Avec 13 % des attaques recensées en Europe en 2025, la France se hisse au troisième rang des pays les plus ciblés, à égalité avec l’Allemagne. Derrière ce positionnement, une réalité plus complexe : montée en puissance des attaques DDoS, recomposition du paysage ransomware et activisme croissant de groupes organisés. Adrien Merveille, directeur technique France de CheckPoint fait le point sur les résultats.
Une cible exposée par son rôle politique et économique
La place de la France dans le paysage cyber européen traduit une réalité plus large qu’un simple volume d’attaques. Elle révèle une exposition structurelle, alimentée par le contexte international et le positionnement du pays.
« Il y a eu un contexte autour de la France qui a fait qu’il y avait particulièrement un intérêt », observe Adrien Merveille, évoquant à la fois les échéances politiques et les événements récents. Les prises de position publiques jouent également un rôle déclencheur.
« Dès qu’il y a une prise de parole sur certains sujets internationaux, vous êtes certains qu’il y a des groupes qui ciblent la France derrière »
Adrien Merveille, directeur technique France de CheckPoint.
À cette visibilité s’ajoute un facteur d’attractivité économique. Le tissu industriel, la présence d’actifs stratégiques et l’image d’un pays influent renforcent l’intérêt des attaquants. « Attaquer la France peut servir à revendiquer avec une certaine notoriété », souligne-t-il.
Le DDoS s’impose comme arme de pression immédiate
Le basculement est net : les attaques DDoS représentent désormais 47 % des incidents, en hausse de 19 points. Une évolution qui traduit une logique différente de la cyberattaque.
« Si je veux savoir quand je vais subir une attaque DDoS, je regarde quand le président parle »
Adrien Merveille, directeur technique France de CheckPoint.
Une phrase révélatrice d’un phénomène où l’actualité politique devient un indicateur de risque.
Ces attaques privilégient l’effet immédiat : interruption de service, saturation des infrastructures, visibilité médiatique. Elles s’inscrivent souvent dans des logiques opportunistes ou idéologiques, avec des impacts courts mais répétitifs.
En parallèle, les ransomwares reculent à 16 %. Une baisse qui ne doit pas masquer leur évolution. « Les attaques diminuent, mais les impacts sont plus forts », précise-t-il, traduisant une mutation vers des opérations plus ciblées et potentiellement plus destructrices.
Une cybercriminalité structurée, entre business et propagande
L’intensification des attaques s’appuie sur des groupes de plus en plus organisés.
Certains, comme Noname057(16) (+411 %), s’inscrivent dans une logique idéologique et communicationnelle. « Ils vont essayer de faire un dégât, puis le médiatiser très fortement », explique Adrien Merveille. Leur objectif dépasse l’impact technique : il s’agit de visibilité et de narration.
D’autres, à l’image de Qilin (+750 %), opèrent selon une logique économique. « Leur but, c’est de générer de l’argent », résume-t-il. Ces groupes adoptent des modèles proches de l’entreprise, avec des offres de ransomware-as-a-service et une structuration interne avancée.
Le secteur gouvernemental concentre 22 % des attaques, confirmant son statut de cible prioritaire. Entre activisme numérique, stratégies d’influence et industrialisation de la cybercriminalité, la France s’inscrit durablement dans le viseur. Une dynamique qui, au regard des tendances observées, devrait encore s’amplifier en 2026.
