Le Clusif a présenté la nouvelle édition de son rapport Panocrim, soulignant l’évolution des cyberattaques vers des stratégies d’influence, de dislocation et de pression sur les zones de friction organisationnelles. Le panorama dresse un tableau dense et documenté des incidents marquants survenus en 2025, tout en posant des jalons pour anticiper les chocs à venir.
Présenté comme chaque année à Paris, l’événement Panocrim rassemble les experts du Club de la sécurité de l'information français (Clusif) autour d’une analyse collective des tendances cyber marquantes. Pour cette édition 2026, les travaux menés par une cinquantaine de professionnels (RSSI, chercheurs, consultants, représentants d’organismes publics et privés) confirment l’accélération de plusieurs ruptures structurelles. L’étude repose sur une approche mixte, combinant analyse chronologique d’événements réels, mise en perspective sectorielle et décryptage transversal des évolutions systémiques.
Les intrusions exploitent la complexité décisionnelle
Les attaques recensées en 2025 ne visent plus uniquement les systèmes informatiques ou les ressources critiques. Elles s’insinuent dans les interstices des chaînes de décision, cherchent à provoquer des effets de panique et manipulent des dépendances techniques ou juridiques souvent invisibles aux décideurs eux-mêmes. Cette évolution est particulièrement visible dans les secteurs fortement régulés ou exposés à des conflits de gouvernance, comme la santé, la gestion publique ou l’enseignement supérieur.
« L’hôpital est devenu un espace de confrontation numérique autant qu’un établissement de soins », résume Élise Philippe, analyste chez Sanofi et coautrice du rapport. « Ce qui est frappant, c’est la diversité des motivations. Certains groupes cherchent la rançon, d’autres la visibilité, mais tous exploitent des failles de coordination internes. » La combinaison entre cloisonnement décisionnel, recours massif aux prestataires et contraintes budgétaires crée un terrain favorable aux compromissions en cascade.
VPN, Shadow IT et systèmes hérités facilitent les accès latéraux
Les cybercriminels s’adaptent à l’environnement des entreprises distribuées. Post-Covid, la généralisation des accès distants a ouvert de nouveaux vecteurs d’attaque. « La mise en œuvre parfois approximative des accès distants et des VPN a considérablement élargi les possibilités d’accès aux données personnelles et aux données d’entreprise pour les cybercriminels », alerte Gaston Gautreneau, ingénieur expert et consultant pour la CNIL.
L’exploitation du Shadow IT est également pointée dans plusieurs incidents majeurs. Des outils non recensés – services de stockage en nuage, outils de visioconférence tiers, plateformes non approuvées – ont servi de portes d’entrée à des intrusions complexes. Panocrim cite notamment l’exemple d’un établissement public régional dont les serveurs ont été détournés à des fins de minage cryptographique, sans déclencher d’alerte immédiate.
Sécuriser les chaînes d’approvisionnement et les prestataires
Autre constat structurant, l’imbrication croissante entre donneurs d’ordre, prestataires et fournisseurs de services numériques rend les organisations vulnérables aux effets domino. Le rapport analyse finement plusieurs cas emblématiques, dont celui de la compromission d’un infogérant dans le secteur de l’enseignement supérieur, ayant impacté près d’une vingtaine d’universités et d’écoles.
« Ce n’est plus seulement la question du maillon faible. C’est la dynamique même de l’interconnexion qui devient une source de risque, avec des dépendances techniques souvent mal maîtrisées et des responsabilités floues », observe Mehdi Bouzelmat, RSSI dans le secteur bancaire. La coordination des réponses incidentelles reste insuffisante, avec des délais d’alerte ou de remédiation qui varient fortement selon les acteurs impliqués.
Des outils de négociation automatisée
Face à la montée en puissance des politiques de non-paiement et à l’interdiction explicite de céder au chantage dans certains secteurs publics, les groupes de rançongiciels ajustent leurs modes opératoires. Plusieurs incidents recensés en 2025 montrent un retour des techniques de double extorsion, combinant chiffrement des données et menace de divulgation.
Certains acteurs développent aussi des outils de négociation automatisée, ou exploitent des canaux parallèles pour contourner les procédures internes de gestion de crise. Panocrim note une tendance préoccupante à l’automatisation des phases de reconnaissance, de déploiement et de pression psychologique, avec l’emploi croissant de modules conversationnels pilotés par intelligence artificielle.
mutualiser les savoirs et consolider les outils
Face à ces évolutions, le Clusif appelle à sortir des approches cloisonnées de la cybersécurité. « Le rapport met en lumière un besoin urgent de coordination, d’anticipation partagée et de lisibilité sur les responsabilités en cas d’attaque », résume Alain Bouillé, délégué général du Clusif. Cela suppose à la fois une meilleure circulation de l’information entre pairs, une consolidation des outils d’observation et une gouvernance renforcée de la chaîne de sécurité – notamment pour les acteurs publics et les organisations multisites.
Panocrim 2026 insiste également sur la nécessité d’acculturer les métiers fonctionnels aux nouvelles logiques d’attaque, afin d’identifier les signaux faibles, de corréler les alertes diffuses et d’éviter la saturation des équipes techniques. « Aujourd’hui encore, des solutions devenues incontournables comme le chiffrement des postes de travail ne sont pas systématiquement déployées, alors même qu’elles sont nativement prises en charge par les systèmes d’exploitation », souligne Gaston Gautreneau. Il évoque également l’absence de sauvegardes déconnectées, les mots de passe faibles ou réutilisés, et l’oubli des gestes d’hygiène numérique comme des causes récurrentes de compromission.
