Cybersécurité & Numérique · 28/05/2026

Rapport FBI 2025 : 20,9 milliards de dollars envolés en cybercriminalité, ce que les PME des Hauts-de-France doivent en retenir

Par Admin 28/05/2026 Lecture 3 min 8 thèmes
Rapport FBI 2025 : 20,9 milliards de dollars envolés en cybercriminalité, ce que les PME des Hauts-de-France doivent en retenir
Cybersécurité & Numérique
En bref. Le Centre de plainte pour la cybercriminalité du FBI (IC3) a publié le 7 mai 2026 son rapport annuel portant sur 2025. Les chiffres sont vertigineux : 1 008 597 plaintes reçues, soit la première fois que le seuil du million est franchi, et 20,877 milliards de dollars de pertes déclarées, en hausse de 26 % en un an. Au-delà du choc américain, le rapport décrit des mécaniques d'attaque transposables au tissu français : fraude à l'investissement, compromission de courriers professionnels (BEC), escroqueries au support technique, et pour la première fois une catégorie dédiée aux fraudes AI-related. Pour les PME des Hauts-de-France, le signal est clair : la menace se professionnalise plus vite que la défense.

Les chiffres clés à connaître

La séquence 2015-2025 marquée par l'IC3 est éloquente : les pertes déclarées sont passées d'un milliard de dollars à plus de vingt en dix ans. La progression sur la seule année 2025 est portée par trois catégories. La fraude à l'investissement, en tête, totalise 8,648 milliards de dollars de pertes, avec un volume considérable de stratagèmes mêlant faux conseillers, plateformes frauduleuses et cryptoactifs. La compromission de courriers professionnels, ou BEC, atteint 3,046 milliards. Les escroqueries au support technique pèsent 2,134 milliards, en grande partie au détriment des seniors. Le rapport complet est consultable sur le portail de l'IC3. Deux tendances ressortent et concernent directement les acteurs économiques régionaux. D'abord la cryptomonnaie, citée dans plus de 180 000 plaintes pour 11,36 milliards de dollars : tout dirigeant tenté de tester un placement « tokenisé » présenté par un commercial inconnu devrait conserver ces chiffres en tête. Ensuite l'apparition de la catégorie AI-related, qui agrège pour la première fois plus de 22 000 plaintes et près de 900 millions de dollars de pertes — voix clonées, faux entretiens vidéo, faux courriels imitant le style d'un dirigeant. Le FBI documente également 63 nouvelles variantes de rançongiciels en 2025, soit plus de cinq par mois.

Pourquoi ces données américaines parlent au tissu picard

Les statistiques de l'IC3 sont américaines, mais les attaquants sont rarement géographiquement limités. Les campagnes de BEC qui frappent le Massachusetts ou le Texas réutilisent les mêmes kits et les mêmes scénarios pour piéger des PME en Picardie ou dans le Nord. Le panorama 2025 de la cybermenace publié par l'ANSSI confirme la convergence : les rançongiciels frappent en majorité des structures hors administration, et les PME, TPE et ETI représentent près de la moitié des victimes identifiées. Surtout, les trois-quarts des petites structures françaises restent sous le seuil dit Essentiel défini par l'ANSSI. En Hauts-de-France, le maillage industriel — agroalimentaire dans la Somme et l'Oise, textile et logistique dans le Nord, mécanique de précision dans l'Aisne — multiplie les profils de cible attractifs. Une PME industrielle de 50 salariés qui n'a ni RSSI ni MFA généralisé reste un cas typique. L'enjeu n'est pas seulement la rançon : c'est la perte de chiffres d'affaires en cas d'arrêt de production, la fuite de plans techniques vers la concurrence, et la perte de confiance des donneurs d'ordre. Plusieurs incidents notifiés à l'ANSSI ces derniers mois illustrent cette mécanique d'effet domino.

Trois fronts prioritaires à ouvrir dans une PME

Premier front : la messagerie et la fraude au président. Le BEC reste l'attaque la plus rentable en France comme aux États-Unis. La parade combine plusieurs briques peu coûteuses : authentification multifacteur sur toutes les boîtes professionnelles, vérification systématique d'un changement de RIB par un canal hors-bande (téléphone connu, jamais répondu via le mail suspect), formation explicite des comptables et assistants de direction sur les scénarios actuels. Cybermalveillance.gouv.fr publie des kits gratuits et des affiches prêtes à imprimer pour les équipes. Deuxième front : la sauvegarde et le redémarrage. Trop de PME picardes pensent encore qu'une sauvegarde sur un NAS connecté au réseau suffit. Une attaque par rançongiciel chiffre ce NAS en quelques minutes. La règle dite 3-2-1 reste la référence : trois copies de chaque donnée critique, sur deux supports différents, dont une copie hors ligne ou immuable. Le test de restauration doit être documenté et joué au moins une fois par an. C'est souvent à ce moment-là qu'on découvre que les sauvegardes sont incomplètes ou illisibles. Troisième front : la chaîne fournisseurs. Plusieurs attaques 2025 ont transité par un prestataire informatique mal protégé qui détenait un accès distant chez son client. Les Hauts-de-France comptent un grand nombre d'ETI qui sous-traitent leur infogérance à des intégrateurs locaux. Imposer dans les contrats une clause de notification d'incident sous 24 heures, exiger un MFA sur les comptes administrateurs, et auditer les comptes de service inutilisés sont trois mesures simples qui réduisent fortement la surface d'attaque.

Une vidéo pédagogique pour faire passer le message en interne

Pour relayer ces messages auprès d'une direction générale ou d'un comité de direction, la séquence courte produite par Bpifrance Université reste l'un des supports les plus accessibles. Elle a l'avantage d'employer un vocabulaire d'entreprise et non un jargon technique, ce qui facilite l'adhésion des décideurs non spécialistes.

Le cadre français qui se durcit : NIS2, MaCyberAssistance, MesServicesCyber

Au-delà du diagnostic, 2026 marque l'entrée en application des nouvelles obligations issues de la directive NIS2 transposée en droit français. Plusieurs catégories d'entreprises moyennes basculent dans le périmètre, avec quatre obligations structurantes : analyse de risque formalisée, plan de continuité, notification d'incident significatif sous 24 heures, désignation d'un référent sécurité. L'ANSSI accompagne la mise en conformité via la plateforme MesServicesCyber lancée au printemps 2025. Pour les structures les plus petites, le portail Cybermalveillance.gouv.fr propose le dispositif MaCyberAssistance qui orchestre une mise en relation avec des prestataires labellisés. Les chambres consulaires des Hauts-de-France, notamment la CCI Grand Lille et la CCI Hauts-de-France, relaient des sessions d'autodiagnostic gratuit. Le coût d'un audit initial reste sans commune mesure avec celui d'une crise : une étude SFR Business chiffrait en 2025 le coût moyen d'une cyberattaque entre 50 000 et 200 000 euros pour une PME, hors atteinte à l'image.

FAQ

Faut-il payer la rançon en cas d'attaque par rançongiciel ?

L'ANSSI et le ministère de l'Intérieur recommandent fermement de ne pas payer. Le paiement entretient le modèle économique des groupes criminels, n'offre aucune garantie de récupération des données, et expose à des attaques ultérieures. La priorité est de déposer plainte, de notifier l'ANSSI et la CNIL si des données personnelles sont touchées, et de mobiliser un prestataire de réponse à incident.

Mon assurance couvre-t-elle une attaque par BEC ?

Les contrats cyber couvrent généralement la BEC mais avec des plafonds qui restent souvent insuffisants au regard des montants détournés. Surtout, la majorité des contrats imposent des exigences préalables, comme l'authentification multifacteur sur la messagerie. Sans cette brique, l'indemnisation peut être refusée. Une revue annuelle du contrat avec le courtier est devenue indispensable.

Quels indicateurs simples suivre dans une PME ?

Trois indicateurs minimum : le taux de comptes utilisateurs avec MFA actif, le délai depuis le dernier test de restauration des sauvegardes, et le nombre de postes hors support éditeur encore en production. Ces trois mesures, suivies mensuellement par un binôme dirigeant / responsable informatique, captent l'essentiel du risque opérationnel.

Existe-t-il des aides régionales en Hauts-de-France ?

Oui. La Région Hauts-de-France co-finance plusieurs dispositifs via le programme Numérique des entreprises, et la CCI propose des Pass Cybersécurité dans certaines campagnes thématiques. France Num référence en parallèle des accompagnements nationaux qui s'appliquent aux structures picardes. Un point de contact unique reste l'interlocuteur numérique de la CCI territoriale.

Pour approfondir

— Fin de l'article · #RAPPORT- · 28/05/2026 —

À lire aussi

Recruter des talents tech en Picardie en 2026 : guide complet pour sourcer, attirer et fidéliser
Guides & Formation

Recruter des talents tech en Picardie en 2026 : guide complet pour sourcer, attirer et fidéliser
« Skills manifesting » : pourquoi les candidats listent des compétences qu'ils ne maîtrisent pas encore, et ce que les recruteurs tech des Hauts-de-France doivent en faire
Tendances & Innovation

« Skills manifesting » : pourquoi les candidats listent des compétences qu'ils ne maîtrisent pas encore, et ce que les recruteurs tech des Hauts-de-France doivent en faire
Financer sa startup deeptech en Hauts-de-France en 2026 : le guide complet
Guides & Formation

Financer sa startup deeptech en Hauts-de-France en 2026 : le guide complet