Panorama cyber France : tendances et incidents marquants de septembre–octobre 2025

Chez Cyber&Co, on a décortiqué les principales attaques de septembre et octobre pour en extraire les tendances, les leçons et les signaux faibles.
Objectif : que chacun, du CEO à l’admin système, puisse anticiper les prochaines vagues et avoir une vue sur les tendances.

Cette revue n’a pas vocation à être exhaustive, il y a eu malheureusement trop d'attaques pour toutes les couvrir.
On y retrouve donc une sélection des incidents les plus marquants ayant ciblé la France, avec un focus sur les impacts, les causes et les leçons à tirer pour toutes les organisations. Ces attaques touchent aussi bien les grandes institutions publiques que les acteurs privés : aucune organisation, quelle que soit sa taille ou son secteur, n’est à l’abri.

Attaques sur les Agences Régionales de Santé (ARS)

Trois ARS (Hauts-de-France, Normandie et Pays de la Loire), ont été frappées en septembre 2025 par des attaques coordonnées, entraînant la compromission de données administratives de patients à l’échelle nationale.

Impacts :

• Risques d’usurpation d’identité médicale et de chantage à la donnée.
• Activation d’une cellule de crise avec l’ANSSI et l’Agence du Numérique en Santé pour confinement.
• Perturbation des opérations courantes dans plusieurs établissements régionaux.

L’enquête a révélé que les attaquants avaient utilisé des identifiants légitimes de professionnels de santé pour accéder aux systèmes régionaux.
Ces identifiants avaient été compromis à la suite d’une campagne de phishing ciblée, reposant sur des courriels frauduleux imitant des communications administratives ou institutionnelles.
Les comptes usurpés appartenaient à de vrais utilisateurs du système régional de santé, ce qui a permis aux connexions malveillantes de passer inaperçues.

Grâce à ces accès valides, les cybercriminels ont pu se connecter à distance aux services informatiques régionaux, gérés par les GRADeS (Groupements Régionaux d’Appui au Développement de l’e-Santé : structures publiques régionales chargées de coordonner, développer et sécuriser les systèmes numériques de santé) et extraire des données administratives de patients.

En l’absence d’authentification multifacteur (MFA), ces comptes compromis ont permis l’usurpation d’identité de plusieurs professionnels de santé et l’accès à des environnements critiques sans détection immédiate.
Une politique stricte de MFA aurait pu empêcher cette compromission en bloquant les connexions suspectes, même avec des identifiants volés.

Compte compromis + absence de MFA = accès légitime pour l’attaquant et les systèmes.

Tentative de ransomware sur les sites de la ville de Poitiers

L'attaque a touché la ville de Poitiers, la communauté urbaine de Grand Poitiers et le Centre Communal d'Action Sociale (CCAS). Des pirates ont tenté de crypter les données pour exiger une rançon.

• Impacts :
  • Services publics en ligne : ralentissement, voire arrêt de services comme les demandes d'état civil, d'urbanisme ou les inscriptions scolaires.
  • Infrastructures quotidiennes : difficulté de maintien des opérations pour les barrières de parkings municipaux qui étaient bloquées, les bornes des piscines inopérantes, et même le réseau d'eau potable affecté (usines de traitement et stations d'épuration reliées au système IT).
  • Autres secteurs : Prêts dans les médiathèques impossibles, cantines scolaires perturbées.
  • Agent et citoyens : Télétravail arrêté pour environ 800 agents de l'agglomération de la Ville et du CCAS.
    

L’attaque a été contenue grâce à l’isolement immédiat du réseau infecté et à la mobilisation d’une cellule de crise.
Globalement, ça a mis les services au ralenti, forçant un retour aux méthodes manuelles et un plan de continuité pour maintenir l'essentiel.

Attaque sur les Systèmes Aéroportuaires Européens

Le week-end du 19 au 20 septembre 2025, plusieurs grands aéroports européens : London Heathrow, Brussels Airport et Berlin Brandenburg notamment, ont subi des perturbations majeures affectant les systèmes de check-in, d’embarquement et de gestion des bagages.

L’origine de l’incident a été attribuée à une attaque sur un fournisseur tiers, Collins Aerospace, via sa plateforme MUSE (Multi-User System Environment), utilisée par de nombreux aéroports pour le traitement des passagers.
Les analyses publiques ne confirment pas encore s’il s’agissait d’un ransomware, sabotage ou déni de service, mais plusieurs sources convergent vers une compromission de la chaîne d’approvisionnement (supply chain attack).

• Impacts :
  • Retards, longues files d’attente, annulations et déroutements de vols dans plusieurs hubs européens.
  • À Bruxelles, les compagnies ont été contraintes de réduire temporairement le nombre de départs pour limiter la congestion.
  • Des effets indirects ont été observés dans la logistique et le trafic aérien français.

Cet incident illustre un effet domino typique : un fournisseur commun compromis peut entraîner une cascade de dysfonctionnements dans tout un réseau interconnecté. Cet incident rappelle une vérité souvent négligée : la sécurité ne s’arrête pas aux frontières de l’entreprise.
Elle doit être assurée de bout en bout, du mandataire au fournisseur, en passant par chaque prestataire, intégrateur ou sous-traitant impliqué.

Vol de 30Go de données sur les systèmes de France Travail

Le groupe Stormous a revendiqué la mise en ligne d’un vol de données concernant environ 31 000 demandeurs d’emploi inscrits sur le portail France Travail.
L’incident, confirmé par l’organisme, intervient quelques mois après d’autres compromissions dans le secteur public et relance le débat sur la protection des données sociales en France.

• Impacts :
  • Données potentiellement concernées : pièces d’identité, RIB, numéro de téléphone, avis d’imposition et informations de contact.
  • Environ 31 000 profils impactés selon les premières estimations.
  • Risques majeurs : usurpation d’identité, fraudes bancaires et phishing ciblé.
  • Perturbation du fonctionnement de certains services, notamment la gestion des comptes utilisateurs et les notifications de sécurité.

La cause technique de l’incident est particulièrement intéressante.
Les investigations suggèrent que les terminaux personnels de certains demandeurs d’emploi ont été infectés par des infostealers (des malwares capables de voler les identifiants enregistrés dans les navigateurs), malwares souvent installés à la suite du téléchargement de logiciels gratuits ou non vérifiés provenant de sources non officielles...
Ces identifiants ont ensuite été réutilisés par les attaquants pour se connecter avec des accès valides au portail France Travail et extraire les données associées.

France Travail déclare avoir notifié la CNIL, lancé une enquête technique et informé les personnes concernées conformément à la réglementation.

Ce scénario illustre un risque systémique : les données d’un service public peuvent être exposées sans intrusion directe, simplement via des comptes compromis.

Ce genre de cas montre que sans MFA, on joue à la roulette russe avec les identifiants. Les hackers n’ont même plus besoin de “pirater”, ils se connectent juste à votre place. Si vous gérez des plateformes ou des comptes clients, activez le MFA partout. C’est simple, souvent gratuit, et ça bloque 99 % des accès frauduleux.

Le mot de la fin

Les cyberattaques sont aujourd'hui moins marginales et plus structurelles.
Les criminels ne “piratent” pas seulement des serveurs : ils ciblent la donnée, qu’elle soit médicale, bancaire, RH ou sociale, en exploitant à la fois la technologie et… les comportements humains.

Que l’on soit une PME, une collectivité ou une startup, la priorité reste la même : maîtriser ses accès, protéger ses identifiants et auditer ses dépendances.

Les hackers utilisent vos accès, vos prestataires, vos outils cloud… et vos habitudes.
Le vrai bouclier, c’est la rigueur du quotidien : MFA activé, phishing traqué, sauvegardes testées et fournisseurs vérifiés.

La menace est systémique, mais la défense peut l’être aussi, à condition d’en faire une culture d’équipe, pas juste une checklist IT.