Les cybermenaces restent élevées : les attaques sont plus ciblées et plus complexes
Berne, 30.03.2026 — Le rapport semestriel de l’Office fédéral de la cybersécurité (OFCS), publié aujourd’hui, décrit l’évolution des cybermenaces et des principaux cyberincidents qui ont marqué la Suisse et la scène internationale au cours du second semestre 2025. Pour la première fois, il présente non seulement les cyberincidents rapportés sur une base volontaire, mais aussi les cyberattaques visant les infrastructures critiques qui sont soumises à l’obligation de signaler depuis le 1er avril 2025. Le volume élevé des annonces facultatives reste stable, mais leur forme se développe et se précise. Pour assurer une protection efficace, il est nécessaire que l’État, l’économie et la société collaborent étroitement, tant au niveau national qu’à l’échelon international.
Le rapport semestriel publié aujourd’hui par l’OFCS démontre que les auteurs agissant à l’échelle mondiale individualisent de mieux en mieux leurs cyberattaques, notamment à l’aide de l’intelligence artificielle (IA). Ainsi, au cours du second semestre 2025, l’OFCS a de nouveau enregistré de nombreux cas d’hameçonnage par téléphone et de campagnes d’hameçonnage en temps réel. Les cybercriminels les ont combinés à des annonces publicitaires trompeuses sur les moteurs de recherche afin de conduire les victimes de manière ciblée sur de fausses pages internet. Ce faisant, les auteurs ont exploité davantage de particularités locales, telles que des programmes de fidélisation proposés par de grands commerces de détail. Au cours de l’été 2025, un nouveau phénomène a fait son apparition en Suisse, le « SMS-Blaster » ; il s’agit d’un appareil qui, en se faisant passer pour une antenne de téléphonie mobile, permet aux auteurs de contourner les systèmes de filtrage des opérateurs et de diffuser des SMS nuisibles directement sur le téléphone portable des victimes se trouvant à proximité.
Menace constante des rançongiciels
Les rançongiciels et le chantage réalisé avec les données ainsi obtenues représentent toujours un danger sérieux pour les organisations suisses. Au cours du second semestre 2025, 57 cas de rançongiciels ont été annoncés. Le groupe « Akira », dont les activités se sont intensifiées pendant la période sous revue, s’est particulièrement fait remarquer. L’utilisation des failles des appareils produits par SonicWall a joué un rôle déterminant dans ce contexte. Alors qu’une vulnérabilité avait été découverte en 2024, toutes les parties concernées n’ont pas pris la peine de mettre à jour leurs mesures de sécurité, prêtant ainsi le flanc à une attaque.
Attaques visant les fournisseurs internationaux de logiciels ouverts
Pendant la période sous revue, une augmentation des attaques menées contre des fournisseurs internationaux faisant partie de la chaîne d’approvisionnement logicielle a été constatée. Les cybercriminels ont non seulement exploité des failles, mais également effectué des démarches visant à compromettre des composants de logiciels ouverts, bien établis et utilisés à large échelle. Étant donné que des applications récentes se basent sur de nombreux logiciels ouverts, des failles de sécurité dans ce domaine peuvent avoir des conséquences importantes et des effets systémiques. Des dépendances techniques complexes augmentent le risque de voir surgir des problèmes de sécurité à grande échelle.
Réseaux ORB clandestins en Suisse également
La Suisse est de plus en plus touchée par le phénomène des réseaux ORB clandestins (Operational Relay Boxes). Ces réseaux sont constitués d’appareils infectés par des maliciels et connectés à internet (Internet of Things, IoT), de serveurs et de routeurs pilotés à distance par les auteurs et en partie loués à des tiers. De telles infrastructures offrent une porte d’entrée à des attaques ultérieures et mettent en péril la sphère privée des propriétaires touchés. Pour prévenir la construction de tels réseaux, il est important de sécuriser et de mettre à jour régulièrement tout appareil exposé à internet.
145 incidents soumis à l’obligation de signaler
Depuis le 1er avril 2025, les exploitants d’infrastructures critiques sont soumis à l’obligation de signaler toute cyberattaque à l’OFCS dans les 24 heures. Depuis lors, 325 signalements sont parvenus à l’OFCS ; 145 d’entre eux ont été envoyés au cours du second semestre 2025. La plupart de ces annonces proviennent du secteur administratif (25 %), d’entreprises d’informatique ou de télécommunication (18 %) ou encore du secteur des banques et des assurances (15,7 %). Parmi les attaques les plus fréquemment dénoncées, l’on retrouve principalement le piratage (20 %) et les attaques par déni de services (16 %), suivis des vols de données d’accès (12 %), des maliciels (10 %), des fuites de données (10 %) et des rançongiciels (9 %).
Les dépendances numériques plus que jamais dans le collimateur
L’analyse des incidents démontre clairement que les cyberattaques se développent au fil des dépendances numériques et qu’elles dépassent les frontières des organisations, des branches et des États. La cybersécurité constitue dès lors une tâche qui touche l’ensemble de la société. En dépit d’un contexte géopolitique tendu, les cybermenaces restent relativement stables au niveau de la Suisse, dont la cyberrésilience s’avère majoritairement robuste. Pour contrer le développement dynamique de ces menaces, il est nécessaire d’avoir des structures de gouvernance claires, des processus de réaction et de rétablissement fonctionnels et une collaboration étroite entre l’État, l’économie et la société, tant au niveau national qu’au niveau international.