La France enregistre un nombre record de fuites de données : près de 80 % des Français ont déjà vu leurs informations personnelles compromises. Surfshark et l’initiative ImpactCyber pointent un déficit criant d’investissement dans la cybersécurité des entreprises et collectivités, conjugué à de mauvaises pratiques numériques persistantes. Résultat : les cybercriminels trouvent en France un terrain privilégié pour multiplier leurs attaques.
Depuis deux ans, la France est régulièrement citée parmi les pays les plus exposés aux cyberattaques. Les chiffres sont alarmants : selon Surfshark, les données de 80 % des Français auraient déjà été compromises, et 2,1 millions de comptes supplémentaires ont été piratés rien qu’au premier trimestre 2025. Derrière ces attaques, un constat revient sans cesse : un manque structurel d’investissement et de maturité cyber dans les entreprises comme dans les collectivités.
Vytautas Kaziukonis, PDG de Surfshark, rappelle que trop d’organisations françaises accumulent des données personnelles tout en négligeant leur protection. « Les entreprises se servent des données pour générer des profits, mais n’investissent pas assez pour les sécuriser », alerte-t-il. Le paradoxe est clair : plus de données collectées, mais moins de moyens pour les protéger.
Ce constat rejoint l’étude ImpactCyber menée par Cybermalveillance.gouv.fr et OpinionWay : 68 % des TPE-PME consacrent moins de 2 000 € par an à la cybersécurité, et 7 sur 10 ne disposent d’aucune procédure de réaction en cas d’attaque [Source]. Résultat : 61 % des dirigeants estiment leur entreprise faiblement protégée.
Les mauvaises habitudes des utilisateurs aggravent la situation. Près de 70 % des Français continuent de recycler leurs mots de passe sur plusieurs comptes, facilitant les attaques automatisées de type credential stuffing. La double authentification, pourtant simple et efficace, reste encore trop peu déployée.
L’étude ImpactCyber confirme que plus de la moitié des petites entreprises laissent leurs collaborateurs utiliser des équipements personnels à des fins professionnelles, sans véritable encadrement. Dans 95 % des cas, il s’agit de téléphones portables non sécurisés, ce qui accroît la surface d’attaque [Source].
Le phénomène est amplifié par les courtiers en données (data brokers), qui collectent, croisent et revendent massivement des informations personnelles. Souvent ignorés du grand public, ils alimentent un marché lucratif qui attire aussi bien les entreprises que les cybercriminels. « Les données sont le nouveau pétrole », insiste le dirigeant de Surfshark.
Les impacts pour les victimes sont multiples : interruption d’activité, perte de clients, coûts financiers et atteinte à la réputation. Selon l’étude ImpactCyber, 94 % des dirigeants redoutent une destruction ou un vol de données, et 90 % craignent une interruption d’activité [Source].
Les témoignages recueillis dans le mémento de cybersécurité sont parlants : une agence d’événementiel paralysée après un virus, une fromagerie bloquée par un rançongiciel, ou encore une PME du BTP victime d’un piratage de messagerie. Ces récits illustrent combien les cyberattaques touchent aussi les petites structures.
Vytautas Kaziukonis plaide pour un durcissement des sanctions contre les organisations négligentes, via des amendes progressives. De leur côté, les acteurs publics français multiplient les initiatives de sensibilisation, à l’image d’ImpactCyber, qui propose étude, campagne et mémento pour inciter les dirigeants à se protéger.
Pourtant, la prise de conscience reste lente. Seules 10 % des TPE-PME prévoient d’augmenter leur budget cybersécurité dans l’année à venir [Source]. Face à des cyberattaques de plus en plus automatisées et dopées à l’intelligence artificielle, la France doit accélérer sa maturité numérique pour espérer inverser la tendance.
Source : Étude OpinionWay pour Cybermalveillance.gouv.fr – ImpactCyber 2024.
Source : ImpactCyber – Mémento TPE-PME 2024.
Source : OpinionWay – Conséquences redoutées par les dirigeants (2024).
Source : OpinionWay – Prévisions budgétaires cybersécurité des TPE-PME (2024).