Phishing, compromission de prestataires, fuites de données massives… Derrière la majorité des cyberattaques récentes, ce ne sont pas les technologies qui cèdent, mais les comportements humains. Dans cette tribune, Sébastien Weber, VP Sales Europe du Sud chez Mimecast, alerte sur l’ampleur de l’ingénierie sociale et plaide pour une montée en maturité des organisations sur la gestion du risque humain, devenue un enjeu central de cybersécurité.
Décembre 2025. Le ministère de l’Intérieur français subit une cyberattaque massive : les données sensibles de ses agents fuitent. Quelques jours plus tard, La Poste paralysée par deux attaques DDoS en pleine période de fêtes. Le ministère des Sports : 3,5 millions de foyers compromis. Free Mobile en octobre : 19 millions de clients exposés. Vous connaissez ce scénario. Il se répète année après année. Et la réponse est toujours la même : ce ne sont pas les technologies qui ont failli. Ce sont les humains.
Le maillon humain : cible privilégiée
L’ingénierie sociale, c’est manipuler les comportements pour contourner les défenses techniques les plus avancées. En 2025, elle représente 60% des cyberattaques en France. Pas parce que les pare-feu échouent, mais parce qu’un simple clic humain suffit à tout déverrouiller.
Prenons le ministère de l’Intérieur en décembre. Pas d’exploit technique sophistiqué. Juste un agent incité à cliquer sur un lien ou envoyer un document. Une action banale qui a exposé des données vitales pour la nation.
Même schéma chez France Travail. En juillet, 340 000 demandeurs d’emploi compromis via l’application Kairos. En octobre-novembre, le groupe Stormous expose 31 000 comptes via des malwares installés sur ordinateurs personnels. Comment ? Des emails convaincants, des faux messages urgents. L’arme principale : la manipulation psychologique.
Les prestataires : la porte dérobée
Les cybercriminels ne frappent plus directement. Ils passent par vos partenaires.
Le ministère des Sports ? Attaqué via Pass’Sport, plateforme tierce de gestion de licences. 3,5 millions de foyers compromis sans toucher le système central. France Travail en juillet ? Via Kairos, partenaire externe. La Fédération Française de Football en novembre ? Via un prestataire vulnérable. Les Missions Locales en décembre ? Via le compte compromis d’un simple agent.
Le calcul est simple : pourquoi attaquer une forteresse quand la fenêtre du voisin reste ouverte ? L’ingénierie sociale exploite la confiance que vous accordez à vos partenaires.
Des données qui deviennent des armes
En 2025, le dark web ne vend plus seulement des cartes bancaires volées. Il vend des identités complètes : nom, adresse, numéro de compte, historique. Prêtes à l’emploi.
Mondial Relay le 27 décembre : ce ne sont pas que des adresses qui fuient. Ce sont des munitions pour des campagnes de phishing de Noël. Free et ses 19 millions d’IBAN en octobre : du carburant pour la fraude bancaire organisée. Ministère de l’Intérieur : des identités administratives monétisables à l’infini.
Chaque fuite alimente cette économie de la fraude. Et l’ingénierie sociale en est le moteur.
Pourquoi la technologie seule ne suffit pas
Les entreprises investissent des millions en pare-feu, antivirus, centres de supervision 24/7. C’est indispensable. Mais insuffisant. Une forteresse reste vulnérable si quelqu’un ouvre les portes de l’intérieur.
60% des attaques commencent par du phishing : un email qui ressemble à un vrai, un lien urgent, une fausse demande de vérification. Un employé saisit ses identifiants. Le pirate est dedans. De là : vol de données, malware, rançon.
Pire encore, l’ingénierie sociale exploite la confiance interne. Aux Missions Locales, un agent reçoit un message semblant venir de son manager : “Vérifie ce fichier urgent”. Il clique. 1,6 million de jeunes compromis.
Le coût réel des erreurs humaines
Ces attaques ne sont pas des pannes informatiques. Ce sont des crises business.
La Poste en décembre : 180 millions de colis non triés juste avant Noël. Petits commerçants ruinés, clients furieux, image de marque écornée. Tout parti d’une erreur humaine amplifiée par des attaquants coordonnés.
Trois ARS (Hauts-de-France, Normandie, Pays de la Loire) attaquées en septembre ? Ce ne sont pas que des données administratives. Ce sont des dossiers médicaux de millions de patients, pillés pour des fraudes identitaires qui dureront des années.
Gérer le risque humain, c’est possible
Si 60% des attaques exploitent l’humain, la cybersécurité doit commencer par vos collaborateurs.
Le Human Risk Management (ou gestion du risque humain), c’est :
- Des formations réelles avec simulations de phishing où on apprend de ses erreurs
- Gouvernance des accès : plus jamais un agent avec accès à 1,6 million de dossiers
- Supervision stricte des prestataires : leur sécurité doit égaler la vôtre
- Culture sans punition : analyser les erreurs pour corriger le système, pas blâmer l’individu
Le test de vérité
Demandez à votre responsable sécurité : “Si un email semble venir du PDG avec une urgence, quel pourcentage de vos collaborateurs feraient la bonne chose ?”
En dessous de 95% ? Vous avez un problème. Et 99% des entreprises françaises sont dans ce cas.
L’ingénierie sociale n’est pas une menace parmi d’autres. C’est le vecteur dominant. Elle marche car elle exploite la confiance, l’urgence, la routine. La bonne nouvelle ? C’est le domaine où l’impact est le plus rapide. Une équipe formée, des accès contrôlés, des prestataires supervisés, une culture de vigilance : cela se déploie en mois. Et ça change tout.
La vraie question n’est plus « Serons-nous attaqués ? » mais « Quand l’attaque arrivera, saurons-nous la stopper au premier clic ? »
