Cybersécurité en Europe : l'administration publique reste la cible n°1 des cyberattaques en 2025
Le secteur public européen subit une pression sans précédent. Le rapport ENISA Threat Landscape 2025, publié le 1er octobre, analyse près de 4 875 incidents survenus entre juillet 2024 et juin 2025. L'administration publique concentre 38,2% des attaques — un chiffre cinq fois supérieur au secteur des transports. Entre hacktivistes pro-russes, ransomwares Akira et SafePay, et phishing boosté à l'IA, l'Europe fait face à un paysage de menaces en mutation permanente.
Le rapport ENISA 2025 en bref
L'Agence de l'Union européenne pour la cybersécurité (ENISA) publie chaque année son rapport sur le paysage des menaces. L'édition 2025, rendue publique le 1er octobre, confirme une tendance observée depuis plusieurs années : l'administration publique demeure le secteur le plus ciblé par les cyberattaques en Europe.
Entre juillet 2024 et juin 2025, l'ENISA a analysé près de 4 875 incidents. Le rapport met en lumière l'évolution des techniques employées, la persistance des ransomwares et l'utilisation croissante de l'intelligence artificielle par les cybercriminels — y compris les acteurs étatiques.
Les secteurs ciblés en Europe
Avec 38,2% des attaques, l'administration publique arrive très largement en tête des secteurs ciblés. Ce pourcentage la place plus de cinq fois devant le secteur des transports (7,5%) qui occupe la deuxième place. Les services numériques (2,2%) et le secteur financier complètent le podium des cibles privilégiées.
🎯 Classement des secteurs ciblés
1. Administration publique — 38,2%
Ministères, collectivités territoriales, services publics. 94,8% des attaques sont des DDoS.
2. Transports — 7,5%
Aérien (58,4%), logistique (20,8%), maritime. Incidents liés aux accords Ukraine.
3. Services numériques — 2,2%
Points d'entrée stratégiques pour des attaques en chaîne exploitant les dépendances.
4. Secteur financier
Banques, assurances. Intrusions sophistiquées ciblant les données sensibles.
Le rapport souligne que 53,7% des incidents concernent des « entités essentielles » au sens de la directive NIS2, dont les grandes collectivités font partie intégrante. Les municipalités se révèlent particulièrement vulnérables aux ransomwares, causant des perturbations significatives dans la gestion des services locaux.
France en première ligne : Avec 27% des incidents DDoS visant l'administration publique, la France est le premier pays ciblé en Europe. Cette position renforce l'urgence d'une transposition rapide de la directive NIS2.
Vecteurs d'intrusion : le phishing domine
Le phishing reste le premier vecteur d'intrusion avec 60% des cas observés. Cette technique évolue vers des modèles industrialisés de type Phishing-as-a-Service (PhaaS), permettant même aux attaquants novices de mener des campagnes sophistiquées.
Phishing
Exploitation vulnérabilités
Botnets & Apps malveillantes
Dans deux tiers des cas, les intrusions débouchent sur le déploiement de malwares. L'ENISA souligne l'urgence d'une hygiène cyber rigoureuse : mise à jour rapide des systèmes, formation des collaborateurs et surveillance comportementale des réseaux.
Ransomwares : les groupes les plus actifs en 2025
Bien que les attaques DDoS dominent en volume, le ransomware reste la menace la plus déstabilisatrice économiquement. Malgré une baisse de 11% des cas par rapport à l'année précédente, les opérations se sont décentralisées suite aux actions des forces de l'ordre contre LockBit et ALPHV en 2024.
Qilin
Akira
SafePay : l'ascension fulgurante
Apparu en septembre 2024, SafePay a rapidement grimpé au sommet des classements avec 198 victimes revendiquées en quelques mois. En mai 2025, il devient leader mensuel avec 58 victimes. Contrairement aux groupes traditionnels, SafePay ne fonctionne pas en mode Ransomware-as-a-Service (RaaS) mais opère en équipe resserrée. Sa capacité : plus de 10 attaques par jour, avec un record de 29 victimes le 30 mars 2025.
Tendance 2025 : Seulement 25% des victimes acceptent de payer — le taux le plus bas depuis trois ans. Pour contrer cette résistance, les groupes misent sur le vol de données comme levier d'extorsion, menaçant de publier les informations sur leurs sites de fuite Tor.
Hacktivisme : NoName057(16) en première ligne
L'activité des hacktivistes a considérablement augmenté, représentant 79% des acteurs malveillants identifiés dans le rapport ENISA. Ces groupes, motivés par des causes politiques liées au soutien à l'Ukraine, ciblent systématiquement les pays membres de l'OTAN et de l'Union européenne.
⚔️ NoName057(16) — Le collectif pro-russe dominant
3 700+ sites ciblés
Entre juillet 2024 et juillet 2025, avec une moyenne de 50 cibles par jour
4 000 sympathisants
Recrutés via Telegram, forums de jeux et plateformes pro-russes
Paiements crypto
Récompenses en TON via CryptoBot, gamification des attaques
Plateforme DDoSia
Outil simplifiant les attaques DDoS, accessible aux néophytes
La France particulièrement visée
En mars 2025, suite à l'annonce d'un financement de 195 millions d'euros en soutien à l'Ukraine, NoName057(16) a paralysé les sites de plusieurs collectivités françaises, du ministère des Armées et de l'ANSSI. Les attaques ont visé Orange, le ministère de la Santé et de nombreuses préfectures.
📅 Chronologie des attaques NoName057(16) en France
Attaque Nouvel An
23 sites de collectivités françaises ciblés, dont la préfecture de police de Paris et la ville de Nice
Vague massive
Attaques suite à l'annonce de 195 M€ pour l'Ukraine. Orange, ministère Santé, ANSSI ciblés
Opération Eastwood
Europol démantèle l'infrastructure : 100+ serveurs saisis, 2 arrestations (France, Espagne)
Malgré l'opération Eastwood coordonnée par Europol en juillet 2025 (100+ serveurs saisis, 2 arrestations), le groupe a rapidement repris ses activités. Sa communication offensive — « Vous avez juste pu nous toucher la joue » — illustre une résilience préoccupante.
L'intelligence artificielle au service des attaquants
L'un des signaux les plus préoccupants du rapport concerne l'utilisation croissante de l'intelligence artificielle par les cybercriminels. L'IA permet d'automatiser les intrusions, d'optimiser les campagnes d'attaques et de générer des contenus frauduleux de plus en plus convaincants.
Usages par les attaquants
Conséquences
Les attaquants exploitent des modèles de langage « jailbreakés », du contenu synthétique (voix, vidéo) et l'empoisonnement de modèles pour automatiser la reconnaissance et l'usurpation d'identité. Début 2025, le phishing assisté par IA représente plus de 80% des attaques d'ingénierie sociale à l'échelle mondiale.
Recommandations de l'ENISA
Face à ce paysage de menaces en constante évolution, l'ENISA formule plusieurs recommandations pour les organisations européennes. La directive NIS2, en cours de transposition, impose de nouvelles obligations aux entités essentielles et importantes.
✅ Actions prioritaires pour les organisations
Threat hunting proactif
Intégrer la chasse aux menaces et la détection comportementale dans les opérations
Patching automatisé
Découverte exhaustive des actifs et patching rapide des vulnérabilités
Cartographier la supply chain
Évaluer la sécurité des fournisseurs et dépendances tierces (conformité NIS2)
Former les équipes
Simulations de phishing régulières et exercices de réponse aux incidents
Directive NIS2 : Elle impose un signalement des incidents sous 24 heures, l'évaluation de la sécurité des fournisseurs et une coopération renforcée entre États membres. La France accuse un retard : le 7 mai 2025, la Commission européenne a adressé un avis motivé au gouvernement français pour défaut de notification.
❓ Questions fréquentes
Quel est le secteur le plus ciblé par les cyberattaques en Europe en 2025 ?
L'administration publique est le secteur le plus ciblé avec 38,2% des incidents recensés par l'ENISA entre juillet 2024 et juin 2025, loin devant les transports (7,5%) et les services numériques (2,2%). Les attaques DDoS représentent 94,8% des offensives contre ce secteur.
Quel est le principal vecteur d'intrusion utilisé par les cybercriminels ?
Le phishing reste le vecteur d'intrusion dominant avec 60% des cas observés. L'exploitation de vulnérabilités arrive en seconde position (21,3%), suivie par les botnets (9,9%). Début 2025, le phishing assisté par IA représente plus de 80% des attaques d'ingénierie sociale.
Qui est le groupe hacktiviste le plus actif en Europe ?
NoName057(16), un collectif pro-russe apparu en 2022, est responsable de plus de 60% des attaques DDoS revendiquées en Europe. Il a ciblé plus de 3 700 sites entre juillet 2024 et juillet 2025 grâce à ses 4 000 sympathisants utilisant la plateforme DDoSia.
Quels sont les ransomwares les plus actifs en 2025 ?
Les ransomwares les plus actifs sont Qilin (65 victimes en Europe au T3 2025), Akira (244 millions $ extorqués depuis 2023), SafePay (198 victimes en quelques mois, 10+ attaques par jour), et DragonForce (20% des victimes en Allemagne).
Qu'est-ce que la directive NIS2 ?
La directive NIS2 est un cadre réglementaire européen renforçant les obligations de cybersécurité pour les entités essentielles et importantes. Elle impose un signalement des incidents sous 24 heures, l'évaluation de la sécurité des fournisseurs et une coopération renforcée entre États membres.
Conclusion : une menace en mutation permanente
Le rapport ENISA 2025 dresse un constat sans appel : le paysage des cybermenaces en Europe est plus complexe et plus dangereux que jamais. L'administration publique, pivot des services aux citoyens, reste la cible privilégiée d'acteurs aux motivations variées — hacktivistes pro-russes, groupes criminels et acteurs étatiques.
Face à cette pression constante, la directive NIS2 apparaît comme une réponse nécessaire mais insuffisante si elle n'est pas rapidement transposée et appliquée. La France, premier pays ciblé par les attaques DDoS en Europe, a tout intérêt à accélérer sa mise en conformité pour renforcer la résilience de ses infrastructures critiques.
Une chose est certaine : dans cette guerre asymétrique où les attaquants innovent en permanence, seule une approche proactive, collaborative et guidée par le renseignement permettra aux organisations européennes de maintenir leur niveau de sécurité face aux menaces de demain.