Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 1 : Cadre réglementaire & enjeux cybersécurité 2026

Module 1 : Cadre réglementaire 18 min de lecture

1.2 Panorama des menaces 2026 : ransomware, phishing, BEC, supply chain

Connaître ses adversaires pour mieux s'en défendre. Ce chapitre passe en revue les 6 grandes catégories de menaces qui ciblent les entreprises françaises en 2026, avec leurs caractéristiques, leurs coûts et leurs vecteurs d'entrée.

Top 6 menaces cyber en 2026 (rapport ANSSI / CERT-FR)
Ransomware
280 K€
rançon moyenne payée
Phishing
70 %
des points d'entrée
BEC / Fraude au président
2,9 Md$
pertes mondiales 2023
Supply chain
+45 %
d'attaques en 2024
Vulnérabilités 0-day
97
0-days exploitées en 2024
Menace interne
17 %
des fuites de données
1

Le ransomware : la menace n°1 par impact

Le ransomware (rançongiciel) est un logiciel malveillant qui chiffre les fichiers de la victime et exige le paiement d'une rançon (en cryptomonnaie) pour fournir la clé de déchiffrement. Depuis 2020, c'est devenu la menace cyber la plus dommageable pour les entreprises françaises, avec une moyenne de 280 000 € de rançon payée par incident (CESIN 2024) et un coût total moyen de 2 à 5 millions d'euros par attaque réussie (Sophos State of Ransomware 2024) en incluant arrêt d'activité, restauration, conseil et notification.

Les variantes modernes incluent la « double extorsion » (l'attaquant exfiltre les données avant chiffrement et menace de les publier sur un site « name & shame »), la « triple extorsion » (attaque DDoS supplémentaire + contact direct des clients de la victime), et le RaaS (Ransomware-as-a-Service) où des groupes vendent leur infrastructure à des « affiliés » contre commission sur la rançon. Les groupes les plus actifs en 2024-2026 : LockBit, BlackCat/ALPHV, Cl0p, Akira, Play, RansomHub.

Vecteurs d'entrée typiques : phishing (50 %), vulnérabilité exposée sur Internet (25 %), identifiants RDP/VPN faibles (15 %), supply chain (10 %). C'est dire si la prévention par formation utilisateur est centrale — la moitié des ransomwares ne passeraient pas si personne ne cliquait sur le phishing initial.

2

Phishing : la porte d'entrée n°1

Le phishing (hameçonnage) est l'envoi d'emails frauduleux visant à tromper l'utilisateur pour obtenir des informations sensibles (identifiants, données bancaires) ou déclencher une action néfaste (téléchargement de malware, virement). C'est le vecteur d'entrée n°1 des cyberattaques modernes : 70 % des incidents en entreprise commencent par un email de phishing.

La sophistication a explosé avec l'IA générative depuis 2023 : un attaquant peut désormais produire en quelques minutes un email parfaitement rédigé en français, anglais, allemand, italien, sans aucune faute, avec un ton crédible et adapté à la cible. Les filtres anti-spam, basés historiquement sur la détection des erreurs et tournures suspectes, deviennent moins efficaces. La vigilance humaine reste la meilleure défense — et c'est précisément pour cela que la formation est devenue critique.

Variantes du phishing (détaillées au chapitre 2.2) : spear phishing (ciblé sur une personne précise), whaling (ciblé sur un dirigeant), clone phishing (copie d'un email légitime antérieur), BEC (fraude au virement), vishing (par téléphone), smishing (par SMS), quishing (par QR code).

3

Le BEC : la fraude au président qui coûte le plus cher

Le BEC (Business Email Compromise), aussi appelé « fraude au président », « fraude au virement » ou « arnaque au RIB », vise spécifiquement les comptables, RH et dirigeants pour leur faire effectuer un virement frauduleux ou divulguer des informations sensibles. C'est statistiquement la cyberattaque la plus coûteuse au monde : selon le FBI Internet Crime Report 2024, le BEC a représenté 2,9 milliards de dollars de pertes en 2023, devant tous les autres types de cybercriminalité — y compris le ransomware.

Modes opératoires typiques :

  • Fraude au président : usurpation d'un dirigeant qui demande à un comptable un virement urgent et confidentiel
  • Fraude au fournisseur : usurpation d'un fournisseur connu qui demande un changement de RIB pour les prochains paiements
  • Fraude à l'avocat : usurpation d'un avocat dans le cadre d'une opération M&A fictive
  • Fraude RH : demande de changement de RIB d'un salarié (le salaire est viré au fraudeur)
  • Fraude au paiement client : interception et modification d'une facture envoyée à un client (le client paie le fraudeur au lieu du fournisseur réel)

Coût moyen par incident en France selon l'ANSSI : ~250 000 €. Plus de la moitié des fonds détournés ne sont jamais récupérés, malgré les efforts conjoints d'Interpol, Tracfin et des banques (programme Financial Fraud Kill Chain du FBI).

Publicité
4

Supply chain : l'attaque par les fournisseurs

Les attaques par la chaîne d'approvisionnement (supply chain) ont explosé depuis l'affaire SolarWinds en 2020 et n'ont fait que croître depuis. Le principe : au lieu d'attaquer directement la cible (souvent bien protégée), l'attaquant compromet un fournisseur de logiciel ou de service moins protégé, puis utilise la confiance accordée à ce fournisseur pour pénétrer chez ses clients.

Exemples marquants 2020-2025 :

  • SolarWinds (2020) : compromission de la mise à jour Orion, ~18 000 organisations infectées dont plusieurs ministères américains
  • Kaseya (2021) : compromission d'un outil MSP, propagation de ransomware à des milliers de PME
  • Log4j (2021-2022) : vulnérabilité dans une bibliothèque Java utilisée partout, exploitée massivement
  • MOVEit (2023) : compromission d'un outil de transfert de fichiers, > 2 600 organisations victimes (Cl0p)
  • XZ Utils backdoor (2024) : tentative de compromission d'une bibliothèque open source Linux fondamentale

La parade côté entreprise : cartographier ses dépendances (logiciels installés, SaaS utilisés, prestataires informatiques), exiger des engagements contractuels de sécurité (annexe sécurité aux contrats, certification ISO 27001, audits réguliers), et surveiller activement les incidents touchant ses fournisseurs. DORA impose désormais cette surveillance pour le secteur financier ; NIS2 l'élargit aux autres secteurs critiques.

Répartition des vecteurs d'entrée des cyberattaques
70 %
Phishing & ingénierie sociale
Email, SMS, téléphone, QR code
15 %
Identifiants compromis
Credential stuffing, leaks, mots de passe faibles
8 %
Vulnérabilités techniques non patchées
CVE connues exposées sur Internet
5 %
Supply chain
Compromission d'un fournisseur ou éditeur
2 %
Menace interne
Employé malveillant ou compromis

Sources : Verizon DBIR 2024, ANSSI Panorama de la cybermenace 2024, CESIN Baromètre 2024

5

Vulnérabilités et 0-days : la course aux patches

Une vulnérabilité est un défaut logiciel exploitable par un attaquant. Quand elle est publiquement connue, elle reçoit un identifiant CVE (Common Vulnerabilities and Exposures) et un score CVSS de gravité (0 à 10). Les éditeurs publient des patches (correctifs) qui doivent être appliqués rapidement.

Un 0-day (zero day) est une vulnérabilité inconnue de l'éditeur au moment où elle est exploitée — ce qui rend toute défense par patch impossible jusqu'à sa découverte. En 2024, Google Project Zero a recensé 97 vulnérabilités 0-day exploitées dans la nature, soit une moyenne de deux nouvelles par semaine. Le marché noir des 0-days atteint plusieurs millions de dollars pour les vulnérabilités les plus critiques (iOS, Chrome, Windows).

Côté utilisateur, la principale parade est de maintenir tous ses logiciels à jour : système d'exploitation, navigateur, suite Office, applications métier. Un patch publié n'est utile que s'il est effectivement appliqué — et la statistique est cruelle : 60 % des vulnérabilités exploitées dans des incidents ont un patch disponible depuis plus de 90 jours.

6

Menace interne et hacktivisme : les autres risques à ne pas oublier

La menace interne (insider threat) représente environ 17 % des fuites de données selon Verizon DBIR 2024. Trois profils typiques :

  • L'employé malveillant : vol de données avant départ pour la concurrence, sabotage par vengeance, vente d'accès à un attaquant externe (cas du préposé OVH 2022)
  • L'employé compromis : sous chantage ou menace, agit pour le compte d'un attaquant externe
  • L'employé négligent : pas malveillant mais auteur d'erreurs (envoi d'un fichier sensible au mauvais destinataire, perte d'un ordinateur non chiffré)

Le hacktivisme (motivation idéologique) reste également présent : groupes pro-Russie (KillNet, NoName057) attaquant les sites des États soutenant l'Ukraine, groupes pro-Palestine ciblant des sociétés liées à Israël, groupes anti-corporate ciblant des grandes entreprises. Les attaques sont typiquement des DDoS (déni de service distribué) ou des défaçages de sites web, plus rarement des vols de données — l'objectif est plus la visibilité médiatique que le gain financier.

Enfin, l'espionnage étatique (APT — Advanced Persistent Threat) cible les administrations, les entreprises de défense, les grandes industries stratégiques. Groupes connus : APT28/Fancy Bear (Russie, GRU), APT29/Cozy Bear (Russie, SVR), APT41 (Chine), Lazarus (Corée du Nord). Ces attaques sont longues, discrètes, financées par des États, et difficiles à détecter — heureusement rares pour les entreprises grand public.

À retenir
  • Ransomware = menace n°1 par impact : 280 K€ rançon moyenne, 2-5 M€ coût total moyen.
  • Phishing = vecteur d'entrée n°1 (70 % des incidents). IA générative rend les faux indistinguables.
  • BEC = la cyberattaque la plus coûteuse au monde (2,9 Md$/an), ~250 K€ par incident en France.
  • Supply chain +45 % en 2024 : compromission d'un fournisseur pour atteindre la cible.
  • 0-days : 97 exploités en 2024, mais 60 % des incidents utilisent des CVE patchables depuis 90+ jours.
  • 17 % des fuites viennent d'une menace interne : malveillant, compromis, ou simplement négligent.
Sommaire de la formation
Progression : 10%