Vous avez l’impression que les cyberattaques en France se multiplient ? Vous avez raison. L’année 2026 est en passe de devenir la pire jamais enregistrée dans l’Hexagone, avec plus de 54 000 incidents de sécurité recensés au premier trimestre selon l’ANSSI, soit une hausse de 37 % par rapport à l’année précédente. Administrations centrales, hôpitaux, opérateurs bancaires, plateformes éducatives, messageries d’État : aucun secteur n’a été épargné. Ce bilan annuel reprend les 10 incidents qui ont marqué la France en 2026, classés chronologiquement, avec leurs causes documentées, leurs conséquences chiffrées et les leçons à tirer pour 2027.
Pour rédiger ce panorama, nous nous sommes appuyés exclusivement sur les communiqués officiels (ANSSI, CNIL, DINUM, ministères), les déclarations des organisations victimes et la couverture des médias spécialisés (Le Monde, Le Figaro, Les Échos, Usine Digitale). Aucun chiffre n’est extrapolé : chaque incident cité renvoie à une source primaire vérifiable. Pour contextualiser ces attaques dans la durée, notre analyse de la fuite CyberNews de 24 milliards d’identifiants montre que la France s’inscrit dans une tendance mondiale d’industrialisation de la cybercriminalité.
L’essentiel en 30 secondes
- Le constat : 54 000 incidents cyber au premier trimestre 2026 en France (+37 % vs 2025), selon l’ANSSI.
- Le top incident : ANTS / France Titres a exposé 11,7 millions de comptes en avril 2026, le plus gros vol de données personnelles de l’année.
- Le secteur le plus touché : La santé (Cegedim 15M patients, CHU, labos Cerballiance), suivie par les services publics.
- Le vecteur dominant : L’attaque de la chaîne d’approvisionnement (supply chain), via des prestataires comme Harvest qui a compromis MAIF et BPCE.
- Le levier d’action : 128 attaques par rançongiciel traitées par l’ANSSI en 2025, dont 48 % visaient des PME/TPE/ETI. La menace s’industrialise.
Janvier 2026 : La Poste paralysée par un double DDoS et la Fédération des chasseurs piratée
Incident 1 : La Poste et La Banque Postale visées par deux DDoS massifs (22 décembre 2025 – 5 janvier 2026)
L’année 2026 commence par une attaque d’envergure contre le groupe La Poste et sa filiale bancaire. Entre le 22 décembre 2025 et le 5 janvier 2026, les infrastructures du groupe sont la cible d’une attaque par déni de service distribué (DDoS) qui sature les accès numériques par un volume massif de requêtes malveillantes, selon le communiqué officiel de La Banque Postale. Le 1er janvier 2026 à 3h15 du matin, une seconde vague touche simultanément les sites de La Poste, de La Banque Postale et de Digiposte, paralysant les services en ligne pendant plusieurs heures en pleine période de soldes et de virements post-fêtes.
Le communiqué du groupe parle de « la plus grande cyberattaque jamais subie par un système bancaire français à ce jour » (cité par Le Figaro). Aucun vol de données n’a été confirmé : il s’agit d’une attaque purement opérationnelle, destinée à démontrer une capacité de nuisance et probablement à monétiser un chantage (ransom DDoS). C’est un signal fort envoyé à toutes les infrastructures critiques françaises : même un acteur public peut être visé en période de fête.
Incident 2 : La Fédération nationale des chasseurs perd 1,4 million de données (20-21 janvier 2026)
Le 20 janvier 2026, la Fédération nationale des chasseurs dépose plainte après la mise en vente sur le dark web des données personnelles de 1 416 000 chasseurs français. Selon Ouest-France, le pirate a proposé à la vente des noms, prénoms, adresses mails, numéros de téléphone, et même des préférences personnelles (cépages préférés, émissions de télé-réalité favorites). L’incident illustre la vulnérabilité des organismes officiels décentralisés, dont la sécurité informatique est rarement au niveau des grandes administrations centrales.
Février-mars 2026 : la supply chain compromise Harvest frappe la MAIF et BPCE
Incident 3 : Harvest piraté, MAIF et BPCE exposés (27 février 2026)
Le 27 février 2026, Harvest, société leader en France pour la fourniture de logiciels dédiés aux métiers du patrimoine et de la finance, subit une cyberattaque d’envergure. Les conséquences se révèlent en cascade dans les semaines suivantes : la MAIF et le groupe Banque Populaire-Caisse d’Épargne (BPCE) informent leurs clients que leurs données ont été compromises via ce prestataire. Selon Le Parisien, plusieurs milliers de clients sont exposés à des risques d’usurpation d’identité. Le groupe BPCE compte environ 30 millions de clients, ce qui donne la mesure du risque potentiel même si l’impact direct n’a touché qu’une fraction.
Cet incident illustre un vecteur d’attaque devenu dominant en 2026 : la compromission de la chaîne d’approvisionnement logicielle (supply chain attack). Au lieu d’attaquer directement une grande banque, les attaquants ciblent un prestataire plus modeste, moins sécurisé, qui dispose d’accès aux systèmes des clients finaux. Notre analyse du malware Trapdoor dans les packages npm avait déjà documenté ce mécanisme dans l’écosystème open source. Le cas Harvest confirme que le phénomène s’étend désormais au logiciel propriétaire critique.
Avril 2026 : le mois noir, quatre fuites massives en cascade
Le mois d’avril 2026 restera comme le pic de la cybercriminalité en France. Quatre fuites massives sont rendues publiques en l’espace de quelques semaines, touchant l’identité nationale, la santé, l’éducation et le fisc. À cela s’ajoute une sanction CNIL record contre Free Mobile. Le ministre de l’Intérieur qualifie publiquement la situation de « crise systémique » lors d’une audition au Sénat le 22 avril.
Incident 4 : ANTS / France Titres expose 11,7 millions de comptes (15-20 avril 2026)
Le 15 avril 2026, l’Agence nationale des titres sécurisés (ANTS) détecte un incident de sécurité sur son portail ants.gouv.fr, qui gère les passeports, cartes d’identité et permis de conduire. Le ministère de l’Intérieur confirme la compromission le 20 avril. Selon Le Monde, 11,7 millions de comptes pourraient être concernés (certaines estimations montent jusqu’à 19 millions selon Les Numériques). Les données compromises incluent noms, adresses, dates de naissance, et dans certains cas adresse postale, lieu de naissance et numéro de téléphone.
Cette fuite est considérée comme la plus grave de l’année 2026 en France, car elle touche un service utilisé par toute la population (plus de 90 % des Français ont un compte ANTS pour leurs démarches administratives). Le risque d’usurpation d’identité massive est réel, avec à la clé des ouvertures frauduleuses de comptes bancaires, de crédits et de faux papiers d’identité. Le parallèle avec notre analyse de la fuite ANTS des passeports montre qu’il s’agit d’un point de défaillance systémique récurrent, indépendant de l’équipe dirigeante en place.
Incident 5 : Cegedim Santé touche 15 millions de patients (avril 2026)
Quelques jours après l’ANTS, c’est au tour de Cegedim Santé, éditeur de logiciels pour les professionnels de santé, d’être compromis. La fuite expose les données de 15 millions de patients selon le panorama d’i-leadconsulting. C’est la deuxième plus grosse fuite de l’année après l’ANTS. La particularité de cet incident : il ne s’agit pas d’un vol direct de dossier médical, mais d’une compromission des données d’éligibilité et de facturation des patients, ce qui n’en reste pas moins exploitable à des fins de ciblage commercial ou d’escroquerie santé.
Cet incident confirme que le secteur de la santé reste le maillon faible de la cybersécurité française, comme le soulignait déjà notre décryptage du piratage des CHU de France. Le ministère de la Santé lance en avril 2026 un plan d’urgence de 200 millions d’euros pour renforcer la sécurité des établissements de santé, dont la majorité fonctionne encore avec des logiciels datant des années 2010.
Incident 6 : ÉduConnect expose 3,5 millions d’élèves (avril 2026)
Le portail ÉduConnect, utilisé par les parents d’élèves pour suivre la scolarité de leurs enfants et accéder aux services de vie scolaire, est compromis à son tour. 3,5 millions de comptes d’élèves et de parents sont exposés. La fuite inclut notamment les noms, les dates de naissance, les établissements fréquentés et les adresses. Le risque principal est le détournement de l’identité d’enfants mineurs, dont les données ont une durée d’exploitation particulièrement longue (jusqu’à 18 ans avant que la victime ne puisse elle-même détecter l’usurpation).
Incident 7 : FICOBA-DGFiP expose 1,2 million de comptes bancaires (avril 2026)
Le Fichier des Comptes Bancaires (FICOBA), géré par la Direction générale des Finances publiques, est compromis à hauteur de 1,2 million de comptes. Il s’agit cette fois de données financières directes : numéros de compte, établissements bancaires, soldes. Combinée aux autres fuites massives du mois, cette compromission permet aux attaquants de reconstituer un profil financier complet des victimes, facilitant les escroqueries au faux conseiller bancaire et les prélèvements frauduleux.
Incident 8 : Free Mobile sanctionné à 42 millions d’euros par la CNIL (avril 2026)
Le 8 avril 2026, la CNIL inflige à Free Mobile une amende record de 42 millions d’euros pour plusieurs manquements au RGPD, dont l’envoi de SMS publicitaires non consentis et la gestion défaillante des données personnelles de ses abonnés. Cette sanction, la plus élevée jamais prononcée par la CNIL pour un opérateur télécom, envoie un signal fort aux acteurs français : le régulateur dispose désormais des moyens et de la volonté de frapper au portefeuille. Combinée aux cyberattaques subies par les opérateurs historiques (Orange, SFR) ces dernières années, elle dessine un paysage télécom français sous tension permanente sur la conformité.
⚠️ Point de vigilance : la convergence des fuites
Les incidents 4 à 8 du mois d’avril 2026 partagent un point commun : chacun expose un fragment différent de l’identité numérique d’un Français. En croisant ANTS (identité civile) + FICOBA (données bancaires) + ÉduConnect (identité scolaire) + Cegedim (données santé), un attaquant peut reconstituer un profil complet d’une victime sans avoir à compromettre une seule fois la même source. C’est le modèle économique émergent du cybercrime 2026 : la corrélation de fuites, pas leur volume brut. Notre guide sur la conformité RGPD des sous-traitants détaille comment les organisations doivent désormais protéger l’ensemble de leur chaîne de données, pas seulement leur périmètre direct.
Juin 2026 : Tchap, la messagerie ultra-sécurisée de l’État, piratée à son tour
Incident 9 : Tchap compromise, 643 000 messages étatiques aspirés (7 juin 2026)
Le 7 juin 2026, l’ANSSI détecte une compromission du service Tchap, la messagerie instantanée chiffrée de l’État français. Selon le communiqué officiel de la DINUM, un compte utilisateur a été compromis à la suite d’une usurpation de compte, un incident signalé et analysé en coordination avec l’ANSSI. Mais l’ampleur révélée quelques jours plus tard est sans précédent : selon 01net, un pirate affirme avoir aspiré 643 000 messages, 876 salons disposant d’un historique accessible et près de 3 ans d’échanges internes (juin 2023 – juin 2026), concernant plus de 73 000 agents de l’État.
La gravité de l’incident dépasse le simple vol de données : c’est la confiance dans les communications sécurisées de l’État qui est ébranlée. Tchap était présentée depuis 2018 comme la messagerie de référence pour les agents publics, avec un chiffrement bout-en-bout et une infrastructure souveraine. Le piratage révèle que la sécurité d’une messagerie ne repose pas uniquement sur son chiffrement, mais aussi sur la gestion des identités, l’authentification multifacteur et la formation des utilisateurs. Notre article dédié piratage Tchap : comment protéger son compte détaille les mécanismes de compromission et les bonnes pratiques à adopter.
Incident 10 : Pulsy Grand Est, les données de santé d’une région entière (déjà couvert en mars)
Avant Tchap, le Groupement Régional d’Appui au Développement de la e-Santé (GRADeS) Pulsy, qui coordonne le numérique en santé dans le Grand Est, avait été compromis en mars 2026. Notre article Pulsy Grand Est : piratage des données de santé détaille les mécanismes de cette attaque. Pulsy est le dixième et dernier incident retenu dans ce bilan, car il illustre la dynamique régionale : ce ne sont plus seulement les CHU qui sont ciblés, mais l’ensemble de l’écosystème santé territorial.
Quels sont les 5 enseignements transverses du bilan 2026 ?
Au-delà de la liste des incidents, l’année 2026 révèle cinq tendances structurelles qui vont structurer la cybersécurité française pour les années à venir. Ces enseignements sont tirés du Panorama de la cybermenace 2025 publié par l’ANSSI et croisés avec les incidents concrets de 2026.
✅ Ce que les organisations doivent faire en priorité
- Cartographier 100 % de leur chaîne d’approvisionnement logicielle (prestataires, SaaS, API tierces) et imposer un audit sécurité annuel à chaque maillon critique.
- Segmenter les données sensibles par niveau de criticité et cloisonner les accès (principe du moindre privilège) pour limiter l’impact d’une compromission unique.
- Activer l’authentification multifacteur sur tous les comptes professionnels, y compris les comptes de service et les accès API.
- Tester ses plans de réponse à incident deux fois par an minimum, incluant la notification CNIL sous 72 heures (obligation RGPD).
- Surveiller en continu les fuites de données (Have I Been Pwned, GitGuardian) et réagir en moins de 24 heures aux compromissions identifiées.
❌ Les erreurs qui ont coûté cher en 2026
- Penser qu’un service public est protégé par son statut : ANTS, Tchap et ÉduConnect l’ont appris à leurs dépens.
- Confier la sécurité à un seul prestataire sans audit indépendant : le cas Harvest (MAIF/BPCE) a démontré les limites de cette approche.
- Reporter la mise en place du MFA sous prétexte de complexité technique : la majorité des compromissions 2026 l’auraient été bloquées par un MFA correctement déployé.
- Croire que la conformité RGPD suffit : être conforme ne signifie pas être protégé, comme l’a montré la sanction Free Mobile.
- Sous-estimer les attaques DDoS : le double incident La Poste a paralysé un service bancaire national pendant plusieurs heures.
Chronologie des 10 incidents : le tableau de bord annuel
| N° | Date | Organisation | Type d’attaque | Impact |
|---|---|---|---|---|
| 1 | 22 déc 2025 – 5 jan 2026 | La Poste / La Banque Postale | Double DDoS | Paralysie services en ligne, aucun vol de données |
| 2 | 20-21 janvier 2026 | Fédération nationale des chasseurs | Fuite dark web | 1,4 million de chasseurs exposés |
| 3 | 27 février 2026 | Harvest (MAIF, BPCE) | Supply chain | Milliers de clients MAIF et BPCE exposés |
| 4 | 15-20 avril 2026 | ANTS / France Titres | Fuite massive | 11,7 millions de comptes (jusqu’à 19 M) |
| 5 | Avril 2026 | Cegedim Santé | Fuite données santé | 15 millions de patients |
| 6 | Avril 2026 | ÉduConnect | Fuite données scolaires | 3,5 millions d’élèves et parents |
| 7 | Avril 2026 | FICOBA-DGFiP | Fuite données bancaires | 1,2 million de comptes bancaires |
| 8 | 8 avril 2026 | Free Mobile (sanction) | Manquement RGPD | Amende CNIL record de 42 millions € |
| 9 | 7 juin 2026 | Tchap (État) | Usurpation de compte | 643 000 messages et 73 000 agents exposés |
| 10 | Mars 2026 | Pulsy Grand Est | Fuite données santé | Écosystème santé régional compromis |
Comment se protéger quand on est Français en 2027 ?
Face à cette hécatombe, la question n’est plus de savoir si vous serez concerné, mais quand. Les recommandations de l’ANSSI pour 2027 s’articulent autour de quatre axes, à appliquer individuellement et collectivement.
- Vérifier si vous êtes dans une fuite : utilisez le site Have I Been Pwned (gratuit) pour savoir si votre email apparaît dans une fuite publique. Si oui, changez immédiatement les mots de passe des comptes concernés et activez le MFA partout.
- Surveiller ses comptes sensibles : après l’incident FICOBA, surveillez régulièrement vos relevés bancaires pour détecter toute activité inhabituelle. Activez les alertes SMS de votre banque à chaque transaction.
- Protéger l’identité de vos enfants : l’incident ÉduConnect a touché des mineurs. Si votre enfant est concerné, surveillez toute ouverture de compte ou de crédit à son nom à sa majorité (18 ans).
- Utiliser des gestionnaires d’identités numériques : la solution France Identité (passkeys) permet de prouver son identité sans transmettre ses données personnelles. C’est la réponse française aux compromissions ANTS.
Questions fréquentes sur le bilan cyber 2026 en France
Quel est l’incident cyber le plus grave subi par la France en 2026 ? ▼
Le piratage de l’ANTS (15-20 avril 2026) est considéré comme le plus grave, avec 11,7 millions de comptes exposés selon Le Monde (jusqu’à 19 millions selon Les Numériques). Il a touché le service national des passeports, cartes d’identité et permis de conduire, utilisé par toute la population. Le risque d’usurpation d’identité massive est réel, avec des conséquences à long terme sur la confiance dans les services publics numériques.
Combien d’incidents cyber la France a-t-elle subis en 2026 ? ▼
Selon le panorama d’i-leadconsulting (avril 2026), plus de 54 000 incidents de sécurité ont été recensés au premier trimestre 2026, soit une hausse de 37 % par rapport à 2025. L’ANSSI avait traité 128 attaques majeures par rançongiciel en 2025. Cette tendance s’accélère en 2026 avec la concentration d’incidents à très fort impact médiatique et politique.
Pourquoi la France est-elle particulièrement ciblée en 2026 ? ▼
Trois facteurs convergent : (1) une surface d’attaque élargie avec la dématérialisation massive des services publics (ANTS, FranceConnect, Tchap) ; (2) un écosystème de PME/TPE sous-équipé en cybersécurité, l’ANSSI estimant que 48 % des victimes de rançongiciels sont des structures de moins de 250 salariés ; (3) une valeur marchande élevée des données françaises sur les marchés noirs (numéro de sécurité sociale, IBAN, identité civile).
Que faire si mes données ont été exposées dans la fuite ANTS ? ▼
Vérifiez d’abord sur le site officiel mis en place par le ministère de l’Intérieur (et non via un lien reçu par email, qui pourrait être du phishing). Si vous êtes concerné : surveillez vos comptes bancaires pendant les 12 prochains mois, déposez une plainte à la CNIL si vous constatez une utilisation frauduleuse, et surtout ne communiquez jamais vos données bancaires par téléphone à un interlocuteur qui vous contacte (technique du faux conseiller).
Les services publics français sont-ils devenus moins sûrs qu’avant ? ▼
Ce n’est pas tant que la sécurité ait régressé, mais que la surface d’attaque a explosé. La dématérialisation massive de l’État (FranceConnect, ANTS, Tchap, ÉduConnect) a créé des points centraux sensibles : un seul défaut touche des millions d’usagers. Le gouvernement a annoncé en avril 2026 un plan cybersécurité national de 1,5 milliard d’euros sur 3 ans pour renforcer ces infrastructures critiques.
Comment savoir si une fuite me concerne sans chercher moi-même ? ▼
Plusieurs services officiels existent : la CNIL envoie automatiquement une notification si vous êtes inscrit sur ses listes (via le formulaire en ligne). Certaines grandes institutions (banques, opérateurs) vous préviendront par courrier postal. Évitez absolument les sites non officiels qui demandent vos données pour « vérifier » une fuite : c’est généralement du phishing.
Les grandes évolutions de la cybermenace française (2024 – 2026)
- 2024 (janvier) : Fuite massive France Travail (43 millions d’usagers), premier signal d’alerte d’une année record.
- 2024 (février-mars) : Premières compromissions supply chain en France (MoveIT,Harvest début), ciblage des PME-TPE en hausse.
- 2025 (Q1-Q2) : Multiplication des fuites santé (CHU, labos) et des sanctions CNIL, prise de conscience réglementaire.
- 2025 (Q4) : L’ANSSI publie son panorama 2025 confirmant l’industrialisation de la menace (128 rançongiciels traités).
- 2026 (janvier) : La Poste double-DDoS, premier test de résistance d’une infrastructure bancaire nationale.
- 2026 (avril) : Le « mois noir » : 4 fuites majeures en 4 semaines, dont ANTS et Cegedim.
- 2026 (juin) : Tchap compromise, fin de l’illusion de sécurité pour les messageries d’État souveraines.
- 2026 (Q3-Q4) : Plan national cybersécurité 1,5 Md€, généralisation du MFA dans les administrations.
Quiz rapide : êtes-vous prêt face au bilan 2026 ?
Question : Quel est le premier réflexe à adopter si vous découvrez que votre email apparaît dans la fuite ANTS ?







