Pourquoi nos institutions sont devenus les cibles préférées des pirates
Depuis 2022, en France nous faisons face à une vague de cyberattaques visant les services publics. Mairies, centres hospitaliers, universités, ministères, directions des finances publiques, aucun secteur n’est épargné. Je vais essayer de décrypter es motivations des pirates jusqu’aux solutions que l’État commence à déployer.
1. Les chiffres d’une menace installée dans la durée
Pour mesurer l’ampleur du phénomène, les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sont incontournables. Son Panorama de la cybermenace 2025, publié en mars 2026, livre le bilan ci-dessous.
1 366incidents de cybersécurité traités par l’ANSSI en 2025, un chiffre quasi identique à 2024 (1 361) et en forte hausse par rapport aux 831 incidents de 2022. Un plateau durablement élevé.68% des incidents les plus graves concernent le secteur public : éducation et recherche (34 %), ministères et collectivités territoriales (24 %), santé (10 %).17 600atteintes aux systèmes informatiques enregistrées en France en 2025 par le ministère de l’Intérieur, en hausse de 4 % par rapport à 2024.
128 compromissions par rançongiciel recensées par l’ANSSI en 2025, auxquelles s’ajoutent 196 incidents d’exfiltration de données.
Ce que Vincent Strubel, directeur général de l’ANSSI, appelle un « plateau très haut » mérite d’être mis en perspective. En 2022, 831 incidents étaient signalés. En 2025, le chiffre est presque deux fois supérieur. Et la tenue des Jeux Olympiques et Paralympiques de Paris en 2024 avait encore accentué ce pic, faisant de la France l’une des cibles les plus actives au monde pendant plusieurs mois.
La menace ne faiblit pas. Elle se stabilise à un niveau alarmant, s’étale sur l’année entière et touche désormais les structures les plus modestes comme les plus puissantes de l’État.
2. Dans la tête du pirate : pourquoi s’attaquer au service public ?
Les cybercriminels ne frappent pas au hasard. Leur logique est celle d’un investisseur : maximiser le retour sur effort. Et à cet égard, les institutions publiques présentent un profil particulièrement attractif, pour trois raisons fondamentales.
A. Une mine d’or de données personnelles
Un hôpital public détient, pour chaque patient, un dossier complet : identité, adresse, numéro de sécurité sociale, pathologies, traitements, contacts d’urgence. Une mairie concentre les actes d’état civil, les données fiscales, les dossiers scolaires. Une université conserve les informations personnelles de dizaines de milliers d’étudiants et de personnels.
Ces données sont de l’or sur le Dark Web. Un numéro de sécurité sociale associé à une adresse et à un identifiant fiscal constitue, un « kit d’identité » complet permettant à un fraudeur de se substituer à vous pour souscrire des crédits, ouvrir des comptes ou monter des arnaques ciblées. En 2025, le produit le plus valorisé sur les marchés clandestins n’était plus un simple numéro de carte bancaire, mais une identité numérique complète et fonctionnelle.
B. Le levier de la paralysie
L’arme la plus redoutable des pirates est le rançongiciel (ou ransomware). Le principe : s’introduire dans le réseau, chiffrer l’ensemble des fichiers pour les rendre totalement inaccessibles, puis exiger une rançon en échange de la clé de déchiffrement.
Pour une entreprise privée, une telle attaque est dramatique. Pour un service public, elle peut être vitale. Un service de réanimation ne peut pas attendre 72 heures que ses systèmes soient restaurés. Un service d’état civil gérant des actes de décès ou de naissance ne peut pas non plus « mettre en pause » ses activités. Les attaquants savent que la pression sociale et humaine est immense, et ils misent sur cette urgence pour contraindre les victimes à payer rapidement.
C. Des systèmes historiquement sous-protégés
Historiquement, le secteur public a accusé un retard significatif dans ses investissements informatiques. Les budgets dédiés à la sécurité y sont structurellement inférieurs à ceux des grandes entreprises privées. Un rapport du Sénat soulignait récemment que de nombreuses petites collectivités manquent à la fois de personnel qualifié et de ressources financières pour sécuriser correctement leurs systèmes.
Pour un groupe de cybercriminels rodés, il est beaucoup plus rentable de cibler une intercommunalité de 30 000 habitants avec des logiciels obsolètes qu’une multinationale du CAC 40 dotée d’une équipe de sécurité de 200 personnes. C’est la logique du rapport effort-bénéfice.
3. Une attaque en quatre temps
Acte I : la reconnaissance
Avant toute intrusion, les pirates « scannent » leur cible à distance. Ils recensent les adresses mail des employés, identifient les logiciels utilisés, recherchent des failles connues non encore corrigées. Cette phase peut durer des semaines, voire des mois. C’est un travail de renseignement, pas d’improvisation.
Acte II : l’intrusion
Le mode d’entrée le plus fréquent reste le hameçonnage (ou phishing), qui constitue le point de départ de 60 % des cyberattaques en France. Un e-mail, une fausse page de connexion, un document piégé : un seul agent qui clique sur le mauvais lien suffit à ouvrir une brèche. Avec l’essor des intelligences artificielles génératives, ces messages sont désormais rédigés sans fautes, personnalisés, et pratiquement indétectables.
L’autre vecteur en forte progression est la compromission de comptes légitimes : les pirates volent les identifiants d’un employé ou d’un prestataire disposant d’accès aux systèmes, et s’y glissent sans déclencher la moindre alerte. C’est ce qui s’est produit dans les deux affaires les plus marquantes de l’hiver 2025-2026 en France.
Acte III : l’expansion silencieuse
Une fois à l’intérieur du réseau, l’attaquant ne se précipite pas. Il explore, cartographie, élève ses privilèges d’accès, se déplace latéralement d’un serveur à l’autre. Cette phase d’infiltration peut durer plusieurs semaines sans que les équipes de réponse aux incidents ne détectent quoi que ce soit.
Acte IV : l’action sur objectif
Puis, c’est soit l’exfiltration discrète des données (pour les revendre ou faire pression), soit le déploiement du rançongiciel (pour paralyser et extorquer), soit les deux simultanément. Le secteur a évolué vers la « double extorsion » : je chiffre vos données et je menace de les publier si vous ne payez pas.
Le modèle RaaS : la cybercriminalité industrialisée
Le piratage est devenu une industrie à part entière, avec sa propre chaîne de valeur. Le Ransomware as a Service (RaaS) fonctionne comme un véritable franchiseur du crime : des développeurs créent et maintiennent les outils malveillants, qu’ils « louent » à des affiliés moins techniques chargés de trouver les cibles et de lancer les attaques. Les bénéfices sont ensuite partagés selon des règles préétablies. Ce modèle a multiplié le nombre d’attaques possibles simultanément et explique en grande partie la montée en puissance observée depuis 2022.
4. Deux affaires emblématiques de l’hiver 2025-2026
Pour illustrer, deux événements récents méritent une analyse approfondie. Ils révèlent chacun, à leur manière, la vulnérabilité systémique de nos administrations.
Affaire n°1 — Le piratage du Ministère de l’Intérieur (décembre 2025)
Dans la nuit du 11 au 12 décembre 2025, des serveurs de messagerie du ministère de l’Intérieur sont infiltrés. Le ministre confirme publiquement l’attaque quelques jours plus tard sur franceinfo, admettant qu’un ou plusieurs individus ont réussi à récupérer des codes d’accès via des boîtes mail professionnelles d’agents du ministère, exploitant ainsi de simples « imprudences » humaines.Le groupe se réclamant du collectif ShinyHunters revendique l’attaque et affirme avoir accédé aux données de plus de 16 millions de personnes issues de fichiers sensibles, notamment le Traitement des Antécédents Judiciaires (TAJ) et le Fichier des Personnes Recherchées (FPR). Le ministère appelle à la prudence sur ces chiffres, difficiles à vérifier, et confirme que « quelques dizaines de fiches » ont pu être extraites à ce stade. Un suspect de 22 ans, déjà condamné pour des faits similaires, est interpellé dans un village de Haute-Vienne par la BRI une semaine après les faits. Il conteste les accusations.
Affaire n°2 — Le piratage du fichier FICOBA (janvier-février 2026)
L’affaire FICOBA est d’une autre nature, mais elle révèle la même faille de fond. À partir de fin janvier 2026, un acteur malveillant parvient à accéder au Fichier national des comptes bancaires et assimilés, administré par la Direction générale des Finances publiques. Son mode opératoire, usurper les identifiants d’un fonctionnaire disposant d’un accès légitime au fichier dans le cadre des échanges entre ministères.Les données de 1,2 million de comptes bancaires sont consultées et partiellement extraites nous parlons d’identité complète des titulaires (nom, prénom, date et lieu de naissance), adresse postale, coordonnées bancaires (RIB / IBAN) et parfois l’identifiant fiscal. Ni les soldes ni les mots de passe n’ont été exposés, mais la combinaison de ces éléments constitue un « kit de fraude », suffisant pour lancer des campagnes d’hameçonnage ultra-ciblées ou tenter des prélèvements frauduleux.
La DGFiP réagit rapidement dès la détection de l’intrusion et notifie les personnes concernées. Le président de France Conso Banque, souligne le caractère historique de l’incident car c’est la première fois que des fichiers fiscaux d’une telle sensibilité sont visés. L’ANSSI est saisie, la CNIL informée, et des poursuites judiciaires engagées.
Ces deux affaires ont en commun un même vecteur d’attaque, un compte légitime détourné. Il faut savoir que la CNIL avait déjà sanctionné France Travail en 2025 d’une amende de 5 millions d’euros (après vous me direz que l’état prend des billets de la poche droite, pour les remettre dans la gauche 😎) pour un mécanisme strictement identique, la compromission des identifiants d’un prestataire externe.
5. Le facteur humain, grande oubliée des stratégies de défense
La technologie seule ne peut pas protéger une organisation. L’une des vulnérabilités les plus persistantes est le Shadow IT.
Dans de nombreux hôpitaux ou collectivités, les agents utilisent, pour gagner du temps, des applications personnelles non validées par leur service informatique, une messagerie grand public pour partager des dossiers, une clé USB apportée de chez soi, un service de partage de fichiers en ligne non homologué (Et je sais de croit je parle 👀). Ces comportements, souvent innocents, créent des failles invisibles que les administrateurs systèmes ne peuvent pas surveiller ni corriger.
La formation continue des agents constitue donc un enjeu aussi stratégique que l’investissement dans les équipements de sécurité. Un agent de mairie correctement sensibilisé vaut, dans certains cas, davantage qu’un logiciel de protection supplémentaire, mais malheureusement, je peux vous dire de source certaine que ces sensibilisations ne sont pas toujours faite et proposées.
6. Quid de la riposte, dirigeons nous vers un État numérique plus robuste
Face à cette pression, la mobilisation est réelle, même si elle reste insuffisante au regard de l’ampleur des envies des attaquants.
La directive NIS 2
En vigueur depuis 2023 et en cours de transposition dans le droit national, la directive européenne NIS 2 (Network and Information Security) élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Elle impose notamment aux collectivités et aux établissements de santé de mettre en place des mesures de gestion des risques, de signaler les incidents significatifs et de former leurs équipes. Pour beaucoup de petites structures publiques, c’est un effort considérable, mais un passage obligé.
Les investissements en cybersécurité
En janvier 2026, une nouvelle stratégie nationale de cybersécurité est proposée. L’état a débloqué des financements pour accompagner les collectivités les plus vulnérables, via des programmes d’audit gratuit et des plateformes de sensibilisation. Le dispositif Cybermalveillance.gouv.fr, géré par le GIP ACYMA, offre aux victimes d’attaques un accès à plus de 1 200 prestataires référencés sur tout le territoire, disponibles pour intervenir rapidement.
Le Zéro Confiance «ZeroTrust»
Dans les DSI publiques les plus avancées, le modèle Zero Trust fait son chemin. Cela repose sur un principe simple mais radical, ne jamais faire automatiquement confiance à un utilisateur ou à un appareil, même s’il est déjà à l’intérieur du réseau. Chaque demande d’accès est vérifiée, chaque connexion authentifiée, chaque déplacement dans le système tracé. Si appliqué rigoureusement, ce modèle aurait limité l’impact des attaques de FICOBA et du Ministère de l’Intérieur, où des comptes légitimes ont servi de cheval de Troie.
L’assurance cyber, nouveau filet de sécurité
Le secteur de l’assurance spécialisée en cybersécurité se développe rapidement pour répondre aux besoins des institutions publiques. Des couvertures dites paramétriques permettent une activation quasi immédiate des secours et des fonds dès qu’une intrusion est détectée, réduisant ainsi les temps d’arrêt des services. C’est un outil de résilience qui complète, sans le remplacer, l’effort de prévention.
Conclusion
L’augmentation des cyberattaques contre les institutions publiques françaises est malheureusement le résultat d’une numérisation rapide réalisée par endroits, sans les garde-fous nécessaires. Nos mairies, nos hôpitaux, nos universités et nos ministères concentrent nos données les plus intimes et assurent la continuité de notre pacte social. Cette concentration en fait des cibles de choix pour des groupes criminels hautement organisés.
Le chemin vers un secteur public numérique résilient est connu, investissements durables dans les infrastructures, formation massive des agents, adoption des standards de sécurité européens, et surtout, une culture de la vigilance partagée à tous les niveaux. Ce chantier prendra des années mais il est pourtant urgent.
En attendant, la prochaine fois que l’on vous demande de changer votre mot de passe pour accéder à un service en ligne de votre commune, de vérifier l’expéditeur d’un e-mail suspect, ou de ne pas brancher une clé USB inconnue sur votre poste de travail, ne prenez pas ces consignes à la légère.
C’était Zérosécu, et comme je dis toujours, la cybersécurité est moins cher que gratuit.
J’apporte la plus grande attention et le plus grand soin à chaque article, mais si toutefois, si vous repérez une connerie, faites-moi signe !
Note de les droits d’auteur (images): Les visuels intégrés peuvent provenir de la base d’image Unsplash , et sont utilisés à des fins d’illustration et d’analyse conformément au droit de citation.
Sources et références:Rapport complet Panorama cybermenace 2025 (PDF) , FICOBA : tout savoir sur l’accès illégitime au fichier national des comptes bancaires , Accès illégitimes au fichier national des comptes bancaires (FICOBA) , Divulgation des données FICOBA : la FBF appelle à la vigilance , Bilan des cyberattaques en France 2024-2025 , Dispositif national d’assistance aux victimes d’actes de cybermalveillance