L’état des lieux de la cybersécurité en France : types d’attaques, incursion de l’IA, nouvelles protections… (2025)

Près d’une entreprise française sur deux a subi une cyberattaque majeure en 2024. Et dans 65 % des cas, l’incident a perturbé l’activité pendant une période « significative ». C’est en tout cas ce qui ressort de l’édition 2025 du baromètre CESIN x OpinionWay.

Dans cet article, DFM décrypte pour vous les principaux enseignements du baromètre : types d’attaques, techniques employées, posture défensive des entreprises, failles persistantes… Un état des lieux utile pour mesurer le chemin parcouru, et ce qu’il reste encore à sécuriser.

Le volume des cyberattaques se stabilise, mais leur impact s'intensifie

En 2024, 47 % des entreprises françaises ont subi au moins une cyberattaque majeure, une proportion stable par rapport à 2023. Mais les conséquences de ces attaques se sont aggravées : le vol de données touche désormais 42 % des entreprises victimes, soit 11 points de plus qu'en 2023.

L'impact opérationnel de la cybermenace reste massif : 65 % des entreprises touchées constatent des perturbations significatives dans leur activité pendant une durée qualifiée d’ « importante », et 23 % d'entre elles rapportent une baisse ou un arrêt de la production.

Cette stabilisation du nombre d'attaques fait suite à une baisse progressive observée entre 2019 et 2022 (de 65 % à 45 % d'entreprises touchées). Le baromètre explique cette performance par la hausse des investissements dans la cybersécurité, surtout chez les entreprises qui ont déjà subi des attaques par le passé.

Mais les cybercriminels adaptent leurs méthodes : ils attaquent moins, mais ils visent mieux et font beaucoup plus de dégâts.

Le phishing reste le mode opératoire préféré des attaquants

Environ 60 % des cyberattaques recensées en France en 2024 ont commencé par une tentative de phishing. Cette attaque d’ingénierie sociale reste, de loin, la plus utilisée, probablement parce qu’elle permet de contourner les systèmes de sécurité des entreprises (pare-feu, antivirus, filtrage réseau, EDR) en ciblant directement l’utilisateur.

Il suffit en effet qu’un employé saisisse ses identifiants sur une fausse page de connexion, reçue par email et imitant un tiers de confiance pour que le pirate informatique obtienne un accès aux systèmes de l’entreprise, subtilise des données et (surtout) prépare une attaque plus lucrative (fraude au fournisseur, fraude au président, ransomware, etc.).

L’exploitation des failles de sécurité est la deuxième forme de cyberattaque la plus courante en France, avec 47 % des intrusions. Elle cible principalement des CMS mal sécurisés, des services exposés en ligne (comme Exchange, Citrix ou des bases Elasticsearch ouvertes) ou des composants obsolètes (bibliothèques JavaScript, modules PHP, plugins tiers). Ces attaques nécessitent souvent une phase de repérage, où les attaquants scannent les adresses IP et les ports ouverts pour trouver des vulnérabilités.

Enfin, les attaques par déni de service (41 %) visent à saturer les serveurs ou les passerelles réseau. Elles n’exigent aucun accès préalable, mais bloquent temporairement les services en ligne. Elles sont majoritairement utilisées comme écran de fumée pour masquer une intrusion parallèle.

Deepfakes, cyberespionnage, fraudes au président : l’arsenal des attaquants monte en gamme

C’était prévisible : avec les progrès spectaculaires de l’IA générative, les deepfakes ont gagné du terrain cette année.

Déjà identifiés dans 9 % des attaques recensées (item absent du dernier baromètre), ces vidéos ou messages audio falsifiés permettent de simuler la voix ou le visage d’un dirigeant pour appuyer une demande frauduleuse, par exemple une demande de virement au comptable. Les deepfakes renforcent des escroqueries bien connues comme l’arnaque au président ou la fraude au fournisseur, où l’usurpation d’identité est centrale.

Autre forme d’attaque élaborée : le cyberespionnage. Plus d’un tiers (37 %) des entreprises françaises interrogées considèrent ce risque comme élevé, un chiffre stable mais préoccupant. Il s’agit d’intrusions discrètes qui visent à accéder à des données sensibles (base de données prospects et clients, brevets, négociations, R&D).

Les ransomwares reculent, mais ils restent destructeurs pour les PME

Le chiffrement de données par ransomware a reculé de 9 points en 2024. Cette baisse confirme une tendance déjà amorcée les années précédentes, portée par la généralisation des sauvegardes sécurisées, des plans de reprise d’activité et des outils de détection comportementale.

Mais ce recul ne doit pas masquer la persistance du risque : les ransomwares restent présents dans les attaques complexes, notamment lorsqu’ils interviennent en fin de chaîne, après une phase de reconnaissance et d’exfiltration de données. Les attaques au ransomware qui réussissent sont parmi les plus destructrices de toutes les cyberattaques, car elles combinent plusieurs leviers de pression :

• Blocage des systèmes de l’entreprise (notamment la comptabilité) ;
• Menace de publication de données sensibles ;
• Chantage au RGPD ;
• Revente des fichiers commerciaux (prospects, clients…).

Le baromètre suggère que cette baisse est surtout visible chez les entreprises les mieux préparées. La menace reste surtout active chez les PME, notamment via des kits de piratage accessibles pour une poignée d’euros sur les forums clandestins.

Les outils de défense les plus utilisés en 2024 : EDR, MFA, Zero Trust et VOC

Les entreprises françaises continuent de renforcer leur arsenal défensif. En tête des technologies jugées les plus efficaces : les solutions EDR (Endpoint Detection and Response), plébiscitées par 95 % des répondants, en hausse de 5 points. Ces outils permettent de détecter rapidement les comportements anormaux sur les postes de travail et de réagir en isolant la machine compromise.

💡 Cas d’usage d’une détection d’intrusion par EDR

Un collaborateur reçoit un mail piégé, clique sur le lien et télécharge un fichier contenant un script malveillant. L’utilisateur ne remarque rien, mais l’EDR détecte une exécution inhabituelle de commandes PowerShell, suivie d’une tentative de connexion vers une adresse IP suspecte. L’alerte remonte automatiquement à l’équipe cybersécurité, à l’IT ou au prestataire infogérant, et la machine est isolée du réseau en moins de deux minutes, ce qui évite toute propagation latérale ou vol de données.

L’authentification multifacteur (MFA) est désormais largement déployée pour sécuriser les accès distants et les comptes à privilèges. Elle repose sur une double validation (mot de passe + code temporaire reçu sur mobile par exemple), qui empêche l’utilisation frauduleuse d’identifiants volés.

Le modèle Zero Trust gagne également du terrain : 31 % des entreprises françaises l’ont déjà mis en œuvre, soit 7 points de plus en un an. Concrètement, chaque tentative d’accès à une application, un fichier ou un service réseau, passe par une vérification automatisée systématique (un contrôle d’identité, de droits d’usage, de localisation et d’état de sécurité du terminal). Même si l’utilisateur s’est déjà connecté par le passé sur le même ordinateur, l’accès n’est pas accordé tant que ces conditions ne sont pas validées. Rien n’est supposé « fiable par défaut » ou « par habitude ».

Autre évolution marquante : les VOC (Vulnerability Operation Centers) progressent de 9 points et atteignent 26 % d’adoption. Ils permettent de centraliser la détection des failles, de suivre leur correction dans le temps et d’éviter les angles morts liés aux mises à jour non appliquées.

Ces données confirment un basculement vers des approches plus proactives et intégrées, où la sécurité repose moins sur des barrières d’entrée que sur la capacité à réagir, contenir et corriger.

Laissez-nous gérer votre cybersécurité, concentrez-vous sur votre croissance

Votre politique de cybersécurité conditionne la performance globale de votre entreprise. Une seule attaque aboutie peut bloquer la production, exposer des informations sensibles ou entraîner une mise en cause réglementaire, notamment au titre du RGPD.

Et contrairement à ce que l’on pourrait penser, les PME et ETI sont des cibles de choix, car elles servent de porte d’entrée vers leurs clients grands comptes dans le cadre des attaques par rebond. Les risques sont à la fois juridiques, financiers, commerciaux et réputationnels.

Chez DFM, nous accompagnons depuis 20 ans les entreprises françaises dans la sécurisation de leur système d’information : protection des postes et des accès, surveillance active, sauvegarde, reprise d’activité, audits réguliers… Notre force : une présence terrain massive, avec 300 collaborateurs répartis dans 12 agences, au service de plus de 10 000 clients sur tout le territoire national.

Confier votre cybersécurité à DFM, c’est choisir un partenaire de proximité, capable d’anticiper les menaces, de réagir vite et de construire avec vous les conditions d’une croissance durable et sécurisée. Parlons de votre besoin 👇