La Poste, Mondial Relay, le ministère des Sports, France Travail, plus de 1000 mairies, etc., l’année 2025 a battu tous les records en termes d’attaques informatiques visant des entreprises de toutes tailles et de tous secteurs ! Explications.
Il ne se passe pas une semaine sans qu’on apprenne dans la presse que telle ou telle entreprise a été victime d’une infiltration de son réseau informatique. Au total, ce sont plusieurs centaines de sociétés et plus de 1 000 collectivités qui ont vu leurs données exfiltrées ou leur activité bloquée durant plusieurs jours comme La Poste fin décembre à cause d’une attaque par déni de service (ou DoS pour Denial of Service).
Le plus désespérant est que, dans la majorité des cas, les scenarii sont toujours les mêmes. Un salarié a cliqué sur une pièce jointe infectée ou a donné son identifiant/mot de passe sous différents prétextes (blocage d’un compte, maintenance…). En effet, encore aujourd’hui, la majorité des cyberattaques commencent par une attaque de phishing.
La mauvaise gestion des mises à jour des logiciels, un contrôle approximatif des différents accès des salariés, des sauvegardes pas assez sécurisées sont également exploités par les pirates, qui ne sont pas tous des Russes ou des Chinois. Des adolescents français ont été arrêtés par avoir infiltré le ministère de l’Intérieur et Free notamment.
Et le plus rageant est que certaines entités n’ont pas appris des cyberattaques dont elles ont été victimes ! C’est le cas en particulier de France Travail, anciennement Pôle emploi. L’organisme public a été piraté quatre fois depuis 2024 ! Les fuites de données massives en 2024 et 2025 concernent des dizaines de millions de personnes.
Les données personnelles en question sont le nom et prénom, date de naissance, identifiant France Travail, adresses électroniques et postales ainsi que les numéros de téléphone. Les mots de passe et les coordonnées bancaires ne seraient pas concernés. Mais les données personnelles peuvent être utilisées par des arnaqueurs pour se faire passer pour des services légitimes, et soutirer davantage d’informations.
Des fuites de données sensibles qui devraient être sécurisées…
Toutes ces attaques confirment que la cybersécurité est un échec. À propos de l’infiltration du réseau informatique de son ministère, le ministre de l’Intérieur, Laurent Nuñez, a déploré une faille de sécurité rendue possible par un manque « d’hygiène numérique » et dénoncé « des imprudences ».
Les entreprises considèrent toujours la protection des données comme un « centre de coûts » et pas comme un investissement. Résultat, elles multiplient les achats de logiciels de sécurité en pensant être parfaitement sécurisées. Mais elles oublient trois points majeurs.
Premièrement, un logiciel de sécurité reste un programme informatique avec… des failles. Deuxièmement, ces logiciels de sécurité doivent être correctement configurés et gérés pour être efficaces. Enfin, la cybersécurité doit être globale et englober l’aspect humain (par des sensibilisations appropriées) et les processus métier internes et externes (les partenaires sont aussi des maillons faibles potentiels).
Début 2026, un pirate a mis en vente environ 340 Go de données internes concernant EDF, Eiffage, Bouygues, Engie, Renault, l’Armée de l’Air, la FFT et plusieurs entités publiques. Les données comprennent des archives clients présentées comme… chiffrées (ou cryptées dans le langage commun), des documents industriels et techniques, des fichiers administratifs, etc.
Ces données proviendraient d’un piratage ayant affecté AXYON, une entreprise d’ingénierie, d’expertise technique et de conseils, spécialisée dans l’industrie, la construction et les expertises innovantes.
Or, cette entreprise a pour clients des entités sensibles : EDF (centrales nucléaires et sites sensibles), Eiffage (construction, énergie, génie civil, rail), Bouygues (construction, immobilier, BTP), l’Armée de l’Air, des collectivités territoriales et filiales publiques…
Cette année noire est aussi un échec pour la CNIL qui n’a pas assez sanctionné les entreprises. Combien d’entre elles appliquent correctement les mesures du RGPD exécutoire depuis 2018 ?
Enfin, les COMEX et Directions ont échoué en n’investissant pas assez dans les budgets de cybersécurité (logiciels, experts…) et en appliquant une gestion de crise ridicule.
Elle consiste dans la plupart des cas à se dédouaner et à recommander aux personnes concernées de faire désormais attention…
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE