En cybersécurité, il y a les incidents techniques que seuls les spécialistes suivent de près. Et puis il y a ceux qui dépassent le cercle des experts, parce qu’ils touchent des millions de personnes, perturbent des services du quotidien ou rappellent brutalement qu’aucun secteur n’est à l’abri. En France, 2025 a clairement été une année de forte pression, et le début 2026 montre que le rythme ne ralentit pas. L’ANSSI indique d’ailleurs avoir eu connaissance de 2 209 signalements et 1 366 incidents en 2025, avec quatre secteurs particulièrement visés : l’éducation et la recherche (34 %), les ministères et collectivités (24 %), la santé (10 %) et les télécommunications (9 %). (cyber.gouv.fr)
Ce qui frappe, quand on regarde les affaires les plus médiatisées, c’est le changement de décor. 2025 a beaucoup exposé les télécoms, les grandes enseignes et les services en ligne visibles du grand public. Le début 2026, lui, donne davantage l’image d’une France confrontée à des incidents touchant des fichiers, des API, des systèmes RH ou des logiciels métiers très sensibles. Ce n’est pas forcément plus spectaculaire à l’œil nu, mais c’est parfois encore plus lourd en impact potentiel. (cyber.gouv.fr)
2025 : l’année où les télécoms et les grandes marques ont pris de plein fouet la lumière
L’un des dossiers les plus marquants de l’été 2025 a été Orange. Le groupe a annoncé avoir détecté le 25 juillet 2025 une cyberattaque sur l’un de ses systèmes d’information. Les mesures d’isolement ont perturbé certains services et plateformes de gestion pour des clients Business, ainsi que quelques services grand public, principalement en France. Orange a indiqué avoir déposé plainte et notifié les autorités compétentes. (Orange)
Quelques jours plus tard, c’est Bouygues Telecom qui a frappé les esprits. Dans son communiqué du 6 août 2025, l’opérateur a reconnu une cyberattaque ayant permis l’accès non autorisé à certaines données personnelles de 6,4 millions de comptes clients. L’entreprise a précisé avoir notifié la CNIL, déposé plainte et mis en place des mesures complémentaires. Là, on n’est plus dans le simple incident technique : on parle d’un volume qui transforme immédiatement une attaque en sujet national. (Corporate - Bouygues Telecom)
La grande distribution a elle aussi été très exposée. Auchan a annoncé en août 2025 avoir subi un acte de cybermalveillance touchant les données de quelques centaines de milliers de clients liés aux comptes de fidélité. Les informations volées comprenaient notamment les noms, prénoms, adresses e-mail et postales, numéros de téléphone et numéros de carte de fidélité. Quelques mois plus tard, en décembre 2025, Leroy Merlin a à son tour confirmé un acte de cybermalveillance visant des centaines de milliers de clients, avec compromission de données de contact associées à des comptes de fidélité ; l’enseigne a indiqué que les mots de passe et les données bancaires n’étaient pas concernés. (Le Monde.fr)
Et puis il y a eu La Poste, juste avant Noël. Fin décembre 2025, le groupe a subi une attaque qualifiée d’« ampleur inédite », qui a perturbé plusieurs services, dont le suivi des colis. Quelques jours plus tard, La Poste indiquait que l’ensemble des services était à nouveau disponible. C’est le genre d’affaire qui marque les esprits parce qu’elle touche un service que tout le monde utilise ou comprend immédiatement. (Le Monde.fr)
Début 2026 : moins de vitrine commerciale, plus de données sensibles
Le tout début 2026 a montré un autre visage de la menace. D’abord, La Poste a de nouveau été touchée le 1er janvier 2026 : les sites de La Poste et de La Banque Postale ont été rendus difficilement accessibles par une nouvelle cyberattaque, dans la continuité de l’épisode de Noël. Le groupe a expliqué qu’il s’agissait d’une attaque par déni de service, sans fuite de données selon ses déclarations. (Le Monde.fr)
Ensuite, l’une des affaires les plus sensibles de ce début d’année a concerné l’Urssaf. L’organisme a signalé un accès non autorisé à l’API contenant certaines données de la déclaration préalable à l’embauche (DPAE). Le Monde a rapporté que jusqu’à 12 millions de salariés pouvaient être potentiellement concernés. Ce type d’incident est important parce qu’il touche non seulement des données personnelles, mais aussi un flux administratif central entre employeurs et organismes publics. (Urssaf)
Autre choc, cette fois côté finances publiques : l’accès illégitime au fichier FICOBA, révélé par Bercy en février puis détaillé début mars 2026. Selon le ministère de l’Économie, un acteur malveillant ayant usurpé les identifiants d’un fonctionnaire a pu consulter une partie du fichier à partir de la fin janvier 2026. Le gouvernement indique que la fuite concernerait 1,2 million de comptes, soit moins de 1 % des coordonnées du fichier, avec des RIB/IBAN, l’identité du titulaire et son adresse. Là encore, le sujet dépasse très vite le périmètre technique : dès qu’on parle d’IBAN et d’identité, on ouvre la porte à toute une chaîne de fraude et d’ingénierie sociale. (economie.gouv.fr)
Le secteur de la santé a lui aussi fait les gros titres. Fin février 2026, Cegedim a confirmé, dans le contexte d’un reportage télévisé, qu’un incident lié à un logiciel pour médecins avait bien donné lieu à un vol de données personnelles à la fin 2025. Dans le même temps, plusieurs pages de professionnels de santé affichaient des messages d’alerte évoquant la cyberattaque du logiciel Weda le 10 novembre 2025, avec risque d’exfiltration partielle de données, y compris des données médicales et d’identité selon certains messages d’information visibles sur Doctolib. La dimension santé rend ce type d’affaire particulièrement sensible, bien au-delà de la seule volumétrie. (cegedim.fr)
Le monde syndical n’a pas été épargné non plus. La CFDT a annoncé le 18 février 2026 avoir été victime d’une attaque informatique impliquant un téléchargement illégal de fichiers contenant des données personnelles d’adhérents. Le Monde a, de son côté, indiqué qu’un fichier présenté comme contenant des informations sur 1,4 million d’adhérents était proposé à la vente sur un site spécialisé. Même quand les chiffres doivent toujours être manipulés avec prudence, ce genre de dossier rappelle à quel point les organisations non marchandes sont elles aussi devenues des cibles rentables ou symboliques. (CFDT)
Et très récemment, fin mars 2026, le ministère de l’Éducation nationale a communiqué sur un incident de sécurité touchant le système COMPAS. Le ministère indique qu’un accès frauduleux, réalisé le 15 mars 2026 après usurpation d’un compte externe, aurait permis l’exfiltration de données concernant environ 243 000 agents, stagiaires ou titulaires. Les données concernées incluaient des éléments d’identité, des coordonnées, des périodes d’absence — sans information de santé — ainsi que des données professionnelles de tuteurs. C’est typiquement le genre d’affaire qui montre que les logiciels RH et les systèmes périphériques sont devenus des points d’entrée ou des gisements de données particulièrement convoités. (Ministère de l'Education nationale)
Ce que ces affaires racontent vraiment
Pris séparément, chaque cas a sa mécanique. Pris ensemble, ils racontent quelque chose de plus profond. D’abord, la menace n’est plus réservée aux “secteurs hypertechniques”. Les opérateurs télécoms sont visés, oui, mais aussi les enseignes grand public, les administrations, les syndicats, les logiciels médicaux ou les outils RH. Ensuite, le cœur du problème n’est pas seulement la panne : c’est la donnée. Coordonnées, IBAN, dossiers administratifs, identités, informations de santé, historiques de relation client… ce sont ces briques-là qui alimentent ensuite le phishing, l’escroquerie, l’usurpation d’identité ou la revente. (cyber.gouv.fr)
Il y a aussi une autre leçon, plus discrète mais très importante : beaucoup d’incidents récents parlent d’accès. Accès via un système d’information exposé, via des identifiants usurpés, via une API, via un compte externe, via un logiciel métier. On est de moins en moins dans l’image caricaturale du “pirate qui casse tout” et de plus en plus dans des scénarios où l’attaquant se glisse dans un flux légitime, abuse d’un accès, ou exploite un maillon secondaire. C’est précisément ce qui rend ces incidents si difficiles à prévenir et si longs à détecter. (Orange)
Conclusion
Si l’on devait résumer la période, on pourrait dire ceci : 2025 a été l’année où de grandes marques et des opérateurs ont montré à quel point une cyberattaque pouvait devenir une affaire publique en quelques heures. Le début 2026, lui, montre une autre réalité : celle d’incidents touchant des bases, des interfaces, des logiciels métiers et des systèmes administratifs dont l’impact est parfois moins visible immédiatement, mais potentiellement immense. (Orange)
Et au fond, c’est peut-être cela le plus inquiétant : en France, la question n’est plus vraiment de savoir si les cyberattaques continueront à faire la une. La vraie question, c’est de savoir quels types de données ou de services essentiels seront exposés ensuite. (cyber.gouv.fr)
