DATE : Mars 2026
CATÉGORIE : France / ANSSI
Les ransomwares en France : bilan 2024–2025 selon l'ANSSI
Introduction
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie chaque année son Panorama de la cybermenace. Les éditions 2024 et 2025 dressent un tableau inquiétant mais nuancé, dans lequel les PME, les hôpitaux et les collectivités territoriales apparaissent comme les cibles les plus vulnérables.
Les chiffres clés de l'ANSSI
En 2025, l'ANSSI a traité 3 586 événements de sécurité, soit une baisse de 18 % par rapport à 2024. Cette diminution s'explique principalement par l'effet des Jeux Olympiques de Paris 2024. En données corrigées, le niveau reste stable : 1 366 incidents confirmés en 2025, contre 1 361 en 2024.
En matière de rançongiciels, 128 compromissions ont été recensées en 2025, contre 141 en 2024 — un léger recul. Mais ce recul s'accompagne d'une forte hausse des exfiltrations de données sans chiffrement, passées de 130 à 196 incidents. Les attaquants ne disparaissent pas ; ils changent de méthode.
Qui sont les victimes en France ?
Selon le Panorama 2025, les PME, TPE et ETI constituent 48 % des victimes de rançongiciels. Les collectivités territoriales représentent 11 % des victimes, les établissements de santé 8 % (en hausse), et les établissements d'enseignement supérieur 6 %. Quatre secteurs concentrent 76 % des incidents confirmés : l'éducation et la recherche (34 %), les ministères et collectivités (24 %), la santé (10 %) et les télécommunications (9 %).
Les hôpitaux français en première ligne
En novembre 2024, l'ANSSI publiait un rapport sectoriel révélant que 30 établissements de santé avaient été victimes de rançongiciels entre 2022 et 2023. La liste des incidents documentés illustre cette tendance : hôpital Simone-Veil de Cannes frappé en avril 2024 par LockBit avec publication de 61 gigaoctets de données, centre hospitalier d'Armentières en février 2024, hôpital de la Haute-Comté à Pontarlier en octobre 2025 avec retour aux procédures papier, logiciel médical Weda paralysé en novembre 2025 affectant 23 000 professionnels de santé.
La réponse nationale : le programme CaRE
Face à cette menace, le ministère de la Santé a lancé en décembre 2023 le programme CaRE (Cyber Accélération et Résilience des Établissements de santé). Les premiers résultats sont encourageants : entre août 2024 et janvier 2025, la part des établissements présentant des vulnérabilités critiques a diminué de 35 points. Ces progrès confirment qu'un accompagnement structuré peut rapidement améliorer le niveau de protection. La Cour des comptes (rapport de janvier 2025) note cependant que 40 % des hôpitaux français ne disposaient pas encore d'un responsable cybersécurité dédié en 2023.
L'effacement des frontières entre cybercrime et espionnage étatique
L'ANSSI 2025 introduit un élément nouveau : le brouillard technologique et organisationnel. Des groupes historiquement associés à l'espionnage étatique, notamment liés à la Chine et à la Corée du Nord, ont été observés en 2025 en train de déployer des ransomwares à des fins financières. Qilin représente 21 % des souches identifiées en France, suivi d'Akira (9 %) et LockBit 3.0 (5 %).
Mon analyse
Le cas français illustre le paradoxe de la menace ransomware : malgré des ressources officielles importantes, les structures les plus vulnérables : hôpitaux sous-financés, collectivités aux budgets IT limités, PME sans compétences internes restent des cibles de choix. La protection ne peut pas reposer uniquement sur la réponse : elle doit être intégrée dès la conception des systèmes et des applications.
Sources
ANSSI — Panorama de la cybermenace 2025 (mars 2026), cert.ssi.gouv.fr
ANSSI — Secteur de la santé, état de la menace informatique (novembre 2024)
Agence du Numérique en Santé — Programme CaRE, bilan 2024–2025
Jedha — Liste des cyberattaques en France 2024–2026
Cour des Comptes — Rapport sur la cybersécurité des hôpitaux, janvier 2025