21 milliards de dollars : le FBI alerte sur le coût record de la cybercriminalité aux États-Unis
20,9 milliards de dollars. +26 % en un an. Le rapport annuel du FBI sur la cybercriminalité publié via son Internet Crime Complaint Center (IC3) dresse un tableau sans appel : chaque année brise le record précédent. Et ces chiffres ne représentent que les incidents signalés. La réalité économique est bien plus lourde.
Dans cet article
Le rapport IC3 du FBI : comment il fonctionne
Chaque année, le FBI compile les plaintes reçues via son Internet Crime Complaint Center (IC3) — une plateforme en ligne permettant aux victimes de cybercriminalité de signaler les incidents. Le rapport annuel agrège ces données pour dresser un état des lieux de la menace aux États-Unis.
La méthodologie a une limite importante : le rapport ne recense que les incidents signalés. Or, de nombreuses victimes — particuliers embarrassés par leur imprudence, entreprises craignant pour leur réputation, organisations préférant gérer en interne — ne déposent jamais plainte. Les experts en cybersécurité estiment généralement que les pertes réelles sont plusieurs fois supérieures aux chiffres publiés.
Les 20,9 milliards de dollars sont donc un plancher, pas un plafond. Ce chiffre représente uniquement les pertes déclarées volontairement. La réalité économique de la cybercriminalité aux États-Unis est considérablement plus élevée.
| Élément | Détail |
|---|---|
| Source | Internet Crime Complaint Center (IC3) du FBI |
| Période couverte | 2025 |
| Montant total des pertes | 20,9 milliards de dollars |
| Évolution | +26 % par rapport à l'année précédente |
| Méthode | Compilation des plaintes déposées volontairement sur IC3 |
| Limite | Ne recense que les incidents signalés — sous-estimation structurelle |
Décryptage des 20,9 milliards : ce que représente ce chiffre
20,9 milliards de dollars en une année, c'est une somme difficile à appréhender concrètement. Pour donner une perspective : c'est approximativement le PIB annuel d'un petit pays européen, concentré sur les seules pertes cybercriminelles déclarées sur le territoire américain en douze mois.
La hausse de 26 % par rapport à l'année précédente confirme une tendance continue. Ce n'est pas un accident statistique : la cybercriminalité croît plus vite que la majorité des autres formes de criminalité économique. Elle bénéficie de l'automatisation, de l'échelle mondiale, d'une faible probabilité d'arrestation et d'un retour sur investissement élevé pour les attaquants.
Barracuda Networks confirme qu'un email sur quatre est malveillant — le phishing reste le vecteur d'entrée le plus universel et le moins coûteux à déployer pour les cybercriminels.
Les vecteurs d'attaque qui pèsent le plus lourd
Phishing et ingénierie sociale
Vecteur n°1 en volume. Le phishing — email frauduleux imitant une organisation légitime — reste le point d'entrée le plus fréquent. L'IA générative permet désormais de produire des messages de phishing sans fautes de grammaire, personnalisés et convaincants à grande échelle.
Ransomwares
Les logiciels de rançon chiffrent les données d'une organisation et exigent un paiement pour les restaurer. Les secteurs les plus touchés : santé, administrations, infrastructure critique. 80 % des lycées des Hauts-de-France ont été paralysés par le ransomware Qilin.
Attaques supply chain
Compromettre une bibliothèque tierce pour atteindre des milliers de cibles en un seul coup. L'incident Axios de mars 2026 en est l'illustration récente. La chaîne d'approvisionnement IA est elle-même devenue une cible.
Vol de cookies et session hijacking
Les infostealers comme Lumma aspirent les cookies de session pour accéder aux comptes sans mot de passe. Une technique bon marché, à fort rendement, massivement automatisée.
Fraude au virement et BEC
Business Email Compromise : usurpation d'identité d'un dirigeant ou d'un partenaire pour déclencher un virement frauduleux. Parmi les attaques les plus coûteuses par incident.
Données médicales et personnelles
Les données de santé valent jusqu'à 10× plus que les données bancaires sur le dark web. La fuite de 403 millions de comptes en France illustre l'ampleur de l'exposition.
L'IA : un double rôle qui redéfinit la menace
🛡️ IA côté défense
Détection et réponse automatisées
- ✓ Détection d'anomalies comportementales en temps réel
- ✓ Analyse automatique des millions d'emails entrants
- ✓ Réponse aux incidents plus rapide que les équipes humaines
- ✓ Corrélation d'indicateurs de compromission à grande échelle
⚠️ IA côté attaque
Automatisation et personnalisation des menaces
- — Phishing sans fautes, personnalisé à l'échelle industrielle
- — Deepfakes audio pour usurper la voix d'un dirigeant (fraude BEC)
- — Malwares polymorphes qui se réécrivent pour éviter la détection
- — Automatisation des attaques par credential stuffing
L'administration publique reste la cible n°1 des cyberattaques en Europe — et c'est précisément là que l'asymétrie est la plus forte : les attaquants adoptent l'IA rapidement, les administrations publiques beaucoup plus lentement.
Ce que les chiffres américains révèlent pour la France
Le rapport du FBI couvre les États-Unis. Mais les tendances sont mondiales : les cybercriminels ne s'arrêtent pas aux frontières. La CNIL a publié un rapport alarmant sur les cyberattaques et prépare de nouvelles règles — en Europe, la trajectoire est la même, même si les mécanismes de signalement différent.
Les techniques d'ingénierie sociale comme le faux écran bleu sont aussi actives en France qu'aux États-Unis. La leçon de cybersécurité des lunettes de Macron rappelle que la menace peut venir des angles les plus inattendus.
Pour les TPE/PME françaises : contrairement à une idée reçue, les petites structures sont particulièrement ciblées. Leurs défenses sont moins robustes, leur temps de réaction plus lent, et elles sont souvent le maillon faible d'une chaîne qui intéresse les attaquants à travers elles. Le rapport FBI montre que le coût moyen par incident continue d'augmenter — même pour les petites cibles.
Se protéger : les mesures prioritaires en 2026
Double authentification partout
La 2FA neutralise la majorité des attaques par credential stuffing et phishing. Activez-la sur tous les comptes professionnels et personnels importants.
Priorité absolueMises à jour systématiques
La plupart des exploits visent des failles connues avec des correctifs disponibles. Une politique de mises à jour automatiques élimine une fraction importante de la surface d'attaque.
Priorité absolueFormation anti-phishing régulière
Le phishing est humain autant que technique. Des simulations régulières d'attaques de phishing en interne réduisent significativement le taux de clics frauduleux.
FormationSauvegardes isolées et testées
Face aux ransomwares, une sauvegarde récente et non connectée au réseau principal reste la meilleure assurance. Testez régulièrement la restauration — une sauvegarde non testée n'est pas une sauvegarde.
RésilienceSurveillance des bibliothèques tierces
L'incident Axios rappelle que vos dépendances logicielles sont une surface d'attaque. Surveillez les alertes de sécurité npm, PyPI et autres registres que vous utilisez.
DéveloppeursPlan de réponse aux incidents
Définissez à l'avance qui fait quoi en cas d'incident. Les premières heures après une attaque sont critiques — avoir un plan écrit réduit la panique et accélère la réponse.
OrganisationLe rapport FBI dans le contexte cybersécurité 2026
Ce rapport ne sort pas dans le vide. En 2025-2026, plusieurs tendances convergent pour aggraver l'exposition des organisations et des particuliers : l'explosion de l'IA générative qui améliore la qualité des attaques de social engineering, la multiplication des appareils connectés, l'adoption massive du télétravail qui a élargi les périmètres de sécurité, et la professionnalisation croissante des groupes cybercriminels.
La hausse de 26 % enregistrée par le FBI n'est pas une anomalie — c'est la poursuite d'une tendance à la hausse constante depuis plusieurs années. Chaque rapport annuel bat le précédent. Sans changement structurel dans la façon dont les organisations et les individus abordent la cybersécurité, la prochaine édition du rapport IC3 dépassera les 26 milliards.
Votre site mérite une sécurité à la hauteur de la menace
WY-Créations® développe des sites avec HTTPS, mises à jour régulières et bonnes pratiques de sécurité — depuis 2018.
Demander un devis gratuitQuestions fréquentes
Quel est le montant des pertes liées à la cybercriminalité aux États-Unis en 2025 ?
20,9 milliards de dollars selon le rapport annuel IC3 du FBI. Ce chiffre représente une hausse de 26 % par rapport à 2024. Il ne comptabilise que les incidents signalés voluntairement — les pertes réelles sont estimées nettement supérieures.
Qu'est-ce que le Internet Crime Complaint Center (IC3) ?
L'IC3 est une plateforme en ligne du FBI permettant aux victimes de cybercriminalité aux États-Unis de signaler les incidents. Le FBI compile ces données chaque année pour publier un rapport sur l'état de la menace et les pertes économiques associées.
Pourquoi les chiffres du FBI sont-ils sous-estimés ?
Parce que le rapport ne recense que les incidents signalés. De nombreuses victimes ne déposent jamais plainte : entreprises craignant pour leur réputation, particuliers embarrassés, organisations préférant gérer en interne. Les experts estiment que les pertes réelles sont plusieurs fois supérieures aux 20,9 milliards déclarés.
La cybercriminalité touche-t-elle uniquement les États-Unis ?
Non. Les tendances américaines reflètent un phénomène mondial. En Europe, la CNIL et d'autres régulateurs documentent des hausses similaires. Les cybercriminels opèrent sans frontières et les vecteurs d'attaque (phishing, ransomware, supply chain) sont les mêmes partout.
L'IA aggrave-t-elle la situation ?
L'IA joue un rôle double. Du côté des attaquants, elle permet de générer des phishings convaincants sans fautes, de créer des deepfakes pour la fraude BEC, et d'automatiser les attaques à grande échelle. Du côté des défenseurs, elle améliore la détection d'anomalies et la réponse aux incidents. La course est engagée — et les attaquants adoptent l'IA plus vite que beaucoup d'organisations défensives.
Quelle est la première mesure de protection à mettre en place ?
L'activation de la double authentification (2FA) sur tous les comptes importants est la mesure avec le meilleur rapport effort/protection. Elle neutralise la grande majorité des attaques par credential stuffing et rend le phishing beaucoup moins efficace même si l'identifiant et le mot de passe sont compromis.
Les TPE et PME sont-elles concernées ?
Oui, davantage qu'on ne le pense. Les petites structures sont souvent ciblées précisément parce que leurs défenses sont moins robustes. Elles constituent aussi le maillon faible permettant d'atteindre de plus grandes organisations via la chaîne d'approvisionnement. Le coût moyen d'un incident continue d'augmenter même pour les petites cibles.
Comment signaler un incident de cybercriminalité ?
Aux États-Unis, via ic3.gov (FBI). En France, via le portail cybermalveillance.gouv.fr qui centralise les signalements et oriente les victimes vers les bonnes ressources selon leur profil (particulier, entreprise, collectivité). Pour les incidents graves (ransomware, violation de données), déposez également une plainte auprès du parquet compétent.
📚 Sources et articles associés