Ce que les 1 366 incidents révèlent vraiment aux DSI
Le rapport d’activité 2024 de l’ANSSI, publié début 2025 sur le site de l’Agence nationale de la sécurité des systèmes d’information, remet les compteurs à zéro pour les DSI qui pilotent la sécurité en France. L’ANSSI y recense 3 586 événements de sécurité (en baisse d’environ 22 % par rapport à 2023) pour 1 366 incidents confirmés, en légère hausse. Ces chiffres, issus du chapitre consacré aux « incidents traités par l’ANSSI », décrivent un paysage où il y a moins de bruit, mais davantage de coups au but sur les systèmes d’information critiques.
Ce différentiel entre événements détectés et incidents avérés illustre une amélioration de la qualité de détection, tandis que les attaques visent plus directement les actifs sensibles des organisations publiques et privées. Pour un RSSI de grande entreprise comme pour une PME exposée, ces 1 366 cas traduisent une montée en sophistication des rançongiciels, du phishing et des compromissions avec exfiltration de données, qui ciblent en priorité les données personnelles et les services numériques essentiels. La baisse apparente de l’activité malveillante masque en réalité une professionnalisation des acteurs étatiques et des groupes criminels organisés, avec des campagnes plus ciblées et mieux préparées.
Le rapport souligne que les attaques par rançongiciel restent un marqueur central du panorama de la cybermenace en France, avec des campagnes qui touchent autant les collectivités que les hôpitaux ou les industriels. Pour les DSI, le coût total ne se limite plus à la rançon : il agrège l’arrêt des services, la reconstitution des données, la mobilisation des équipes pendant plusieurs semaines et, parfois, la gestion de la communication de crise. Dans ce contexte, la cybersécurité devient un sujet de continuité d’activité autant qu’un enjeu de conformité réglementaire, avec des impacts financiers qui se chiffrent facilement en centaines de milliers d’euros pour une interruption de plusieurs jours.
Les données publiées par l’ANSSI confirment aussi la fragilité persistante des PME, souvent sous-équipées en authentification multifacteur (MFA), en sauvegardes isolées et en supervision SOC. Les petites entreprises du secteur industriel ou des services numériques restent des cibles privilégiées pour le vol d’informations et les compromissions par rançongiciel, car leurs environnements Microsoft et leurs services cloud sont rarement durcis au niveau attendu par l’agence nationale. Pour un DSI de groupe, la faiblesse d’une filiale ou d’un sous-traitant devient un risque systémique documenté noir sur blanc, qui impose de traiter la chaîne de valeur comme un tout cohérent.
Les campagnes de phishing et de spear phishing expliquent une part significative des incidents, avec des scénarios qui combinent vulnérabilités zero day, hameçonnage ciblé et mouvements latéraux silencieux. Le rapport met en avant des cas où un simple e-mail de phishing simulé en exercice interne a permis de mesurer l’ampleur du risque humain dans les équipes métiers, bien au-delà de la DSI. Pour les responsables de la cybersécurité en France, ces constats justifient un investissement massif dans la sensibilisation continue plutôt que dans des formations ponctuelles, avec des programmes récurrents intégrés au plan de développement des compétences.
Pour arbitrer les budgets, les DSI peuvent s’appuyer sur ce panorama national comme sur un tableau de bord, en rapprochant les 1 366 incidents traités par l’agence de leurs propres événements de sécurité internes. Les écarts entre l’année écoulée et l’année précédente, en termes d’attaques par rançongiciel, de compromissions de comptes ou de fuites de données, deviennent un argument chiffré face aux directions financières. Ce n’est plus un discours d’expert, c’est un benchmark sectoriel validé par l’autorité nationale, qui permet de prioriser des chantiers concrets : MFA généralisé, sauvegardes hors ligne, segmentation réseau et choix d’une solution de détection adaptée (EDR, XDR ou MDR).
De la cryptographie post quantique à NIS2 : un nouveau cadre pour les budgets
Le même rapport ne se contente pas de compter les incidents ; il trace aussi une trajectoire stratégique avec la cryptographie post-quantique et la montée en puissance des cadres NIS2 et DORA. L’ANSSI y détaille une étude de marché menée auprès d’une cinquantaine d’entités stratégiques, l’agrément d’un premier CESTI dédié à l’évaluation de solutions post-quantiques et la délivrance de deux premiers certificats de sécurité pour des mécanismes de cryptographie post-quantique. Ces jalons donnent aux DSI un calendrier concret, qui devient un outil de planification budgétaire pluriannuelle plutôt qu’un sujet purement théorique, en particulier pour les systèmes à longue durée de vie.
Pour les organisations soumises à la directive NIS actuelle et au futur cadre réglementaire NIS2, le document de l’ANSSI fournit un lien direct entre incidents, exigences de sécurité et investissements à programmer. Les DSI des opérateurs de services essentiels, des banques concernées par DORA et des grandes entreprises des secteurs énergie ou transport peuvent y lire une feuille de route technique pour leurs systèmes Microsoft, leurs services cloud et leurs architectures réseau. La cryptographie post-quantique n’est plus seulement un sujet de R&D, c’est un chantier d’urbanisation des systèmes d’information à inscrire dans les plans pluriannuels, avec des jalons de migration et des budgets associés.
Le projet PANAME, lancé par l’ANSSI pour auditer la confidentialité des modèles d’IA, illustre cette bascule entre innovation et sécurité opérationnelle. En liant intelligence artificielle, protection des données personnelles et exigences de sécurité, l’agence rappelle que chaque nouveau cas d’usage IA doit être intégré au panorama de la menace et aux plans de réponse à incident. Pour les DSI qui déploient des modèles génératifs dans les métiers, ce signal impose de revoir les politiques de données, les contrôles d’accès et les clauses contractuelles avec les fournisseurs, afin de limiter les risques de fuite d’informations sensibles.
Dans ce contexte, la conformité NIS et la future conformité NIS2 ne peuvent plus être traitées comme un simple projet juridique ou documentaire. Le rapport montre que les incidents touchent d’abord les couches techniques : MFA mal déployé, segmentation réseau insuffisante, supervision lacunaire des événements de sécurité. Les DSI doivent donc articuler le cadre réglementaire avec des choix d’architecture concrets, en s’appuyant sur les frameworks NIST et ISO 27001 plutôt que sur des présentations génériques d’ESN, et en traduisant chaque exigence en mesures opérationnelles mesurables.
Les vulnérabilités zero day, notamment sur les environnements Microsoft et les services cloud, restent un angle mort coûteux si la détection n’est pas industrialisée. Les analyses publiées en 2024 autour de failles critiques dans des composants de sécurité ont inquiété de nombreux RSSI français et illustrent la nécessité de coupler les recommandations de l’ANSSI avec une stratégie claire de détection avancée. Sur ce point, les DSI peuvent s’appuyer sur des retours d’expérience détaillés pour choisir entre EDR, XDR et MDR sans se noyer dans les acronymes, en s’aidant notamment des guides de l’agence sur les capacités de détection et de réaction.
Les chiffres consolidés par l’ANSSI, combinés aux exigences NIS2 et DORA, donnent enfin aux DSI une base solide pour chiffrer le coût du non-respect des bonnes pratiques. Chaque incident, chaque vol de données et chaque compromission par rançongiciel devient un cas d’école pour justifier un budget de durcissement, de segmentation et de MFA renforcé. La cybersécurité n’est plus un centre de coût abstrait, mais un levier de résilience mesurable, avec des indicateurs comme le temps moyen de détection (MTTD), le temps moyen de remédiation (MTTR) ou le pourcentage de comptes critiques protégés par MFA, qui peuvent être comparés aux objectifs internes et aux moyennes sectorielles.
De la statistique à l’opérationnel : transformer les chiffres ANSSI en plans d’action
Le rapport annuel de l’agence ne vaut que s’il est traduit en décisions opérationnelles dans les comités de direction. Les 3 586 événements de sécurité et les 1 366 incidents recensés doivent être rapprochés des journaux internes de l’entreprise pour mesurer l’écart entre la menace nationale et la réalité locale. Sans ce travail de cartographie, le panorama de la cybermenace reste un document de référence, pas un outil de pilotage, et les priorités de remédiation restent trop théoriques.
Pour les DSI, la première traduction concrète consiste à revisiter la stratégie de réponse à incident à la lumière des scénarios dominants : attaques par rançongiciel, phishing ciblé, compromissions avec vol de données. Les exercices de crise de type REMPAR, mentionnés par l’ANSSI et qui ont mobilisé plusieurs milliers de participants et plus d’un millier d’organisations, montrent que la maturité se joue dans la coordination entre DSI, métiers, communication et direction générale. Un plan de réponse à incident qui ne couvre pas la chaîne complète, des systèmes Microsoft aux services métiers, reste théorique et ne permet pas de réduire réellement les temps de reprise.
Les campagnes de phishing simulé, souvent perçues comme un gadget de sensibilisation, prennent une autre dimension à la lecture des statistiques nationales. Quand le phishing et le spear phishing restent des vecteurs majeurs d’attaques, ces exercices deviennent des KPI de sécurité au même titre que le taux de MFA activé ou le temps moyen de détection. Les DSI peuvent s’appuyer sur des analyses spécialisées des attaques de spear phishing pour structurer des programmes de sensibilisation plus réalistes et plus exigeants, avec des scénarios proches des cas réels observés par l’ANSSI et des objectifs chiffrés de réduction du taux de clic.
La protection des données personnelles et des données industrielles critiques doit ensuite être alignée sur les scénarios de rançongiciel et de vol d’informations décrits par l’agence. Les sauvegardes hors ligne, la segmentation des systèmes, le durcissement des accès privilégiés et l’activation systématique du MFA sur les comptes sensibles deviennent des prérequis, pas des options. Pour les PME comme pour les grands groupes, l’année écoulée a montré que l’absence de ces mesures se traduit mécaniquement par des incidents coûteux, avec des temps de reprise d’activité (RTO) et des pertes de données (RPO) bien supérieurs aux objectifs affichés, parfois multipliés par deux ou trois.
Un cas typique cité par les équipes de réponse à incident concerne une collectivité locale victime d’un rançongiciel : absence de segmentation, sauvegardes connectées au réseau, MFA partiel sur les comptes administrateurs. Résultat : plusieurs semaines d’interruption de services, reconstruction complète de l’infrastructure et coûts indirects majeurs. À l’inverse, une PME industrielle ayant mis en place des sauvegardes déconnectées, un plan de continuité testé et un SOC externalisé a pu contenir une attaque similaire en quelques heures, avec un impact limité à un périmètre restreint et un RTO maîtrisé à moins d’une journée.
Les DSI ont enfin intérêt à utiliser les indicateurs issus du rapport comme un langage commun avec leurs partenaires et prestataires. En exigeant des preuves de conformité au cadre réglementaire NIS, en vérifiant la prise en compte des vulnérabilités zero day et en demandant des indicateurs concrets sur les incidents traités (taux de MFA, couverture EDR, délais de correction), ils alignent l’écosystème sur un standard partagé. Les entreprises du secteur numérique qui ne peuvent pas démontrer ce niveau de maturité deviennent des maillons faibles identifiés, à accompagner ou à remplacer dans la chaîne de sous-traitance.
Au final, ce rapport de l’ANSSI n’est pas un document de plus à archiver, mais un instrument de gouvernance pour les DSI qui veulent transformer chaque euro de cybersécurité en réduction mesurable de risque. Les chiffres, les incidents et les tendances sur la cryptographie post-quantique, NIS2 et les attaques par rançongiciel fournissent un socle d’arguments difficilement contestable face aux arbitrages budgétaires. Ce n’est pas le TCO sur une slide qui compte, ce sont les tickets d’incident du lundi matin qui ne seront jamais ouverts grâce à un MFA généralisé, une détection avancée, des sauvegardes réellement restaurables et une segmentation réseau pensée dès la conception.