// CYBERSÉCURITÉ

Cyberattaques en France : ce que disent vraiment les chiffres 2025–2026

8 min de lecture Par l'équipe Kipsafe

La cybersécurité est un secteur étrange : on y vend de la rigueur, souvent à grands renforts de chiffres invérifiables. Cet article fait l'inverse. On commence par démonter le chiffre le plus célèbre du marketing cyber, puis on vous donne les statistiques 2025–2026 qui tiennent la route — sourcées, datées, consultables. Toutes. Rien d'autre.

Le chiffre que vous ne lirez pas ici

« 60 % des PME victimes d'une cyberattaque déposent le bilan dans les 18 mois. » Vous l'avez croisé partout : plaquettes commerciales, posts LinkedIn, conférences, articles de presse. C'est le chiffre le plus efficace du marketing cyber. C'est aussi un chiffre fantôme.

Cherchez la source primaire : vous ne la trouverez pas. Pas d'institut identifiable, pas d'année de publication, pas d'échantillon, pas de méthodologie consultable. Chaque article qui le cite renvoie à un autre article, qui renvoie à un autre article. Et d'une citation à l'autre, le pourcentage et le délai changent — ce qui est généralement le signe d'une légende urbaine, pas d'une étude.

Le chiffre fantôme

« 60 % des PME victimes d'une cyberattaque ferment dans les 18 mois » ne repose sur aucune étude vérifiable. Aucun auteur, aucune méthodologie, aucun échantillon. Chez Kipsafe, on a décidé de ne plus jamais le citer.

Pourquoi ce choix ? Pas parce que les cyberattaques seraient anodines pour une PME — la suite de cet article démontre le contraire. Mais parce qu'un argument fondé sur un chiffre inventé est un mauvais argument. Et parce que la réalité, correctement sourcée, suffit largement à justifier qu'on s'occupe sérieusement de sa sécurité.

Voici donc ce que disent réellement les quatre sources les plus solides du moment : le baromètre du CESIN, le panorama de l'ANSSI, le rapport de Cybermalveillance.gouv.fr et l'étude annuelle d'IBM.

40 % d'entreprises attaquées — et une tendance qui baisse

Chaque année, le CESIN — le club qui réunit les responsables cybersécurité des entreprises françaises — fait réaliser par OpinionWay un baromètre de référence. La 11ᵉ édition, publiée en janvier 2026, donne la photographie la plus récente : 40 % des entreprises françaises déclarent avoir subi au moins une cyberattaque significative au cours de l'année écoulée[1]. Pas « un e-mail de phishing reçu » : une attaque significative.

40 %
des entreprises françaises ont subi au moins une cyberattaque significative [1]
50 %
pour les entreprises de plus de 5 000 salariés [1]
34 %
pour les ETI [1]

La tendance est nette, et c'est une vraie bonne nouvelle : elles étaient 65 % en 2019, 49 % en 2023, 47 % en 2024 — 40 % aujourd'hui[1]. Les investissements en sécurité finissent par payer. Mais avant de sabrer le champagne, deux nuances de franc-parler.

D'abord, la taille compte : 50 % des entreprises de plus de 5 000 salariés ont été touchées, contre 34 % des ETI[1]. Plus d'une ETI sur trois attaquée dans l'année, ce n'est pas « épargnée » — c'est une loterie à laquelle vous jouez, que vous le vouliez ou non.

Ensuite, quand une attaque passe, elle fait mal : 81 % des attaques réussies ont eu un impact concret sur le business[1]. Côté portes d'entrée, pas de surprise : le phishing arrive en tête des vecteurs d'attaque (55 %), devant l'exploitation de failles logicielles (41 %)[1]. Autrement dit : un e-mail piégé, ou un correctif jamais appliqué. Les deux se traitent — encore faut-il s'y mettre.

Rançongiciels, exfiltrations : ce que voit l'ANSSI

Le baromètre CESIN est déclaratif. Pour du constaté, direction l'ANSSI, l'agence nationale qui intervient sur les incidents les plus sérieux. Son Panorama de la cybermenace 2025, publié en mars 2026, compile ce qui est réellement remonté jusqu'à elle : 3 586 événements de sécurité traités sur l'année, dont 1 366 incidents confirmés[2].

3 586
événements de sécurité traités par l'ANSSI en 2025 [2]
128
compromissions par rançongiciel [2]
+51 %
d'exfiltrations de données en un an — 196 cas recensés [2]

Le chiffre qui doit retenir votre attention n'est pas celui des rançongiciels (128 compromissions[2]), mais celui des 196 exfiltrations de données, en hausse de 51 % en un an[2]. La tendance de fond est là : voler vos données, puis menacer de les publier. Le chiffrement n'est même plus toujours nécessaire pour vous extorquer.

Et puis il y a notre statistique préférée du rapport, celle qui mériterait d'être affichée dans toutes les cellules de crise :

« Plus de 60 % des revendications de vol de données sont infondées ou exagérées. »
ANSSI, Panorama de la cybermenace 2025 [2]

Oui, vous avez bien lu : même les attaquants gonflent leurs chiffres. Le bluff fait partie intégrante du modèle économique de l'extorsion. Raison de plus pour ne jamais céder à la panique — ni payer — sans vérification technique indépendante de ce qui a réellement été volé.

Dernière précision d'honnêteté : l'ANSSI ne comptabilise que ce qui lui est signalé ou ce qu'elle détecte. Ces chiffres sont un plancher, pas un recensement exhaustif de la menace en France.

Et les TPE-PME ? +73 % de demandes d'assistance

L'angle mort des deux sources précédentes, c'est la petite entreprise. Le CESIN interroge surtout de grandes organisations ; l'ANSSI intervient sur les incidents critiques. Pour les TPE et PME, la meilleure jauge s'appelle Cybermalveillance.gouv.fr, le dispositif national d'assistance aux victimes. Son rapport d'activité 2025, publié en mars 2026, est parlant[3].

500 000+
demandes d'assistance reçues en 2025, tous publics confondus [3]
+73 %
de demandes émanant d'entreprises en un an [3]
+70 %
pour l'hameçonnage, menace n°1 tous publics [3]

La plateforme a reçu plus de 500 000 demandes d'assistance sur l'année. Les entreprises — en très grande majorité des TPE et PME — représentent 6 % de ces demandes. Ça peut sembler peu. Sauf que ce volume a bondi de 73 % en un an[3].

Soyons honnêtes sur la lecture : une hausse des demandes d'assistance ne se traduit pas mécaniquement en autant d'attaques supplémentaires — le dispositif est aussi mieux connu qu'avant. Mais l'ordre de grandeur raconte quelque chose de clair : pendant que les grandes entreprises se blindent, la menace descend en gamme, vers les structures les moins bien défendues.

Et la menace n°1, tous publics confondus ? L'hameçonnage, encore lui, en hausse de 70 %[3]. Deux sources indépendantes — le CESIN côté grandes entreprises[1], Cybermalveillance côté TPE-PME[3] — arrivent à la même conclusion : la porte d'entrée principale des attaquants, c'est la boîte mail. La vôtre, celle de votre comptable, celle de votre alternant.

Combien ça coûte, vraiment ?

C'est la question à laquelle tout le monde veut une réponse — et celle où les chiffres solides manquent le plus. D'où le succès du fameux « 60 % ». La référence mondiale en la matière, c'est le Cost of a Data Breach Report d'IBM. Édition 2025 : le coût moyen mondial d'une violation de données s'établit à 4,44 millions de dollars, et il faut 241 jours en moyenne pour identifier et contenir une violation[4].

4,44 M$
coût moyen mondial d'une violation de données [4]
241 jours
en moyenne pour identifier et contenir une violation [4]

Franc-parler obligatoire : ce montant est une moyenne mondiale, calculée sur un panel où pèsent lourd de grandes organisations. Ne le transposez pas tel quel à une PME française. Personne ne peut vous annoncer sérieusement « une attaque vous coûterait X € » sans connaître votre activité, votre système d'information et votre dépendance au numérique. Quiconque le fait vous récite un chiffre marketing.

La donnée la plus utile de ce rapport pour une PME n'est d'ailleurs pas le montant, c'est le délai : 241 jours[4]. Pas pour tout reconstruire — juste pour comprendre ce qui s'est passé et refermer la porte. Si personne ne surveille votre SI, la vraie question n'est pas « combien coûterait une attaque ? » mais « depuis combien de temps sommes-nous peut-être déjà compromis ? ».

Ce qu'il faut en retenir (sans en rajouter)

  • La menace recule chez les grands, pas chez les petits. 40 % d'entreprises attaquées, en baisse continue depuis 2019[1] — mais +73 % de demandes d'assistance côté entreprises, surtout TPE-PME[3]. Les attaquants suivent le chemin de moindre résistance.
  • La boîte mail est la porte d'entrée n°1. Phishing : 55 % des vecteurs selon le CESIN[1], menace n°1 en hausse de 70 % selon Cybermalveillance[3]. Sensibilisation des équipes et protection de la messagerie d'abord.
  • Les failles non corrigées arrivent juste derrière (41 % des vecteurs[1]). Un inventaire à jour et une vraie politique de correctifs ferment cette porte-là. C'est précisément ce qu'un audit met en lumière.
  • Quand ça passe, ça fait mal. 81 % des attaques réussies ont un impact business[1], et il faut en moyenne 241 jours pour identifier et contenir une violation[4]. Empêcher ne suffit pas : il faut aussi détecter vite.
  • Exigez des sources. Y compris de vos prestataires cyber. Si un commercial vous ressort le « 60 % des PME qui ferment », demandez-lui l'étude. Un chiffre sans source n'est pas un argument, c'est un slogan.

La réalité vérifiable est moins spectaculaire que la légende — et largement suffisante pour agir. C'est exactement notre approche : des faits mesurés sur votre système d'information, pas des slogans.

Sources & références

  1. CESIN × OpinionWay — 11ᵉ Baromètre de la cybersécurité des entreprises françaises, janvier 2026. opinion-way.com/fr/publications/barometre-de-la-cybersecurite-des-entreprises-francaises-2026
  2. ANSSI — Panorama de la cybermenace 2025, mars 2026. cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025
  3. Cybermalveillance.gouv.fr — Rapport d'activité 2025, mars 2026. cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2025
  4. IBM — Cost of a Data Breach Report 2025. ibm.com/reports/data-breach
← Tous les articles

Et votre entreprise, elle en est où ?

Premier échange gratuit avec un expert · Des faits mesurés, pas des slogans · Sans engagement

Audit gratuit