En 2025, les fuites de données personnelles ont changé de nature en France : le Baromètre InCyber 2026, élaboré avec la CNIL, recense 8 613 violations notifiées sur un an, soit 45 % de plus qu'en 2024. Derrière cette progression se lit une mutation dans laquelle la cybercriminalité a abandonné les cibles isolées pour s'attaquer aux hubs. Une seule compromission suffit désormais à exposer des millions de personnes. Et lorsque l'incident survient, les organisations découvrent qu'elles ne savent pas se coordonner sous pression.
En un an, la France a traversé une série d'incidents d'une ampleur inédite. Conforama, Bouygues Telecom, la Caisse des allocations familiales, le Ministère de l'Intérieur, des hôpitaux publics des Hauts-de-France, la liste des organisations touchées en 2025 couvre tous les secteurs et tous les statuts juridiques. Près de 12,2 millions de personnes ont été impactées, contre 8 millions l'année précédente, soit une hausse de 53 %. Sur l’année, cela représente 24 fuites déclarées à la CNIL chaque jour.
Cette banalisation traduit une exposition devenue structurelle, alimentée par une transformation profonde des modes opératoires. Les attaquants ont délaissé les cibles opportunistes au profit de cibles à fort effet de levier : plateformes ultra-centralisées, prestataires mutualisés, briques techniques partagées. Une seule faille ouvre la porte à des volumes colossaux de profils. Le Baromètre InCyber 2026, élaboré par le Forum InCyber en partenariat avec Hexatrust et avec la participation de la CNIL pour les données en open data, documente ce glissement avec une précision rarement atteinte dans les publications françaises sur le sujet.
Le prestataire tiers, vecteur des incidents en 2025
Le premier scénario identifié par le baromètre est aussi le plus représentatif de l'année écoulée : la compromission via un prestataire tiers. Le mécanisme est désormais bien documenté. Un compte ou une infrastructure chez un tiers est compromis. Un accès légitime est utilisé pour se connecter à une plateforme mutualisée. Les contrôles de segmentation sont insuffisants, ce qui permet un accès transversal aux données de plusieurs clients. Le risque n'est plus local : il est systémique.
L'incident Harvest illustre cette mécanique avec une clarté particulière. Cet éditeur de logiciels patrimoniaux a subi en février 2025 une compromission d'identifiants accompagnée d'un contournement de l'authentification multifacteur. L'impact indirect a touché 55 000 clients de la MAIF, ainsi que des clients de BPCE, d'AXA France et de Swiss Life. Un seul point de défaillance, quatre grandes organisations financières exposées. Le cas de la Caisse des allocations familiales, en octobre, suit la même logique : une exfiltration via un tiers a conduit à l'exposition de 22 millions de lignes de données, soit l'équivalent de 3,5 à 8 millions de foyers allocataires.
Ce vecteur reste pourtant systématiquement sous-estimé dans les feuilles de route sécurité. Les accès tiers sont encore trop souvent traités comme un risque secondaire, alors qu'ils constituent le vecteur central des incidents les plus massifs. Les facteurs aggravants sont connus, accès persistants non révoqués, absence de supervision des activités du prestataire, concentration massive de données chez un acteur unique, mais leur correction reste différée, faute de priorité organisationnelle et budgétaire.
NIS2 et DORA : le cadre existe, l'exécution tarde
La directive NIS2 et le règlement DORA imposent précisément ce que les incidents 2025 révèlent comme défaillant : une gestion formalisée du risque lié aux tiers, une cartographie des dépendances critiques, des exigences contractuelles sur les prestataires et une supervision continue des accès. Pour les entités financières soumises à DORA, la gestion du risque informatique des tiers est une obligation de conformité assortie de délais et de procédures d'audit. Pour les opérateurs essentiels et importants couverts par NIS2, la chaîne de sous-traitance fait partie intégrante du périmètre de sécurité déclaré.
Le décalage entre le cadre normatif et la réalité opérationnelle tient moins à une ignorance des exigences qu'à la difficulté de les appliquer. Cartographier l'ensemble des prestataires avec accès aux systèmes d'information, évaluer leur maturité sécurité, segmenter les accès par niveau de sensibilité : ces mesures supposent des ressources et une gouvernance que beaucoup d'organisations n'ont pas encore mis en place. Le secteur financier, en première ligne avec une hausse de 143 % des incidents entre 2024 et 2025, est précisément celui où la pression réglementaire est la plus forte, ce qui montre que la conformité déclarative ne se traduit pas immédiatement en réduction du risque opérationnel.
La crise mal gérée ou quand l'incident devient une catastrophe
Le baromètre introduit une distinction que les analyses cybersécurité traitent rarement avec cette précision : en 2025, la gravité d'une fuite tient moins à son existence qu'à la façon dont elle est détectée, qualifiée et gérée dans les premières heures. Les organisations échouent rarement sur la dimension technique. Elles échouent sur la coordination et le tempo.
Les investissements en cybersécurité se sont concentrés sur la prévention et la détection. La préparation à la réponse active est restée le parent pauvre des dispositifs de résilience. Le baromètre identifie cinq erreurs récurrentes qui transforment un incident maîtrisable en crise durable : attendre d'avoir toutes les réponses avant d'agir ; raisonner exclusivement en termes techniques en minimisant l'impact humain sur les personnes concernées ; gérer l'incident en silos, avec le RSSI, le DPO, l'équipe juridique et la direction qui agissent de façon séquentielle alors qu'une décision technique peut avoir des conséquences juridiques ou médiatiques immédiates ; découvrir la CNIL au moment de la crise sans relation préalable établie ; minimiser publiquement tout en corrigeant en privé.
La répartition des responsabilités en situation de crise est précisément documentée. Le RSSI et les équipes IT contiennent l'incident et préservent les preuves techniques. Le DPO évalue l'impact sur les données personnelles et pilote la conformité réglementaire. L'équipe juridique anticipe les risques contentieux. La direction arbitre et assume la prise de parole externe. L'absence de coordination formalisée entre ces fonctions constitue, selon le baromètre, l'un des angles morts les plus fréquents observés en 2025. Les incidents les mieux maîtrisés sont ceux où les rôles étaient définis avant la crise, et non pendant.
Ce que 2025 aura confirmé, c'est que la sophistication des attaques progresse moins vite que la répétition des mêmes failles organisationnelles. Les angles morts qui persistent — accès tiers mal maîtrisés, détection passive, préparation à la crise insuffisante relèvent de choix organisationnels et de priorités. C'est précisément ce que NIS2 et DORA cherchent à corriger.
