Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Sécurité Top 5 des cyberattaques les plus fréquentes en 2026

Top 5 des cyberattaques les plus fréquentes en 2026


En 2025, 40 % des entreprises françaises ont subi au moins une cyberattaque significative, selon le baromètre CESIN 2026. La cybercriminalité ne faiblit pas, et les modes opératoires des attaquants évoluent à grande vitesse. 

Pour protéger votre PME des cybermenaces avec un budget restreint, vous devez adopter des mesures de sécurité capables de stopper les menaces plus fréquentes. Dans cet article, vous découvrirez : 

  • les 5 modes opératoires les plus utilisés par les cybercriminels,
  • les conséquences de chacun d’eux sur votre entreprise,
  • et les bonnes pratiques à mettre en place pour s’en prémunir.
Deux techniciens IT interviennent suite à une cyberattaque
Savez-vous quelles sont les cyberattaques les plus courantes en 2026 et comment vous en prémunir ?

Le phishing, le spear phishing et le smishing

1.1 Que sont le phishing et ses dérivés ?

Le phishing (ou hameçonnage) est une technique utilisée par les cybercriminels qui a pour but d’obtenir des informations confidentielles comme des identifiants, un mot de passe, ou des coordonnées bancaires, en se faisant passer pour un tiers de confiance. Dans la majorité des cas, le phishing prend la forme d’e-mails frauduleux envoyés par les attaquants.

 Il se décline en plusieurs variantes :

  • Le spear phishing : un message personnalisé, conçu pour cibler une personne ou une organisation spécifique.
  • Le smishing : un dérivé du phishing qui s’effectue par l’envoi de SMS frauduleux.

Le phishing et ses dérivés sont le premier vecteur d’attaque en France : 55 % des entreprises en ont été victimes en 2025.

Ce mode opératoire est plébiscité par les cybercriminels car il leur offre la possibilité de lancer à grande échelle des campagnes d’e-mails ou de SMS frauduleux, maximisant ainsi les chances de réussite.

Le phishing peut permettre aux attaquants de mettre la main sur des identifiants donnant accès aux systèmes d’information de votre entreprise, par exemple pour réaliser des fraudes ou mener ultérieurement des opérations de plus grande envergure.

Les données collectées via la campagne de phishing peuvent également être revendues sur le marché noir à d’autres cybercriminels.

Enfin, certaines campagnes (notamment de spear phishing) ont pour but de tromper un collaborateur pour l’inciter à réaliser une action comme un virement frauduleux ou l’installation d’un logiciel malveillant à son insu. 

L’émergence du vishing est à souligner : il s’agit d’un dérivé du phishing qui s’appuie sur des messages vocaux ou des appels audio, pendant lesquels l’attaquant utilise l’intelligence artificielle pour copier l’empreinte vocale d’un partenaire ou d’un collaborateur de la victime afin de la duper.

1.2 Les conséquences du phishing

Le phishing est une porte d’entrée vers des attaques bien plus graves, ce qui en fait un vecteur dangereux malgré son apparente simplicité.

Voici quelques exemples de conséquences directes d’une tentative de phishing réussie : 

  • la compromission de comptes : une fois en possession des identifiants d’un collaborateur, l’attaquant peut accéder à sa messagerie, à ses applications, aux bases de données client ou aux systèmes comptables. Il est alors en mesure d’opérer discrètement pendant plusieurs semaines sans être détecté.
  • l’exfiltration de données sensibles : les données clients, les informations contractuelles, ou encore la propriété intellectuelle de votre entreprise peuvent être exfiltrées par l’attaquant. 52 % des entreprises attaquées ont subi un vol de données en 2025.
  • le déclenchement d’un ransomware : un simple clic sur une pièce jointe infectée peut suffire à installer un logiciel malveillant qui se propage ensuite à l’ensemble du réseau. Dans le cas d’un ransomware, celui-ci se met à chiffrer l’ensemble des données de l’entreprise, les rendant ainsi totalement inaccessibles. Les opérations de votre entreprise sont alors totalement paralysées, et les attaquants exigent une rançon sous peine de supprimer les données.
  • la fraude financière : des criminels peuvent par exemple se faire passer pour votre entreprise auprès de vos clients via des e-mails frauduleux pour obtenir des accès à leurs comptes et effectuer des achats avec leur carte bancaire à leur profit.
  • l’atteinte à la réputation : toute violation de données personnelles doit être notifiée à la CNIL. Les personnes dont les données ont été affectées doivent également être informées. Résultat : une réputation entachée qui se traduit souvent par une baisse de confiance et un préjudice économique.

Exemple : en mars 2022, une campagne de phishing ciblant des professionnels de santé utilisant la plateforme de l’Assurance Maladie a permis de compromettre 19 comptes. Résultat : l’exposition des données (nom, numéro de sécurité sociale, médecin traitant…) de près de 510 000 patients. Dix-neuf comptes compromis ont suffi à déclencher une violation de données à grande échelle, une procédure CNIL et une couverture médiatique nationale.

1.3 Les bonnes pratiques pour prévenir le phishing 

Pour ne pas tomber dans le piège du phishing, il existe plusieurs bonnes pratiques à adopter : 

  • Installer une passerelle de messagerie sécurisée pour identifier et filtrer les messages malveillants avant qu’ils n’atteignent les boîtes de réception.
  • Activer la vérification en deux étapes (MFA) sur tous les accès critiques afin de bloquer les tentatives de connexion malveillantes en cas de vol d’identifiants.
  • Former les collaborateurs à identifier les e-mails de phishing (adresse e-mail utilisée, expéditeur inhabituel, ton urgent, lien suspect, etc.).
  • Simuler des campagnes de phishing en interne pour tester la vigilance des collaborateurs.
  • Installer un antivirus pour identifier et bloquer le téléchargement des pièces-jointes malveillantes.

L’exploitation de failles de sécurité

2.1 Qu’est-ce que l’exploitation de failles ?

Une faille de sécurité est une vulnérabilité présente dans un logiciel, un système d’exploitation ou un équipement réseau. Elle peut être exploitée par un attaquant pour s’introduire dans votre système informatique

L’exploitation de failles est le deuxième vecteur d’attaque le plus fréquent en France : 41 % des entreprises en ont été victimes en 2025.

Les attaquants utilisent des scanners de vulnérabilités pour détecter automatiquement les entreprises dont les systèmes sont exposés et identifier leurs logiciels ou équipements dont les versions ne sont pas à jour. Une fois une faille identifiée, ils exploitent la vulnérabilité avant que le correctif de sécurité n’ait été appliqué. Votre fenêtre d’exposition est le délai critique qui s’écoule entre la publication d’une vulnérabilité et l’application du correctif par votre entreprise. Plus cette fenêtre est longue, plus le risque est élevé.

2.2 Les conséquences de l’exploitation d’une faille

L’exploitation d’une faille de sécurité peut avoir des conséquences graves et irréversibles :

  • la prise de contrôle d’un serveur ou d’un poste de travail : une fois la faille exploitée, l’attaquant peut prendre le contrôle total d’un équipement. Il dispose alors d’un point d’entrée depuis lequel il peut se déplacer latéralement dans votre réseau, accéder à d’autres systèmes afin d’accroître progressivement ses privilèges.
  • l’accès à des données sensibles : depuis le système compromis, l’attaquant peut accéder à vos bases de données clients, à vos fichiers comptables, aux données RH ou à la propriété intellectuelle de votre entreprise, souvent sans déclencher d’alerte.
  • le déploiement d’un ransomware : à l’instar du phishing, l’exploitation d’une faille est l’un des modes d’entrée les plus courants pour déployer un ransomware. Une fois à l’intérieur du réseau, l’attaquant peut chiffrer l’ensemble de vos données et paralyser totalement vos opérations.
  • une intrusion longue et silencieuse : contrairement au phishing, l’exploitation d’une faille laisse souvent peu de traces visibles. Certains attaquants restent présents dans les systèmes pendant plusieurs semaines, voire plusieurs mois, avant de passer à l’action ou d’être détectés. Cela facilite notamment l’espionnage industriel.

Exemple : en octobre 2024, l’opérateur Free a été victime d’une cyberattaque. Un pirate a exploité une faille dans un outil de gestion interne de l’entreprise, accédant ainsi à une vaste base de données clients. Parmi les informations dérobées : les noms, prénoms, adresses e-mail et postales, numéros de téléphone, ainsi que plus de 5 millions d’adresses IBAN. Au total, plus de 19 millions de clients ont potentiellement vu leurs données personnelles exposées. Un logiciel interne non suffisamment sécurisé a suffi à compromettre les données de près d’un Français sur trois.

2.3 Les bonnes pratiques pour se protéger de l’exploitation de failles

  • Installer les correctifs de sécurité dès leur publication.
  • Réaliser des scans de vulnérabilités réguliers pour identifier vos failles avant que les attaquants ne le fassent. Des outils comme Sekost permettent de réaliser des audits de cybersécurité à partir d’un simple nom de domaine afin de cartographier automatiquement l’ensemble de vos vulnérabilités et de prioriser vos actions correctives.
  • Suivre les alertes de sécurité publiées par le CERT-FR de l’ANSSI, qui signale en temps réel les vulnérabilités activement exploitées.
  • Désactiver les services et ports réseau inutilisés pour réduire la surface d’attaque exposée.

L’attaque indirecte via un tiers

3.1 Qu’est-ce qu’une attaque via un tiers ?

Une attaque via un tiers est le mode opératoire qui consiste à attaquer une organisation non pas de façon frontale, mais en ciblant l’un de ses prestataires, fournisseurs ou partenaires. On parle également d’attaque par la chaîne d’approvisionnement.

Il s’agit du troisième vecteur d’attaque le plus fréquent en France : 35 % des entreprises en ont été victimes en 2025.

Plutôt que d’attaquer une organisation bien protégée, il est souvent plus facile pour les criminels de s’en prendre à son écosystème. Les attaquants y trouvent souvent un intérêt stratégique : en compromettant par exemple un seul prestataire informatique ou éditeur logiciel, ils peuvent accéder simultanément à des dizaines ou des centaines d’entreprises clientes. Les accès accordés aux tiers sont par ailleurs souvent trop larges et insuffisamment surveillés, ce qui facilite les mouvements latéraux une fois l’intrusion réalisée.

3.2 Les conséquences d’une attaque via un tiers

Ce type d’attaque est particulièrement difficile à anticiper : vos partenaires ne sont pas soumis à votre politique de sécurité et il est difficile de maîtriser leurs usages.  Une attaque via un tiers peut avoir plusieurs conséquences, comme :

  • le vol ou la divulgation de données vous concernant : un malware ou un ransomware déployé chez un prestataire peut entraîner la divulgation de vos propres données, même si vos systèmes ne sont pas directement touchés.
  • une interruption d’activité par effet collatéral : si l’un de vos prestataires critiques est paralysé par une cyberattaque, vos propres opérations peuvent être impactées, sans que vous ne puissiez agir directement. 30 % des entreprises ont subi ce type d’interruption via un tiers en 2025.
  • une responsabilité juridique engagée : en cas de violation des données personnelles  de vos clients par le biais d’une attaque menée sur un prestataire, c’est votre entreprise qui reste responsable vis-à-vis de la CNIL et de vos clients, au titre du RGPD et de la directive NIS2.
  • une compromission longue et invisible : les attaquants peuvent accéder à vos systèmes pendant une longue période si l’accès d’un partenaire est compromis.
  • Exemple : en août 2025, Air France-KLM a informé ses clients d’une fuite de données après une cyberattaque ayant ciblé un de ses prestataires chargé de la gestion de la relation client. Les données compromises concernaient principalement le programme de fidélité Flying Blue : noms, prénoms, adresses e-mail, numéros de téléphone, numéros de compte et statuts du programme. La compagnie n’avait commis aucune faute directe sur ses propres systèmes.

3.3 Les bonnes pratiques pour se protéger des attaques via un tiers

  • Cartographier l’ensemble de ses prestataires et identifier ceux qui disposent d’un accès à vos systèmes ou à vos données.
  • Intégrer des clauses contractuelles de sécurité dans tous les contrats avec des prestataires ayant accès à vos systèmes. C’est une pratique déjà adoptée par 85 % des entreprises.
  • Segmenter les accès accordés aux tiers : un prestataire ne doit accéder qu’aux données et aux systèmes strictement nécessaires à sa mission.
  • Révoquer immédiatement les accès des prestataires dont la mission est terminée.
  • Surveiller les connexions des tiers pour détecter tout comportement anormal.

L’arnaque au président

4.1 Qu’est-ce que l’arnaque au président ?

L’arnaque au président est une technique d’ingénierie sociale dans laquelle le cybercriminel se fait passer pour un dirigeant ou un cadre de l’entreprise afin d’inciter un collaborateur à effectuer un virement bancaire vers un compte frauduleux.

Elle représente le quatrième vecteur d’attaque le plus fréquent en France : 26 % des entreprises en ont été victimes en 2025.

L’objectif de ce mode opératoire est exclusivement financier. La manipulation repose sur trois leviers psychologiques : l’autorité (l’ordre vient du PDG), l’urgence (le virement doit être effectué immédiatement) et la confidentialité (il ne faut en parler à personne). Ces ressorts sont efficaces car ils court-circuitent les procédures habituelles.

La technique évolue avec l’essor de l’intelligence artificielle : les attaquants utilisent désormais des deepfakes vocaux et vidéo pour imiter la voix ou l’apparence d’un dirigeant lors d’un appel téléphonique ou d’une visioconférence. La supercherie devient alors extrêmement difficile à détecter, y compris pour des collaborateurs vigilants.

4.2 Les conséquences de l’arnaque au président

  • Des pertes financières directes et souvent irrécupérables : les fonds virés sont rapidement transférés vers des comptes à l’étranger, rendant toute récupération très difficile, voire impossible. 25 % des entreprises attaquées ont subi des transactions frauduleuses en 2025. Pour une PME, une telle perte peut menacer directement la trésorerie et la pérennité de l’activité.
  • Un impact psychologique sur les équipes : le collaborateur victime de la manipulation se retrouve dans une situation délicate, entre sentiment de culpabilité et pression interne. Ces situations peuvent générer des tensions durables au sein des équipes et nuire au climat de travail.
  • Des démarches judiciaires longues et incertaines : même après dépôt de plainte, les chances de retrouver les fonds restent faibles. Les attaquants opèrent souvent depuis l’étranger via des structures opaques, ce qui complique considérablement les investigations.
  • Une atteinte à la réputation : si l’arnaque implique des données ou des informations confidentielles sur des clients ou partenaires, les répercussions peuvent dépasser le cadre financier et affecter durablement la relation de confiance avec vos parties prenantes.

Exemple : en 2024, une société française a perdu plus de 2,1 millions d’euros après qu’une comptable ait effectué sept virements vers un compte à Hong Kong, convaincue d’exécuter des instructions de son président. Les e-mails étaient falsifiés, le dirigeant n’avait jamais donné ces ordres. Les fonds n’ont pas été récupérés.

4.3 Les bonnes pratiques pour se protéger de l’arnaque au président

  • Mettre en place une procédure de double validation pour tout virement exceptionnel ou urgent, impliquant au minimum deux personnes distinctes.
  • Ne jamais effectuer un virement sur simple demande orale ou par e-mail sans vérification préalable via un canal indépendant.
  • Former les équipes financières aux techniques de manipulation utilisées, en insistant sur le fait que l’urgence et la confidentialité sont des signaux d’alerte, pas des raisons d’agir vite.
  • Vérifier systématiquement toute demande de changement de coordonnées bancaires d’un fournisseur ou d’un client via un rappel téléphonique sur un numéro connu de longue date.
  • En cas de suspicion de deepfake vocal, poser une question personnelle dont seul votre interlocuteur légitime connaît la réponse, et interrompre immédiatement l’appel en cas de doute.

5. Le déni de service distribué (DDoS)

5.1 Qu’est-ce qu’une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) consiste à saturer les serveurs ou l’infrastructure réseau d’une entreprise avec un volume massif de connexions, jusqu’à la rendre totalement inaccessible pour ses utilisateurs légitimes.

Il s’agit du cinquième vecteur d’attaque le plus fréquent en France : 21 % des entreprises en ont été victimes en 2025 selon le baromètre CESIN 2026.

Les motivations varient : l’extorsion financière (paiement d’une rançon pour mettre fin à l’attaque), l’activisme idéologique ou politique, ou encore la déstabilisation concurrentielle. Dans certains cas, le DDoS sert également de diversion pour masquer une intrusion simultanée dans les systèmes, pendant que les équipes techniques sont mobilisées sur la gestion de l’incident.

5.2 Les conséquences d’une attaque DDoS

  • L’indisponibilité totale des services en ligne : pendant toute la durée de l’attaque, votre site internet, votre application ou votre plateforme devient inaccessible pour vos clients et partenaires. Pour une entreprise dont l’activité dépend de sa présence en ligne (e-commerce, plateforme SaaS, site de réservation), chaque heure d’indisponibilité se traduit directement en perte de chiffre d’affaires.
  • Une interruption des outils internes : si l’attaque cible l’infrastructure réseau de l’entreprise, les outils de travail internes (messagerie, ERP, outils collaboratifs) peuvent également devenir inaccessibles, paralysant l’ensemble des équipes.
  • Un coût de remédiation sous-estimé : mobiliser les équipes techniques pour contenir une attaque DDoS, reconfigurer les équipements réseau et restaurer la disponibilité des services représente un coût souvent sous-estimé par les entreprises qui n’y ont pas été préparées.
  • Une atteinte durable à la réputation : une indisponibilité prolongée et visible par les clients peut entamer durablement la confiance envers votre entreprise.

Exemple : en décembre 2025, le groupe La Poste a été victime d’une attaque DDoS massive revendiquée par des hacktivistes pro-russes, rendant inaccessibles de nombreux services en ligne dont La Banque Postale pendant plusieurs heures. Le ministre de l’Économie a dû intervenir publiquement pour rassurer les utilisateurs. 

5.3 Les bonnes pratiques pour se protéger des attaques DDoS

  • Souscrire à un service de protection anti-DDoS auprès de son hébergeur ou d’un prestataire spécialisé, capable d’absorber et de filtrer les pics de trafic anormaux avant qu’ils n’atteignent votre infrastructure.
  • Utiliser un CDN (réseau de distribution de contenu) pour répartir la charge et réduire la dépendance à un point d’infrastructure unique.
  • Configurer des règles de pare-feu et des systèmes de limitation de débit pour bloquer automatiquement les sources de trafic abusif.
  • Prévoir un plan de continuité documenté en cas d’indisponibilité prolongée, incluant des canaux de communication alternatifs pour informer vos clients et partenaires.
  • Tester régulièrement la résistance de votre infrastructure face à un volume de trafic élevé, pour identifier les points de fragilité avant qu’une attaque réelle ne les exploite.

Conclusion

Le phishing, l’exploitation de failles, les attaques via des tiers, l’arnaque au président et le DDoS sont les cinq modes opératoires les plus utilisés par les cybercriminels contre les entreprises françaises. En axant vos efforts de cybersécurité sur ces cinq vecteurs, vous couvrez l’essentiel des menaces auxquelles votre entreprise est réellement exposée. Bonne nouvelle : des mesures concrètes existent pour y faire face, et elles sont plus accessibles qu’il n’y paraît. Tout commence par un état des lieux précis de votre niveau de protection actuel, pour savoir où concentrer vos efforts en priorité.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit