InterCERT France publie son étude 2026 : une menace cyber toujours plus furtive, structurée et stratégique

Paris, le 2 avril 2026 – InterCERT France dévoile aujourd’hui son étude annuelle sur l’état de la menace cyber en 2026, fondée sur l’analyse de plusieurs centaines d’incidents traités par ses membres. Ce rapport met en lumière une évolution marquée des modes opératoires des attaquants, ainsi qu’un écart persistant entre les capacités de défense selon les organisations.

Une menace dominée par les ransomwares et les infostealers

L’étude confirme la prééminence des attaques par ransomware, qui représentent 30 % des outils utilisés lors des incidents analysés. Toutefois, InterCERT France souligne que le chiffrement des données ne constitue que l’aboutissement d’une intrusion souvent longue et préparée en amont : les attaquants s’introduisent parfois plusieurs semaines avant le déclenchement de l’attaque, avec pour objectif d’obtenir des privilèges élevés.

Parallèlement, les « infostealers » s’imposent comme une menace structurante, représentant 21 % des outils identifiés. Ces logiciels malveillants, conçus pour dérober les identifiants et mots de passe stockés dans les navigateurs, constituent fréquemment le point d’entrée des attaques, facilitant l’accès initial et la compromission des systèmes.

Des délais de détection et de reconstruction préoccupants

L’étude met en évidence des délais critiques dans la gestion des incidents cyber :

• 15 jours en moyenne pour détecter une attaque après son initiation
• 17 jours pour contenir et gérer l’incident
• 16 jours supplémentaires pour reconstruire les systèmes

Ces délais s’allongent significativement pour les entreprises de taille intermédiaire (ETI), dont la reconstruction peut atteindre 27 jours en moyenne, révélant une fragilité structurelle face aux cyberattaques.

L’organisation de la cyberdéfense, facteur déterminant

L’analyse comparative entre CERT internes et CERT externes met en évidence l’impact décisif de l’organisation sur la gravité des incidents. Les entreprises disposant d’un CERT interne sont nettement moins exposées aux crises majeures : elles ne représentent que 25 % des cas de chiffrement de données, contre 75 % pour celles dépendant uniquement d’un CERT externe.

Par ailleurs, les compétences les plus critiques lors de la gestion d’un « ransomware » ne relèvent pas uniquement de l’expertise avancée en cybersécurité. L’étude souligne l’importance de fondamentaux techniques :

• Administration système : 32 %
• Administration réseau : 30 %

Ces résultats traduisent un déficit de maîtrise opérationnelle dans de nombreuses PME et ETI.

Une montée des attaques à visée géopolitique

Au-delà des motivations financières, InterCERT France observe une évolution vers des attaques non lucratives, liées à des objectifs d’espionnage, d’influence ou de déstabilisation. Les attaques par déni de service (DDoS) visant des institutions publiques, ainsi que les stratégies de pré-positionnement d’acteurs étatiques dans des infrastructures critiques, illustrent cette tendance. Dans certains cas, des intrusions peuvent rester indétectées pendant plusieurs années avant d’être exploitées.

Protection des données personnelles : un enjeu mieux maîtrisé par les grandes organisations

Les incidents impliquant des fuites de données à caractère personnel sont majoritairement traités par des CERT internes (66 % des cas). Cette tendance reflète une meilleure structuration des grandes entreprises face aux exigences réglementaires, notamment en matière de RGPD. À l’inverse, les structures plus petites peinent encore à intégrer pleinement ces enjeux, souvent par manque de ressources ou de processus formalisés.

À travers cette étude, InterCERT France appelle à une prise de conscience renforcée : la menace cyber est désormais durable, structurée et multidimensionnelle. Pour Thibaud Binétruy, le président de l’association, « le principal enseignement de cette étude, c’est que les attaques ne commencent pas au moment où elles deviennent visibles. Elles s’installent dans la durée et contournent nos solutions. Face à cela, la réponse ne peut pas être uniquement technologique : elle doit être organisationnelle, opérationnelle et collective. Une défense efficace repose autant sur les outils que sur les femmes et les hommes qui les exploitent : sans cette expertise la technologie est inutile. »

L’étude est disponible sur le site d’InterCERT France

A propos de l’InterCERT France 

Fondée en 2021 en réponse à la croissance significative de sa communauté, l’association InterCERT France est née de la volonté de ses membres de pérenniser un réseau d’organisations ayant des activités de réponse à incident d’origine cyber souvent dénommés CERT, (Computer Emergency Response Team, ou CSIRT, Computer Security Incident Response Team) sur le territoire français.

Aujourd’hui, présidée par Thibaud Binétruy, l’InterCERT France regroupe 133 organisations et a pour mission de :

• Faciliter et encourager les échanges d’informations techniques et de bonnes pratiques en matière de réponse à un incident cyber et de connaissance sur la menace,
• Promouvoir une coopération rapide et effective au niveau opérationnel permettant de mieux appréhender les attaques,
• Contribuer à accentuer la maturité de la sécurité des systèmes d’information par l’aide auprès des équipes les plus récentes ou en cours de constitution,
• Promouvoir le modèle CERT / CSIRT en France et soutenir le développement de ces derniers à travers le parrainage et l’organisation de rencontres et ateliers,
• Partager des connaissances et savoir-faire au sein du réseau.

En savoir plus : https://www.intercert-france.fr

Contacts presse :

Hopscotch Décideurs

• Candice Tisserand – 06 49 58 26 05 – ctisserand@hopscotch.one
• Samuel Godissart – 07 78 21 59 83 – sgodissart@hopsscotch.one