Résumé exécutif
Les chiffres du premier trimestre 2026 imposent un constat sans appel : la France est entrée dans une phase d'industrialisation de la menace cyber. Selon les données compilées par RM3A et reprises par i-lead Consulting, 54 000 incidents ont été signalés entre janvier et mars 2026, soit 37 % de plus qu'au T1 2025. Le coût annuel de la cybercriminalité en France atteint 118 milliards d'euros en 2024, un chiffre multiplié par 23 depuis 2016. Les attaques ne visent plus seulement les grandes entreprises : 320 collectivités françaises ont subi des incidents significatifs, et les failles de type IDOR (Insecure Direct Object Reference) ont permis des brèches massives dans les infrastructures de l'État (ANTS, ÉduConnect).
À cette crise nationale s'ajoute une offensive mondiale sur la supply chain logicielle. Début juin 2026, la campagne Megalodon a démontré la capacité d'un acteur à compromettre 5 500 dépôts GitHub en quelques heures via de faux workflows GitHub Actions, volant identifiants, secrets CI et jetons d'accès. La plateforme de PhaaS Kali365, ciblée par une alerte du FBI, industrialise le contournement de l'authentification multifacteur Microsoft 365. Ces deux tendances convergent vers un même risque : la compromission des mécanismes de confiance (OAuth, CI/CD, messagerie) qui constituent l'infrastructure implicite de l'économie numérique.
Les faits
- 54 000 incidents au T1 2026 : hausse de 37 % par rapport au T1 2025. 5 629 violations de données notifiées à la CNIL en 2024, soit environ 15 par jour. Coût annuel estimé de la cybercriminalité : 118 milliards d'euros (i-lead Consulting, mise à jour avril 2026).
- ANTS/France Titres : 11,7 millions de comptes. Intrusion détectée le 15 avril 2026, annoncée le 20 avril. Faille IDOR exploitée. Données exposées : nom, prénom, date de naissance, adresse, e-mail, téléphone. Le hacker « breach3d » revendique 18 à 19 millions d'enregistrements (Cybernity).
- Cegedim Santé : 15 millions de patients. Incident détecté fin 2025 sur le logiciel MLM (3 800 médecins), révélé le 26 février 2026. 164 000 données sensibles (pathologies, addictions, violences). Cegedim déjà sanctionné de 800 000 € en 2024 (i-lead Consulting).
- FICOBA/DGFiP : 1,2 million de comptes bancaires. Usurpation d'identifiants d'un fonctionnaire entre le 28 janvier et le 13 février 2026. RIB/IBAN, identité, adresse consultés. Risque principal : prélèvements SEPA frauduleux (i-lead Consulting).
- ÉduConnect : 3,5 millions d'élèves mineurs. Faille IDOR exposant les données d'élèves. 7,2 millions de bulletins scolaires volés. Le même mécanisme que la brèche ANTS (i-lead Consulting).
- Campagne Megalodon : 5 500 dépôts GitHub infectés. En six heures, la campagne a injecté des workflows GitHub Actions malveillants volant identifiants, secrets CI, clés et jetons. CrowdStrike, Google et Shadowserver ont démantelé l'infrastructure (DCOD, 2 juin 2026).
- Kali365 : le FBI alerte sur le contournement du MFA Microsoft 365. Plateforme de PhaaS exploitant l'authentification OAuth par code de périphérique pour voler des jetons de session et contourner l'authentification double (DCOD).
- WhatsApp zero-click sur iPhone. Attaque sans interaction exploitant iOS 16 et WhatsApp. Exfiltration du matériel cryptographique de session, puis envoi de demandes de virement depuis les conversations récentes (DCOD).
- 19,6 milliards de fichiers accessibles sans authentification. Rapport recensant 535 000 compartiments cloud mal configurés, dont 685 000 fichiers de secrets et près d'un million de dumps de bases de données (DCOD, 4 juin 2026).
- ShinyHunters : Carnival (6 M), Charter (5 M), ADT (10 M). Le groupe d'extorsion continue d'industrialiser ses opérations, ciblant des secteurs à faible maturité cyber (DCOD).
Analyse stratégique
1. L'État français, nouvelle cible prioritaire des attaquants
La séquence ANTS, ÉduConnect, FICOBA et Compas documente une vulnérabilité systémique des infrastructures numériques de l'État français. Le mécanisme commun à ces brèches (faille IDOR) est une vulnérabilité de conception, pas une sophistication de l'attaque. Il révèle que les audits de sécurité des applications publiques n'ont pas suivi la courbe de menace. Le plan d'action annoncé par le Premier ministre Sébastien Lecornu le 30 avril 2026 — création d'une autorité numérique de l'État, affectation des amendes CNIL à un fonds de modernisation, exercices d'auto-attaque assistés par IA — est une réponse tardive mais structurellement pertinente. Son exécution déterminera si 2026 reste l'année du point bas ou devient le début d'une remontée.
2. La supply chain logicielle, nouveau théâtre d'opérations à l'échelle industrielle
Megalodon n'est pas un incident isolé : il s'inscrit dans une tendance lourde de compromission des chaînes d'approvisionnement logicielles. 5 500 dépôts infectés en six heures, via de faux workflows GitHub Actions, c'est une capacité opérationnelle qui suppose une infrastructure automatisée et une connaissance fine des mécanismes CI/CD. La campagne visait spécifiquement les secrets et jetons d'intégration continue, c'est-à-dire les clés qui donnent accès aux environnements de production. Pour les entreprises, le message est clair : la surface d'attaque ne se limite plus au périmètre IT interne, elle s'étend à l'ensemble de la chaîne d'outils de développement. L'opération conjointe CrowdStrike-Google-Shadowserver pour neutraliser Glassworm montre que la réponse commence à s'organiser, mais elle reste réactive.
3. Kali365 et l'effondrement du MFA comme bouclier suffisant
L'authentification multifacteur a longtemps été présentée comme la solution miracle contre le vol d'identifiants. Kali365 démontre le contraire en exploitant le flux OAuth par code de périphérique : l'attaquant n'a pas besoin de casser le MFA, il le contourne en volant le jeton de session post-authentification. Cette technique, désormais disponible en PhaaS (Phishing-as-a-Service), abaisse la barrière à l'entrée pour des acteurs sans compétences techniques avancées. Pour les RSSI, cela signifie que le MFA seul n'est plus une protection suffisante : la détection comportementale des sessions et la rotation fréquente des jetons deviennent des impératifs.
4. La donnée de santé comme actif stratégique des cybercriminels
La brèche Cegedim Santé (15 millions de patients, 164 000 données sensibles) illustre une évolution inquiétante : les données de santé ne sont plus seulement une cible opportuniste, elles deviennent un actif stratégique pour l'extorsion. Une pathologie, une addiction ou un antécédent de violence conjugale ont une valeur de chantage sans commune mesure avec un numéro de carte bancaire. La récidive de Cegedim (déjà sanctionné de 800 000 € en 2024) soulève la question de l'efficacité des sanctions financières comme mécanisme de dissuasion pour les éditeurs de logiciels métier à fort volume de données sensibles.
5. L'IA comme multiplicateur de force dans les deux camps
Les incidents de la semaine du 2 juin 2026 montrent une adoption croissante de l'IA par les attaquants : le groupe GREYVIBE (russophone) utilise l'IA dans ses campagnes contre l'Ukraine, et Google a dû stopper un zero-day développé avec l'assistance de l'IA. Dans le même temps, le plan français de cybersécurité prévoit le recours à l'IA pour détecter les vulnérabilités. Cette symétrisation de l'IA offensive et défensive crée une course aux armements où la vitesse d'adoption devient plus déterminante que la sophistication intrinsèque des outils. Le déséquilibre actuel favorise l'attaquant, qui innove plus vite et sans contrainte réglementaire.
Impact business et sectoriel
Entreprises françaises. Les cinq brèches majeures du T1 2026 (ANTS, Cegedim, ÉduConnect, FICOBA, Free) concernent des données personnelles de masse. Pour toute entreprise traitant des données de citoyens français, le risque réglementaire augmente mécaniquement : la CNIL a montré avec la sanction Free (42 millions d'euros) qu'elle est prête à frapper fort. Au-delà des amendes, la contamination des données personnelles via des brèches publiques facilite les attaques de spear-phishing ciblées contre les employés.
Éditeurs et SaaS. Megalodon a démontré que les pipelines CI/CD sont une cible de choix. Les éditeurs de logiciels, les plateformes SaaS et toute entreprise maintenant des dépôts GitHub publics doivent revoir leur politique de secrets management : rotation systématique, secrets scanning, limitations de périmètre. La compromission d'un seul secret CI peut donner accès à l'ensemble de l'infrastructure de production.
Secteur public. Le plan Lecornu est un signal positif, mais son exécution prendra du temps. À court terme, les collectivités et les agences publiques restent exposées à des failles de type IDOR et à des attaques par rançongiciel. Le précédent Cegedim montre que les partenaires privés de l'État (éditeurs de logiciels métier) constituent un maillon faible qui expose indirectement les données des citoyens.
Investisseurs cyber. Les chiffres du T1 2026 valident la thèse d'investissement dans la cybersécurité. La croissance de 37 % des incidents, la multiplication des vecteurs d'attaque (supply chain, PhaaS, zero-click mobile) et l'adoption de l'IA par les attaquants créent un marché structurellement porteur pour les solutions de détection comportementale, de gestion des secrets et de sécurité de la supply chain logicielle. Les startups positionnées sur ces segments (Chainguard, Apiiro, Cycode) devraient voir leurs valorisations soutenues.
Ce qu'il faut retenir
Le premier trimestre 2026 ne sera probablement pas une anomalie, mais le nouveau plancher de la menace cyber en France. L'industrialisation des attaques — via des plateformes de PhaaS comme Kali365, des campagnes automatisées de supply chain comme Megalodon, et des groupes d'extorsion comme ShinyHunters — réduit le temps entre la découverte d'une vulnérabilité et son exploitation à grande échelle. Les failles IDOR qui ont permis les brèches ANTS et ÉduConnect ne sont pas sophistiquées : elles sont le symptôme d'un sous-investissement chronique dans la sécurité des applications publiques.
La réponse ne peut plus être uniquement défensive. La rotation systématique des secrets, la segmentation des environnements CI/CD, la détection comportementale des sessions et le déploiement de l'IA pour la chasse aux vulnérabilités sont désormais des prérequis, pas des options. Le plan Lecornu va dans la bonne direction, mais il faudra au moins 18 à 24 mois pour en mesurer les effets. D'ici là, les entreprises et les administrations françaises resteront dans une position de rattrapage structurel.
Enfin, l'affaire Cegedim est un avertissement pour l'ensemble des éditeurs de logiciels métier : une sanction de 800 000 euros en 2024 n'a pas empêché une brèche massive en 2025-2026. Si le régulateur veut être crédible, il devra calibrer ses sanctions pour qu'elles représentent une fraction significative du chiffre d'affaires, pas un coût d'exploitation. La cybersécurité n'est pas une dépense que l'on peut provisionner : c'est un investissement que l'on doit démontrer. Le T1 2026 en apporte la preuve par l'absurde.
