un attaquant. Une adresse email, un numéro de téléphone, une date de naissance, un mot de passe réutilisé, une ancienne adresse postale ou un identifiant professionnel peuvent alimenter une fraude, une usurpation ou une attaque ciblée.
C’est aussi pour cela que la réponse ne peut pas être uniquement technique. Il faut réduire la collecte, mieux définir les durées de conservation, supprimer ce qui n’est plus utile, segmenter les accès et prévoir des procédures claires en cas d’incident.
Sur un projet web, cela revient à poser des questions simples dès le départ : a-t-on vraiment besoin de cette donnée ? est-elle visible en back-office ? est-elle exportable ? qui peut y accéder ? est-elle supprimée quand elle ne sert plus ?Ces questions sont parfois moins séduisantes qu’un choix de framework, mais elles comptent tout autant.
Cryptoactifs : le vol numérique peut sortir de l’écran
Le rapport souligne également l’évolution de la crypto-criminalité. Les attaques ne se limitent plus à quelques escroqueries isolées. Elles reposent sur des modèles structurés, notamment autour des draineurs de portefeuilles.
Ces outils permettent de vider automatiquement des portefeuilles crypto via de faux sites, de fausses opérations promotionnelles, des signatures trompeuses ou des interfaces qui imitent des services légitimes. Là encore, le modèle se professionnalise : développeurs, affiliés, campagnes publicitaires malveillantes, comptes compromis sur les réseaux sociaux, partage des gains.
Mais le rapport met aussi en avant un autre aspect : certaines personnes liées à la cryptofinance, des dirigeants, des influenceurs ou des détenteurs visibles d’actifs numériques peuvent être exposés à des formes de pression qui dépassent le cyber. Cambriolages, extorsions, menaces physiques : le numérique peut servir à identifier, cibler ou préparer des actions dans le monde réel.
C’est un rappel utile pour un secteur qui a parfois tendance à penser la sécurité uniquement en termes de wallets, de clés privées et de smart contracts. L’exposition publique, les habitudes de communication, les données personnelles visibles, les déplacements, les comptes sociaux et les accès email font aussi partie de la surface d’attaque.
La sécurité crypto n’est donc pas seulement une affaire de technologie. C’est aussi une affaire de discrétion, de compartimentation et d’hygiène numérique.
Ce que les entreprises et les freelances doivent en retenir
Je retiens une chose très concrète du rapport : la cybersécurité n’est plus un sujet à réserver aux grandes structures. Les petites entreprises, associations, freelances, commerces, cabinets, agences et collectivités locales sont aussi concernés.
La raison est simple : beaucoup d’attaques ne commencent pas par une opération sophistiquée. Elles commencent par un accès faible. Un compte administrateur sans MFA. Un mot de passe réutilisé. Un plugin non mis à jour. Un vieux sous-domaine oublié. Un espace de test indexé. Un VPN mal configuré. Un prestataire qui conserve un accès après la fin de sa mission.
Pour une petite structure, l’objectif n’est pas de construire une forteresse parfaite. C’est impossible, coûteux et souvent disproportionné. L’objectif est plutôt de réduire les risques les plus probables et de limiter les dégâts si quelque chose arrive.
Les priorités restent très concrètes : activer l’authentification multifacteur, mettre à jour les systèmes, tester les sauvegardes, réduire les droits au strict nécessaire, supprimer les comptes inutiles, documenter les accès, surveiller les connexions inhabituelles et former les équipes sans les culpabiliser.
Comme développeur, je pense aussi que nous avons une responsabilité dans la façon dont nous livrons les projets. Un site web n’est pas terminé quand il est en ligne. Il a besoin de maintenance, de mises à jour, de supervision, de sauvegardes, de règles d’accès et d’un minimum de documentation. Sinon, il vieillit mal. Et en cybersécurité, ce qui vieillit mal devient vite une porte ouverte.
Signaler, documenter, réagir : des réflexes à renforcer
Un autre point important du rapport concerne les dispositifs de signalement et de plainte. Quand une attaque arrive, beaucoup de victimes hésitent. Par peur de l’image, par manque de temps, par impression que cela ne servira à rien, ou simplement parce qu’elles ne savent pas quoi faire.
Pourtant, signaler compte. Cela permet de mieux comprendre les campagnes en cours, de relier des faits entre eux, d’alerter d’autres victimes potentielles et d’alimenter le travail des services compétents.
En cas d’incident, le premier réflexe devrait être de documenter sans paniquer : conserver les messages, les adresses, les horaires, les captures, les journaux disponibles, les noms de fichiers, les demandes de rançon, les comptes concernés. Il faut éviter d’effacer trop vite les traces, même avec une bonne intention.
Il faut aussi prévenir les bonnes personnes rapidement : hébergeur, prestataire technique, responsable informatique, assurance cyber si elle existe, autorités compétentes, personnes concernées si des données personnelles sont impliquées.
La réaction parfaite n’existe pas, surtout sous pression. Mais une organisation qui a déjà prévu un minimum de procédure gagne un temps précieux. Qui appeler ? Qui coupe quoi ? Qui communique ? Où sont les sauvegardes ? Quels accès révoquer ? Ces questions doivent être posées avant la crise, pas au milieu.
Conclusion
Le rapport annuel sur la cybercriminalité 2026 décrit une menace plus massive, plus industrielle et plus hybride. Massive, parce que les atteintes numériques continuent d’augmenter fortement. Industrielle, parce que les outils, les rôles et les services criminels se spécialisent. Hybride, parce que les attaques numériques croisent désormais la géopolitique, l’économie, les données personnelles, les infrastructures physiques et parfois la sécurité des personnes.
Ce constat peut sembler lourd. Pourtant, je ne crois pas que la bonne réponse soit la peur. La bonne réponse, c’est une culture numérique plus solide, plus partagée et plus accessible.
La cybersécurité ne devrait pas être un luxe réservé aux grands groupes. Elle devrait faire partie de la façon normale de concevoir, maintenir et utiliser les services numériques. Cela passe par des gestes simples, des choix techniques raisonnables, de la pédagogie, de l’entraide, des outils ouverts quand c’est possible, et une meilleure prise en compte des personnes qui utilisent ces systèmes au quotidien.
Laisser un commentaire