Cybercriminalité 2024 : Ce que révèle le rapport du CECyber

Rançongiciels, fuites de données, hacktivisme, deepfakes… En 2024, la cybercriminalité a franchi un nouveau cap. Plus massive. Plus professionnelle. Et surtout plus difficile à anticiper. 

Le dernier rapport du CECyber (Ministère de l’Intérieur) en dresse un panorama saisissant. Pas besoin de vous plonger dans ses 68 pages : on l’a lu, synthétisé et commenté pour vous.  

Que vous soyez DSSI, DPO, dirigeant ou simplement curieux d’un sujet devenu stratégique, voici ce qu’il faut retenir — et activer — pour 2025. 

Les chiffres qui frappent  

348 000 atteintes numériques en 2024. C’est une hausse de 74 % en cinq ans. Derrière ce chiffre, une réalité : les cyberattaques sont désormais une composante permanente du risque métier. 

• 65 % des attaques visent des infrastructures (SI, serveurs, équipements). 

• 30 % ciblent directement des individus : usurpation d’identité, chantage, harcèlement. 

• Les services publics sont, eux aussi, de plus en plus visés. 

Mais les volumes ne sont qu’une partie de l’histoire. En 2024, on recense : 

• 17 100 incidents graves sur des systèmes critiques. 

• 60 000 mis en cause, du hacker isolé aux mafias numériques structurées. 

Bonne nouvelle ! Les outils de signalement se renforcent :

• THÉSEE (escroqueries en ligne) : 107 000 signalements. 

• PHAROS (contenus illicites) : 222 000. 

• PERCEVAL (fraudes bancaires) : 230 000. 

Ces volumes montrent que la délinquance numérique s’intensifie, mais aussi que les canaux de remontée d’information se renforcent : plus on signale, mieux les forces de l’ordre peuvent aiguiller leurs investigations. 

Les grandes tendances de 2024 

Rançongiciels : une double extorsion 

Ils restent la menace n°1. Même si le nombre de plaintes recule légèrement (-13 %), la tactique évolue : aujourd’hui, on ne chiffre plus seulement les données, on les vole aussi… puis on menace de les exposer publiquement. Double extorsion, double pression. Les victimes n’ont souvent qu’une alternative : céder ou perdre la face, voire les deux. 

Hacktivisme : le cybermilitantisme sur les rails 

707 attaques revendiquées. Et surtout, une montée en gamme. Ce ne sont plus des ados qui testent leurs skills, mais des collectifs coordonnés, souvent transnationaux, qui ciblent des ministères, des hôpitaux, des infrastructures critiques (eau, énergie…). Leur but n’est pas l’argent, mais le chaos symbolique. Et leur outil préféré : les attaques DDoS massives, faciles à louer, difficiles à contenir. 

Fuites et reventes de données : un marché noir en plein essor 

Les bases de données dérobées se vendent à la découpe sur le dark web, alimentant d’autres crimes : campagnes d’hameçonnage hyper-ciblées, usurpations d’identité et fraudes à la prestation. Ces « data dumps » prolifèrent, car ils représentent un retour sur investissement immédiat et quasi garanti pour les criminels. 

Intelligence artificielle : l’arme à double tranchant 

L’année 2024 a confirmé que l’IA est un outil à la fois défensif et offensif : 

• Du côté des attaquants, on observe l’usage de deepfakes vocaux et vidéos pour usurper des identités, de bots autonomes pilotés par IA pour orchestrer des attaques DDoS multivectorielles, ou encore des kits d’hameçonnage préconfigurés prêts à l’emploi. 

• Du côté de la défense, les SOC déploient de plus en plus de solutions PredAI (pour la détection en temps réel) et GenAI (pour assister l’investigation et rédiger les rapports d’incident). 

La course est désormais à la vitesse d’adoption : qui prendra le pas sur l’autre ? 

Ce qu’on retient : la menace n’est plus un bloc monolithique. Elle s’adapte, se diversifie, joue sur plusieurs fronts à la fois. Les organisations qui ne font pas évoluer leur vision du risque restent collées à un schéma d’attaque dépassé. 

Un écosystème devenu industriel 

Fini le cliché du hacker solitaire dans sa cave. Aujourd’hui, la cybercriminalité ressemble de plus en plus à une startup bien huilée — avec ses rôles, ses outils, ses circuits de distribution, et même son service client. 

Des rôles spécialisés pour chaque étape 

Chacun son métier : 

• Des développeurs codent les rançongiciels, 

• D’autres vendent l’accès initial aux réseaux (credentials, portes dérobées), 

• Des blanchisseurs se chargent de transformer les crypto-actifs en argent propre. 

Résultat : une supply chain efficace, décentralisée, modulaire. 

Des places de marché fermées, mais actives 

Sur des forums privés, des groupes Telegram chiffrés, ou des darknets à accès restreint, les cybercriminels s’échangent des tutoriels, des kits, des avis d’utilisateurs, des mises à jour… 

On parle d’un écosystème parallèle, qui fonctionne avec ses propres codes, ses scores de réputation, et parfois… ses politiques de remboursement. 

Cybercrime-as-a-Service : la menace devient un abonnement 

Comme un SaaS, mais pour le mal : 

• Ransomware-as-a-Service (RaaS) : le développeur touche une commission sur chaque rançon. 

• Location de botnets à la journée. 

• Kits de phishing en marque blanche, prêts à l’emploi. 

En quelques clics, un débutant peut déclencher une attaque d’ampleur. 

Hébergement "bulletproof" : des bastions numériques pour cybercriminels 

Certains hébergeurs ferment les yeux (ou les ouvrent très fort côté business) : 

• Pas de vérification d’identité, 

• Paiement en crypto, 

• Infrastructure pensée pour esquiver les saisies ou blocages. 

Résultat : une résilience digne des clouds légitimes… au service du crime. 

Ce qu’on retient : la cybercriminalité n’est plus artisanale, mais industrielle. Elle s’achète, se loue, se “packe”, se délègue. Ce changement d’échelle exige une riposte tout aussi structurée — côté entreprises, mais aussi côté États. 

Comment opèrent-ils ? 

Le rapport décortique les techniques les plus utilisées en 2024 :  

• Phishing : qu’il soit massif (e-mails envoyés à des milliers de cibles) ou ultra-ciblé (spear phishing), il demeure l’entrée principale. Les attaques se déclinent aussi en smishing (SMS frauduleux) et vishing (appels téléphoniques trompeurs). 

• Spoofing : usurpation d’adresse e-mail ou d’IP, falsification d’appels (swatting), fraudes dites « au président » où l’on se fait passer pour un cadre dirigeant. 

• Infostealers : petits malwares qui siphonnent mots de passe, cookies ou clés de session, ouvrant la porte à des compromissions plus importantes. 

• Exploitation de fuites : les données volées (noms, adresses, numéros de cartes) réapparaissent dans de nouvelles campagnes de fraude, rebouclant le cycle. 

• Rançongiciels : des attaques « big-game » contre les secteurs sensibles (santé, transport), avec parfois des extorsions en plusieurs vagues (double ou triple). 

• Deepfakes et IA malveillante : la génération automatisée de voix ou de visages permet des escroqueries sophistiquées, comme la demande de virement urgent « du directeur financier ». 

• Abus de crypto-actifs : paiement des rançons en Bitcoin, « mixeurs » pour rendre les traces invisibles, chaîne de revente dans de faux investissements. 

L’évolution majeure est la combinaison de ces techniques : un pirate peut d’abord infecter un poste avec un infostealer, puis déployer un ransomware sur l’ensemble du réseau et menacer de publier les données volées. 

Justice et législation : riposte et renforcement 

2024 n’a pas été qu’une année d’attaques. Sur le plan réglementaire et opérationnel, 2024 a vu plusieurs avancées : 

• La directive NIS2 impose désormais à 17 000 entités de signaler tout incident en moins de 72 heures, sous peine d’amendes pouvant atteindre 10 millions d’euros. 

• L’IA act (ou RIA) classe les usages par niveau de risque et impose une gouvernance stricte ; les manquements sont sanctionnés jusqu’à 7 % du chiffre d’affaires. 

• Le MiCA encadre les prestataires de crypto-actifs, avec agrément obligatoire et interdiction de délits d’initié sur les jetons. 

Côté action, les opérations phares – Cronos contre LockBit, Endgame contre plusieurs botnets (IcedID, Bumblebee) – ont permis la saisie de centaines de serveurs et le gel de dizaines de millions d’euros en crypto-actifs, démontrant l’efficacité d’une coopération internationale. 

Demain : entre course à l’IA, objets connectés et agents autonomes 

Si 2024 a marqué une rupture, 2025 et les années qui suivent annoncent un changement de paradigme : plus de données, plus d’automatisation, plus de surfaces d’attaque… et des outils toujours plus puissants des deux côtés. 

L’IA défensive devient stratégique 

L’État pousse à l’émergence de solutions souveraines et robustes. Le plan CapIA, piloté par l’ANSSI, veut accélérer l’adoption d’outils certifiés et audités. 

Parmi les projets phares : 

• Authentik IA : pour détecter les médias synthétiques (deepfakes, faux témoignages vidéo) 

• ODIP : une initiative contre la cyberpédocriminalité 

L’IA n’est plus seulement un sujet d’innovation, c’est désormais un enjeu de sécurité nationale. 

Objets connectés : la surface d’attaque explose 

D’ici 2030, plus de 45 milliards d’objets connectés seront en circulation. Du thermostat au pacemaker, chaque objet peut devenir un point d’entrée. 

Les botnets IoT se multiplient, tout comme les cas de sabotage industriel via des équipements vulnérables. 

Le Cyber Resilience Act, attendu prochainement, imposera une sécurité "by design" sur ces objets. Une nécessité absolue face à l’explosion des usages. 

Agents autonomes : vers un cybercrime sans humain ? 

Le rapport évoque l’émergence de logiciels capables de scanner, exploiter et pivoter seuls sur un système, sans intervention humaine. 

C’est la prochaine frontière : des agents autonomes, capables d’agir en continu, d’échapper aux règles de détection classiques, et de répliquer des scénarios d’attaque en boucle. 

Le défi devient alors double : détecter plus vite, et garder l’humain dans la boucle. 

Ce qu’on retient : la menace change de forme, de vitesse, d’échelle. Et l’enjeu n’est pas de suivre : c’est d’anticiper, d’investir dans les bons outils, et de s’appuyer sur des partenaires capables d’agir vite, bien et collectivement. 

Conclusion : se préparer à une cyberdéfense coordonnée 

Le rapport 2024 du CECyber ne laisse plus place au doute : la cybercriminalité est devenue massive, structurée et professionnalisée. Elle ne vise plus seulement les grandes entreprises ou les ministères : tout le monde est dans le viseur. 

Et face à cette industrie parallèle, empiler les outils ne suffit plus. Ce qu’il faut désormais, c’est une approche pilotée, une gouvernance solide, des réflexes rôdés… et la capacité à anticiper, plutôt qu’à éteindre des incendies. 

L’IA ne fera pas tout — mais bien utilisée, elle peut changer la donne, en renforçant votre posture défensive sans alourdir votre organisation. Alors, par où commencer ?

Voici les 6 leviers à activer sans attendre : 

• Modernisez vos capacités de détection 
  Déployez des solutions basées sur l’IA (PredAI pour la détection en temps réel, GenAI pour l’analyse post-incident). La vitesse fait la différence. 

• Renforcez la gouvernance de votre IA 
  Adoptez une charte, suivez des indicateurs, mettez en place des audits réguliers. La conformité RGPD/IA act devient un facteur de crédibilité. Besoin d'évaluer la conformité RGPD de votre IA ? Téléchargez notre grille.

• Travaillez votre chaîne de décision cyber 
  En cas d’attaque, qui décide ? Qui communique ? Quels outils sont mobilisables ? Une bonne gestion de crise, ça se prépare. 

• Sensibilisez vos équipes en continu 
  Le facteur humain reste la principale porte d’entrée. Mieux vaut une culture sécurité diffusée qu’un SOC débordé.  

• Restez à l’écoute de la veille sectorielle 
  Règlement IA, NIS2, Cyber Resilience Act… Les obligations évoluent vite. Et s’y préparer en amont évite les urgences coûteuses. 

• Profitez des leviers de financement public 
  France 2030, dispositifs européens, guichets sectoriels… Des aides existent pour expérimenter, tester et déployer des solutions innovantes. Ne passez pas à côté. 

  Vous voulez aller plus loin ? Consultez l’intégralité du rapport ici.