En quelques mois, la France, comme le monde entier, a vu chanceler l’un des piliers invisibles de sa modernité. Désormais ébranlée, la confiance dans la sécurité numérique vacille. Enseignes, géants technologiques, institutions publiques, fournisseurs de services… personne n’est épargné. Des millions de données personnelles exfiltrées, des centaines d’entreprises fragilisées, d’ailleurs, certaines firmes disparaissent, des citoyens démunis, soudain exposés à une criminalité sans visage. L’année 2025 marque d’une pierre blanche celle où la vulnérabilité n’est plus une exception, mais un état.

À 7 h 42, dans le silence feutré d’une maison, Élodie se saisit de son ordiphone, ou smartphone. Un e-mail. Une alerte. Un message laconique l’informe qu’« une partie de vos données personnelles a pu être compromise… » Pas de coupable identifié. Juste cette notification — encore une — qui vient briser l’illusion fragile de sécurité numérique. Elle, comme des millions, se mue en une victime. Derrière son écran, le soupçon s’insinue. Que signifie cette « compromission » pour son identité, ses finances, sa vie privée ?

Fuite de données en pagaille

Cette histoire factice n’est malheureusement pas une fiction. C’est une vague, un tsunami qui déferle avec une intensité inédite. L’année 2025 est marquée par des fuites massives, des piratages en chaîne, des alertes répétées. Le monde numérique soudain vacille, et les citoyens (re) découvrent leur fragilité.

Le 3 décembre 2025, un rapport du GTIG confirme qu’une cyberattaque massive a exposé les données de plus de 200 entreprises utilisant des services reliés à Salesforce. L’activité suspecte affecte des applications d’un tiers, Gainsight. L’intrusion a permis aux hackers d’accéder à des instances, ouvrant la voie à une fuite d’informations sensibles.

« Cette activité est probablement liée à UNC6240 (alias ShinyHunters) », déclare Austin Larsen, analyste principal de GTIG. Ils auraient mené l’opération mêlant ingénierie sociale, vishing, usurpation de comptes et exploitation de tokens d’authentification. « […] Salesforce a révoqué tous les tokens d’accès actif […] », indique Allen Tsai, porte-parole de Salesforce. (Crédits : Pete Linforth/Pixabay)

Dans un contexte où les signalements de cybermalveillance augmentent fortement — hameçonnage, compromissions de comptes, rançongiciels — des publications, des alertes et des mises en garde contre les risques croissants liés aux informations volées sont affichées. La dernière en date concerne la violation de données personnelles de la Fédération Française de Tir.

Une explosion des cyberattaques et des menaces en cascade

Selon un article d’Euronews, l’Europe a enregistré une hausse spectaculaire des cyberattaques en 2025, affectant de nombreux secteurs. Si la patrie de Molière qui se retrouve parmi les pays les plus touchés, nos voisins et amis Belges font faces à une recrudescence d’escroquerie. Dans des courriels, les escrocs se font passer pour le Ministère Public ou le procureur général M. Van Leeuw. « Ces e-mails sont des faux et peuvent être dangereux. Soyez vigilant, n’ouvrez pas les pièces jointes et ne cliquez pas sur les liens contenus dans l’e-mail. »

Le constat est limpide. Les vulnérabilités ne frappent plus individuellement, mais globalement. Nous possédons un modèle désormais fragilisé par l’interdépendance et la complexité croissante des chaînes logicielles, comme des fuites de données. Voici une liste non exhaustive des victimes d’attaques cybernétiques de l’année 2025 : Procureur général de l’État de Guanajuato (MEX), Merkle (JPN), Svenska kraftnät (SWE), Sunafil (PER), Milwaukee Police Department (USA), YAC GARTER CO., LTD. (JPN), Ville de Fumel (FRA), LG Balakrishnan & Bros Ltd (IND), Al-Babtain Power and Telecommunications Co. (SAU), Direction générale des impôts et domaines (Dgid) (SEN), Agence régionale de santé (ARS) des Hauts-de-France (FRA), Ordre des journalistes de Rome et du Lazio (ITA), Ville de Poitiers et Grand-Poitiers (FRA), Wibaie (FRA), CNFPT (FRA), Muséum national d’Histoire naturelle (FRA), Orange (FRA), Curaçao Tax Office (CUW), Delfingen (FRA), Uni-Asia Group Limited (SGN), Département de l’Aude (FRA), Büchner Barella (DEU), Alto Adige (ITA), Melilla (ESP), Glasgow (GBR), Département des Hauts-de-Seine (FRA), La Maison Liégeoise (BEL), Peter Green Chilled (GBR), Service public de Wallonie (BEL), District scolaire de Limestone (CAN), Groupe 3R (CHE), Bikur Rofeh (ISR), Adval Tech Group (CHE), Harvest (FRA), Orangeville (CAN), Bain de Bretagne (FRA), Écoles publiques de Portland (USA), Conseil scolaire Upper Canada (UCDSB) (CAN), La Police de Kingston (CAN), Berson (FRA), Leroy Merlin (FRA), France Travail (FRA)…

Culture de la cybersécurité fragile

L’origine du problème ne tient plus à un serveur mal configuré ou à un mot de passe trop faible. C’est désormais tout un ensemble, qui réside dans l’écosystème lui-même. En effet, il existe une externalisation massive & SaaS (Software-as-a-Service). De plus en plus d’entreprises laissent une part non négligeable de leur activité logicielle vers des tiers (CRM, support client, outils marketing, cloud…) En greffant un maillon à une chaîne, vous augmentez la surface d’attaque.

D’autant que l’interconnexion des services ajoute un peu de piment. Un fournisseur de support en liaison avec plusieurs clients devient un hub de compromission. (Crédits : Obregonia D. Toretto/Pexels)

Selon le baromètre 2025 du CESIN, une entreprise française sur deux identifie les fuites de données comme un risque prioritaire, mais nombre d’entre elles ne jugent pas les solutions suffisamment sûres ou adaptées à leur taille. L’arrivée de l’IA générative, de services interconnectés, d’accès à distance, multiplie les vecteurs d’attaque, les erreurs possibles. Ce contexte structurel met en lumière la faiblesse d’un modèle numérique fondé sur la confiance.

L’affaire Gainsight au révélateur

Un prestataire, Gainsight se voit attribuer des accès légitimes — via tokens OAuth — à des CRM d’entreprises. Un acteur malveillant — via social engineering, vishing, usurpation d’identité — obtient ces tokens ou convainc un employé de les approuver. Grâce à ces accès, les pirates exportent, en masse, des bases de données entières. Cela concerne les contacts, utilisateurs, historiques, métadonnées…

Les données volées peuvent ensuite être revendues, publiées, ou servir à des campagnes de phishing ou d’usurpations d’identité ciblée. L’attaque ne nécessite pas une faille dans le cœur logiciel (Salesforce) — mais exploite la chaîne d’approvisionnement logicielle, ou « supply-chain ». Ce type d’attaque illustre une tendance récente : la cybercriminalité vers non plus le point le plus faible de l’infrastructure, mais l’écosystème global.

Qu’est-ce qu’une attaque supply-chain ?

Une attaque supply-chain consiste à cibler non la victime directe, mais un de ses fournisseurs ou prestataires. En compromettant ce maillon, l’attaquant obtient un accès indirect à de nombreuses cibles. Cette stratégie, très efficace à l’échelle industrielle, transforme un prestataire en point névralgique de compromission — un « hub » d’accès à plusieurs organisations.

Vivre dans l’insécurité digitale

Pour les victimes — salariés, clients, particuliers —, la prise de conscience est brutale. Plusieurs conséquences psychologiques se dessinent. Sentiment de vulnérabilité permanente. Car, le numérique, jusque-là perçu tel un lieu « fiable », apparais désormais comme un terrain miné.

(Crédits : Ethan Brooke/Pexels)

Des conséquences directes, avec la peur, ou une méfiance considérable de confier ses informations personnelles. Mais aussi le syndrome de l’appel au loup. Face à la multiplication des incidents, le risque d’habituation s’installe. Certains minimisent alors les alertes en acceptant une exposition comme « coût normal ». Mais en fonction de l’âge et de la culture cyber, la crainte d’usurpation d’identité, de fraude, de revente de données, voire de compromissions financières — car la menace ne dort jamais. L’addition de ces facteurs engendre un climat anxiogène, intime et collectif.

La menace comme instrument systémique

Quand les infos volées incluent des éléments personnels — noms, adresses, contacts, emails, données sensibles —, les risques sont concrets. Ainsi, comme le dévoile sur X (anciennement Twitter), SaxX, un tiers non autorisé a accédé aux données de santé des patients du site « Médecin direct » : prénom, nom, date de naissance, adresse e-mail, numéro de téléphone, adresse postale, numéro de sécurité sociale (si transmis), les données de santé (l’objet de la téléconsultation, les données renseignées dans le questionnaire de prétéléconsultation, les données échangées par écrit avec le professionnel de santé)

Les organismes d’assistance comme Cybermalveillance.gouv.fr alertent en 2025. Les demandes d’aide ont explosé (jusqu’à + 82 % pour certaines catégories), traduisant l’intensification de la menace. Comme le montre le rapport de Surfshark : au second trimestre 2025, la France est le 2ᵉ pays le plus touché sur Terre par les violations de données, selon Surfshark. Au total, 11 946 923 e-mails français ont été compromis entre le 1ᵉʳ janvier et le 1ᵉʳ avril 2025, soit une augmentation de 441 % par rapport au trimestre précédent. Le chiffre croit à 15 466 792 au 1er juillet 2025 (+29 %).

Cela révèle une mondialisation de la cybercriminalité. L’ingénierie sociale, combinée à l’exploitation des tiers, constitue la voie d’accès la plus rentable et la plus massive. Méthode qu’usent ShinyHunters/Scattered Spider. (Crédits : Brett Sayles/Pexels)

Environ 83% des cyberincidents en France n’ont pas de pays d’origine identifié – 11 des 64 cas ont été attribués à au moins un pays d’origine, selon l’EuRepoC. Face à la fragilité et aux menaces contrent des États ou des entreprises, il faut repenser le modèle. Car le risque systémique existe. La fuite d’un fournisseur majeur affiche le vacillement d’un pan de l’économie numérique. La France est quatrième au rang mondial des comptes violés. Cela représente 703 912 680 depuis 2004.

Vers un sursaut collectif ?

L’urgence date d’hier. Le renforcement des réglementations avec la traçabilité des accès, l’obligation de signalement, la transparence sur les incidents, les sanctions… sans oublier l’hygiène numérique (mots de passe robustes, 2 FA, vigilance face aux phishings et aux sollicitations) se doit d’être la norme. « La plupart des gens utilisent le même e-mail pour différents comptes lors de l’inscription en ligne », rappelle Surfshark.

Ce que risque tout un chacun est l’usurpation d’identité, phishing, harcèlement, perte de vie privée, stress, méfiance généralisée. Mais cela passe par la prise de conscience des données déjà fournies gratuitement lors de l’installation d’applications ou de jeu.

L’année 2025 pourrait rester dans les mémoires comme l’année où la confiance numérique s’est fissurée — non sous les coups d’un virus explosif, mais sous la pression d’un écosystème globalisé, interconnecté, fragilisé. Derrière chaque fuite, chaque base de données volée, ce sont des individus, des familles, des entreprises, des destins qui vacillent.

Mais ce basculement peut aussi être un appel. Un appel à la responsabilité collective — des États, des entreprises, des citoyens — pour bâtir ensemble un système plus résilient, plus transparent, plus respectueux de la vie numérique. (Crédits : Andrea Piacquadio/Pexels)