Un rapport d’activité ANSSI 2025 en trompe l’œil pour les RSSI
Le rapport d’activité ANSSI 2025 fait état de 3 586 événements de sécurité traités, en baisse par rapport à l’exercice précédent, mais de 1 366 incidents confirmés en légère hausse (chiffres issus de la synthèse opérationnelle du rapport). Pour un responsable de la sécurité des systèmes d’information en France, cette apparente contradiction rappelle que moins d’événements ne signifie pas moins de menace, surtout quand les attaques se concentrent sur les systèmes d’information les plus critiques et les chaînes d’accès privilégiées. Le rapport d’activité de l’Agence nationale de la sécurité des systèmes d’information montre ainsi une activité opérationnelle toujours soutenue, avec une pression constante sur les infrastructures critiques et les systèmes d’information des ministères, des collectivités et des opérateurs de télécommunications.
Dans ce rapport annuel, l’ANSSI détaille un panorama de la cybermenace où l’éducation et la recherche représentent 34 % des incidents, devant les ministères et collectivités à 24 %, comme le précise la section consacrée aux secteurs les plus touchés. Les domaines de la santé et des télécoms suivent avec respectivement 10 % et 9 % des incidents, ce qui confirme que la cybersécurité n’est plus un sujet périphérique mais un enjeu de sécurité nationale pour chaque acteur public ou privé connecté à ces infrastructures critiques. Pour les DSI et RSSI, consulter le rapport d’activité ANSSI 2025 revient donc à lire une cartographie opérationnelle des risques cyber, bien plus qu’un simple bilan d’année pour l’agence nationale, avec des tendances détaillées par type d’attaque, par secteur et par niveau de criticité des systèmes d’information.
Les chiffres du rapport d’activité ANSSI 2025 montrent aussi que 499 visas de sécurité ont été délivrés, ce qui illustre la montée en puissance des exigences de sécurité des systèmes d’information dans le cadre réglementaire français et européen. Cette activité de certification, décrite dans le chapitre sur les visas de sécurité et les évaluations CESTI, renforce la sécurité des systèmes et des produits, mais elle met aussi en lumière la difficulté pour de nombreux acteurs de mettre en œuvre des architectures réellement résilientes face aux attaques cyber modernes. Pour les équipes de cybersécurité, l’enjeu n’est plus seulement de signaler les incidents, mais de renforcer la cyber-résilience de bout en bout, du poste utilisateur aux systèmes industriels, en s’appuyant sur le rapport d’activité ANSSI 2025 disponible sur le site officiel de l’agence et sur les fiches de retour d’expérience qui y sont associées.
Des incidents stables, mais des attaques plus ciblées sur les systèmes d’information
Le rapport d’activité ANSSI 2025 insiste sur la stabilité apparente du nombre d’incidents, mais la nature des attaques cyber évolue nettement. Les acteurs étatiques et les groupes criminels structurés ciblent davantage les systèmes d’information des administrations, des universités et des hôpitaux, avec des campagnes qui combinent compromission de la chaîne d’approvisionnement logicielle, mouvements latéraux discrets et chiffrement sélectif des données. En 2024, par exemple, une collectivité territoriale a vu plus de 200 serveurs chiffrés en une nuit, entraînant plusieurs jours d’interruption de services en ligne et un coût de remédiation estimé à plus d’un million d’euros, cas d’école repris dans la partie du rapport consacrée aux rançongiciels. Dans ce contexte, la sécurité des systèmes ne se résume plus à filtrer le trafic réseau, elle exige une visibilité profonde sur les événements de sécurité et les comportements anormaux dans l’espace numérique de l’organisation.
Pour les RSSI, le panorama de la cybermenace décrit par l’agence confirme que les infrastructures critiques et les systèmes d’information interconnectés restent la cible privilégiée des attaques. Les incidents recensés dans le rapport d’activité ANSSI 2025 montrent que les campagnes de rançongiciel, les compromissions de comptes à privilèges et les attaques sur la chaîne logicielle continuent de peser sur la sécurité nationale et la continuité des services publics. L’ANSSI rappelle d’ailleurs que « la menace reste élevée et structurée, avec une professionnalisation croissante des attaquants », une formule reprise dans l’éditorial de la direction générale. Les DSI doivent donc renforcer la cyber-résilience de leurs infrastructures en combinant durcissement des configurations, supervision avancée et gestion rigoureuse des identités et des accès.
La mise en œuvre de cette cyber-résilience passe aussi par une meilleure maîtrise du risque tiers, notamment sur la supply chain logicielle et les services cloud. Les incidents analysés dans le rapport d’activité ANSSI 2025 rappellent que même les SOC les mieux équipés restent vulnérables sans stratégie claire sur le risque fournisseur, comme l’illustre le retour d’expérience détaillé sur la supply chain logicielle et le risque tiers dans la partie « Menaces et incidents marquants ». Pour les équipes cyber, l’enjeu est de signaler plus tôt les signaux faibles, de documenter les événements de sécurité et de s’aligner sur un cadre réglementaire qui renforce progressivement les obligations de sécurité des systèmes d’information, en particulier pour les opérateurs de services essentiels et les entités soumises aux futures exigences NIS2.
Virage post quantique, intelligence artificielle et feuille de route pour la prochaine année
Au-delà des chiffres, le rapport d’activité ANSSI 2025 met en avant un virage stratégique avec les premiers certificats CESTI de solutions post quantiques délivrés en septembre puis en octobre, mentionnés dans la section consacrée à la cryptographie et aux évaluations de produits. L’ANSSI décrit cette transition vers la cryptographie post quantique comme « un projet de long terme susceptible d’impacter l’ensemble de l’écosystème numérique », ce qui signifie pour les DSI que la dette cryptographique actuelle pèsera sur la sécurité des systèmes pendant de nombreuses années. Pour les responsables de la cybersécurité, la priorité devient de planifier la mise en œuvre de ce virage post quantique dans les architectures, les applications métiers et les infrastructures critiques, plutôt que d’attendre un futur cadre réglementaire plus contraignant, en identifiant dès maintenant les systèmes et produits concernés par ces premiers certificats CESTI.
Dans ce même rapport d’activité ANSSI 2025, l’agence nationale souligne aussi le rôle croissant de l’intelligence artificielle, à la fois comme outil de détection et comme vecteur potentiel de nouvelles attaques. Les DSI doivent intégrer cette double dimension dans leur stratégie de cyber-résilience, en évaluant comment l’IA peut renforcer la détection des incidents tout en créant de nouveaux risques de manipulation ou de fuite de données. La plateforme MesServicesCyber, avec ses 20 000 ressources consultées et 5 500 diagnostics d’organisations réalisés selon les indicateurs publiés dans le rapport, illustre cette volonté de l’ANSSI de fournir aux acteurs un espace opérationnel pour renforcer la sécurité des systèmes d’information sur tout le territoire, en particulier pour les structures publiques et les PME moins matures.
Pour préparer la prochaine année, les RSSI gagneront à consulter le rapport d’activité ANSSI 2025 en parallèle des travaux sur NIS2, du Resilience Act européen et des recommandations nationales sur la sécurité des systèmes. Les orientations détaillées par Vincent Strubel et par l’agence dans ce rapport d’activité doivent être traduites en feuilles de route concrètes, en s’appuyant sur des analyses comme la feuille de route NIS2 de l’ANSSI ou sur les retours d’expérience en observabilité multi cloud présentés dans cet article sur l’observabilité multi cloud. Pour les DSI, le rapport d’activité ANSSI 2025 n’est pas seulement un bilan d’année pour l’Agence nationale de la sécurité des systèmes d’information, c’est un guide de mise en œuvre pour renforcer la sécurité nationale et la cyber-résilience de leurs propres systèmes d’information, avec une checklist opérationnelle priorisée : cartographier les systèmes critiques et les dépendances tierces sous trois mois, désigner un responsable de la conformité NIS2 et du Resilience Act, lancer un plan de migration cryptographique post quantique avec un pilote en moins d’un an, et formaliser une gouvernance cyber intégrant DSI, RSSI, métiers et direction générale.