Le troisième rapport annuel de Stoïk sur la sinistralité de ses assurés révèle que la fréquence globale des sinistres cyber a bondi à 10,56 % en 2025, contre 4,34 % en 2024, soit une multiplication par 2,4 en un an. Le rapport documente une industrialisation de la menace portée par l’IA générative, une dualité persistante entre rançongiciel et fraude, et des disparités de maturité marquées selon les géographies européennes.
Ce rapport intervient dans un contexte où la sinistralité cyber cesse d’être un risque de grande entreprise pour devenir un risque touchant l’ensemble du tissu économique européen. Jules Veyrat, Président et cofondateur de Stoïk, formule ainsi le diagnostic : « En 2025, l’environnement des cybermenaces a évolué plus rapidement que ce à quoi de nombreuses entreprises étaient préparées. Notre analyse a confirmé deux menaces majeures auxquelles toute organisation doit désormais faire face : le ransomware, le plus destructeur, et la fraude, la plus fréquente. » La méthodologie repose sur la télémétrie du CERT interne de Stoïk, couvrant la France, l’Allemagne, l’Espagne, la Belgique, l’Autriche et le Luxembourg — un périmètre qui confère au rapport une valeur comparative européenne rare dans le segment PME/ETI.
Le saut de 4,34 % à 10,56 % de fréquence globale entre 2024 et 2025 traduit deux phénomènes distincts. Une partie de la hausse reflète une amélioration de la détection et un changement de comportement des assurés, qui sollicitent désormais l’assurance comme outil de réponse opérationnel dès les premiers signaux faibles — ce qui augmente mécaniquement le nombre de déclarations. L’autre partie traduit une accélération objective de la pression offensive, documentée par la complexité croissante des incidents traités par le CERT de Stoïk. Chaque cas de rançongiciel a nécessité en moyenne 48 jours-homme d’expertise en 2025, soit une hausse de 60 % par rapport à l’année précédente — un indicateur d’intensité opérationnelle qui ne s’explique pas par un simple effet de déclaration.
L’IA générative relève le niveau d’exigence défensif
La France concentre le niveau d’exposition le plus élevé parmi les six marchés couverts, avec une fréquence de 11,38 %. Cette position tient principalement à la vulnérabilité du facteur humain — le taux d’incidents liés à la messagerie atteint 6,73 % en France — et à une adoption large des outils de prévention active de Stoïk, qui favorise la remontée précoce des incidents. La région DACH (Allemagne, Autriche et Suisse) présente une fréquence globale de 9,24 %, mais un profil de risque techniquement plus complexe. La fréquence des rançongiciels y atteint 0,94 %, contre 0,50 % en France. Cette disparité tient à la densité industrielle du Mittelstand et à des infrastructures informatiques vieillissantes qui facilitent les déplacements latéraux des attaquants au sein des réseaux.
La lecture de ces chiffres impose un cadrage précis, car la hausse de fréquence globale ne signifie pas uniformément une dégradation de la posture de sécurité, elle reflète aussi une meilleure instrumentation de la détection. La hausse de 60 % de l’intensité opérationnelle par incident de rançongiciel, en revanche, est un signal sans ambiguïté sur la sophistication croissante des attaques et le coût réel de remédiation pour les organisations touchées.
Les incidents liés à la messagerie et à la fraude représentent 60 % des sinistres déclarés en 2025, et la compromission de messagerie professionnelle atteint environ 50 % de l’ensemble des sinistres gérés par Stoïk. Cette domination en volume s’explique par l’industrialisation permise par les modèles de langage, comme la génération automatique de courriels linguistiquement parfaits dans la langue de la cible, clonage vocal pour le hameçonnage téléphonique, personnalisation automatisée des messages à partir des informations publiques disponibles (annonces de partenariats, calendriers d’événements, données issues de fuites chez des fournisseurs ou partenaires).
L’IA réduit le délai de préparation à quelques minutes
L’efficacité des attaquants s’en trouve mécaniquement augmentée. Là où une campagne de fraude nécessitait auparavant un travail manuel de reconnaissance et de rédaction, l’IA réduit ce délai de préparation à quelques minutes et autorise une personnalisation à grande échelle. Le facteur humain, déjà identifié comme la vulnérabilité la plus constante, devient encore plus difficile à défendre lorsque les tentatives d’hameçonnage sont linguistiquement irréprochables et contextuellement crédibles.
Pour les RSSI, cela se traduit par une obligation de déployer des dispositifs de détection assistée par IA capables de maintenir des délais de réaction courts face à des attaques dont le rythme de préparation s’est radicalement comprimé. Pour 2026, Stoïk anticipe que le clonage vocal et les hypertrucages visuels renforceront encore cette tendance, en particulier dans les organisations où les processus de validation des opérations sensibles restent fragiles.
Le rançongiciel reste la menace la plus destructrice
La dualité entre fréquence et sévérité constitue l’un des enseignements fondamentaux du rapport. Si la fraude et la compromission de messagerie professionnelle dominent en volume, le rançongiciel conserve un statut à part en raison de son impact financier et opérationnel. Les 48 jours-homme d’expertise mobilisés en moyenne par incident en 2025 — contre 30 l’année précédente — illustrent le coût de remédiation effectif, au-delà des seules pertes liées au chiffrement des données ou à l’interruption d’activité.
Le rapport apporte sur ce point une donnée significative : sur un parc de plus de 500 clients protégés par le service MDR de Stoïk, aucun n’a subi de chiffrement par rançongiciel en 2025. Jules Veyrat commente ce résultat : « Aucun client protégé par notre service MDR n’a subi d’attaque par ransomware, preuve que la cybersécurité et l’assurance doivent fonctionner de concert pour faire rempart contre la menace cyber. » Ce résultat illustre l’effet mesurable d’une supervision 24/7 associée à une détection proactive, et constitue un argument fort pour les directions de la sécurité qui évaluent le rapport coût/efficacité d’un dispositif MDR externalisé face au coût d’un incident non intercepté.
« NIS 2 va créer une Europe cyber à deux vitesses dès 2026 »
La transposition de NIS 2 dans les législations nationales va imposer aux organisations des secteurs régulés — santé, énergie, industrie — une accélération de leur mise en conformité, avec des exigences documentaires, organisationnelles et techniques précises. Cette échéance réglementaire va simultanément révéler les écarts de capacité dans le tissu de PME sous-traitantes qui constituent la chaîne d’approvisionnement de ces mêmes secteurs. Vincent Nguyen anticipe explicitement ce risque de fracture : « NIS 2 va provoquer un choc de conformité susceptible de créer une Europe à deux vitesses. Les secteurs régulés, comme la santé, l’énergie ou l’industrie accéléreront leur montée en maturité, tandis que de nombreuses PME sous-traitantes peineront à absorber les exigences, la documentation et les délais imposés. »
Cette asymétrie de maturité entre donneurs d’ordres régulés et sous-traitants non régulés reproduit exactement le vecteur d’attaque le plus efficace documenté ces dernières années, la compromission d’une cible de haute valeur via un maillon faible de sa chaîne de fournisseurs.
Les données du rapport dessinent un paysage cyber européen où la sinistralité s’accélère, où la menace s’industrialise via l’IA et où les écarts de maturité entre marchés et entre types d’organisations se creusent. Vincent Nguyen conclut : « Dans ce contexte, la résilience dépendra principalement de la capacité d’exécution : des responsabilités clairement définies, des contrôles d’identité renforcés ainsi qu’un dispositif de réponse à incident efficace, couvrant à la fois les fournisseurs, les plateformes cloud et les équipes métiers. Seules les organisations capables de réduire les frictions décisionnelles en situation de crise et de mobiliser rapidement les expertises adéquates disposeront d’un avantage décisif. »
