Les cyberattaques touchent tous les secteurs d'activité, mais certains sont plus ciblés que d'autres. Selon le rapport ENISA Threat Landscape 2023, les secteurs les plus visés en Europe sont l'administration publique (19 %), la santé (8 %), les infrastructures numériques (7 %) et l'industrie manufacturière (7 %). Aucun secteur n'est épargné — 11 % des incidents ne ciblent aucun secteur en particulier.
Le phénomène s'accélère. La numérisation des activités, l'interconnexion croissante des systèmes et les tensions géopolitiques créent un environnement où la surface d'attaque de chaque organisation s'étend en permanence. Selon le Rapport CAASM 2024 du CESIN et OverSOC, 66,7 % des organisations ne connaissent pas l'ensemble de leur surface d'attaque — un angle mort qui les rend d'autant plus vulnérables.
Panorama des secteurs les plus ciblés
Administration publique
Premier secteur ciblé selon l'ENISA (19 % des incidents), l'administration publique est une cible stratégique : données sensibles des citoyens, services essentiels, et souvent des SI vieillissants. De janvier 2022 à juin 2023, l'ANSSI a traité 187 incidents cyber affectant les collectivités territoriales, soit 17 % de l'ensemble des incidents traités par l'agence sur cette période.
Les collectivités territoriales sont particulièrement exposées : budgets IT limités, parc hétérogène, et impact direct sur les citoyens en cas de perturbation des services.
Santé
Le secteur de la santé combine des données hautement sensibles (dossiers patients) et des systèmes dont l'indisponibilité peut mettre des vies en danger. En France, 432 structures des secteurs santé et médico-social ont déclaré au moins un incident de sécurité au CERT Santé en 2022, en hausse de 33 % par rapport à 2021.
L'attaque contre le Centre hospitalier sud francilien (CHSF) en août 2022 illustre la gravité de ces incidents : la phase aiguë de la crise a duré deux mois, avec une restauration progressive du SI en moins de 60 jours grâce à la cartographie du système d'information.
Industrie et énergie
L'industrie manufacturière est le 4e secteur le plus ciblé selon l'ENISA. La convergence IT/OT (technologies de l'information et technologies opérationnelles) crée de nouvelles surfaces d'attaque. Le Rapport CAASM 2024 du CESIN confirme que les environnements OT et IoT sont ceux sur lesquels les organisations ont le moins de visibilité — rendant la détection des compromissions particulièrement difficile.
Banque et finance
Le secteur financier attire les cybercriminels par les gains potentiels élevés. La digitalisation des services bancaires, les interconnexions entre systèmes de paiement et l'exposition croissante des APIs créent des vecteurs d'attaque multiples. Le règlement DORA (Digital Operational Resilience Act) impose désormais aux acteurs financiers européens des exigences strictes en matière de résilience opérationnelle.
E-commerce et services numériques
Les plateformes de commerce en ligne gèrent des volumes importants de données de paiement et d'informations personnelles. Les attaques visent le vol de données clients, la fraude aux paiements et la perturbation des services pendant les pics d'activité. Le coût d'une fuite de données dans le secteur retail est significatif, combinant pertes financières directes, amendes RGPD et atteinte à la réputation.
Un dénominateur commun : le manque de visibilité
Quel que soit le secteur, le Rapport CAASM 2024 du CESIN identifie les mêmes freins à la protection :
| Frein | 2023 | 2024 |
|---|---|---|
| Manque de ressources humaines | 68,4 % | 77,5 % |
| Méconnaissance du périmètre à protéger | 69,6 % | 66,7 % |
| Manque de budget | 24,1 % | 50,7 % |
| Manque de tableaux de bord de pilotage | 48,1 % | 37,7 % |
La tendance est claire : le manque de budget explose (+26 points), tandis que les organisations prennent lentement conscience de leur périmètre. Mais deux tiers des organisations ne connaissent toujours pas l'ensemble de leur surface d'attaque — un problème structurel qui touche tous les secteurs.
« Démultiplier les consoles, c'est augmenter la charge mentale. Ne pas avoir les bons outils est un handicap sur la visibilité de son SI, et son travail de tous les jours. » — David Cauvin, RSSI, Collectivité Urbaine (Rapport CAASM 2024, CESIN/OverSOC)
Motivations des attaquants
Gain financier : le ransomware en tête
Le ransomware reste le mode opératoire privilégié des cybercriminels, ciblant tous les secteurs. Le principe est connu : chiffrement des données contre rançon. L'industrialisation de ce modèle via les plateformes de Ransomware-as-a-Service (RaaS) permet à des attaquants peu qualifiés de lancer des campagnes sophistiquées.
Au-delà du ransomware, les cybercriminels exploitent le vol et la revente de données, la fraude, et le cryptominage.
Espionnage
Les attaques à des fins d'espionnage ciblent les États, les institutions de recherche et les grands groupes industriels. Elles nécessitent des moyens importants et s'inscrivent dans des campagnes au long cours, souvent attribuées à des acteurs étatiques.
Sabotage et déstabilisation
Le contexte géopolitique alimente les attaques de déstabilisation : attaques DDoS contre des sites institutionnels, défigurations de sites web, exfiltration et divulgation de données. Les secteurs de l'énergie et des télécommunications sont particulièrement concernés. Ces attaques, souvent attribuées à des acteurs étatiques ou para-étatiques, visent à perturber les services essentiels et à saper la confiance dans les institutions.
Supply chain : le maillon faible
Les grandes organisations ayant renforcé leurs défenses, les attaquants se tournent vers les maillons plus faibles de leur chaîne d'approvisionnement. Un fournisseur de services IT compromis peut ouvrir un accès à des dizaines de clients. L'attaque SolarWinds en 2020 reste l'exemple le plus marquant de cette approche. Sécuriser sa supply chain exige de connaître ses interconnexions et de vérifier la posture de sécurité de ses partenaires critiques.
Mesures de protection adaptées
Les fondamentaux valables pour tous les secteurs
Quelle que soit l'activité, les mesures de base sont les mêmes :
- Cartographier son SI — connaître ses actifs, ses interconnexions et ses points d'exposition. Le CESIN révèle que 73,9 % des organisations ne disposent pas d'un outil de réconciliation de leurs sources IT et cyber.
- Corriger les vulnérabilités — prioriser sur la base du risque réel, pas seulement du score CVSS
- Détecter les incidents — déployer et surveiller les outils de détection (SIEM, EDR, IDS)
- Anticiper les menaces — utiliser le renseignement sur les menaces (CTI) pour adapter les défenses
- Mesurer sa posture — suivre les KPI de cybersécurité pour piloter les progrès
La conformité réglementaire comme levier
Les réglementations sectorielles renforcent l'obligation de protection :
| Réglementation | Secteurs concernés | Exigences clés |
|---|---|---|
| NIS2 | Entités essentielles et importantes (énergie, transport, santé, numérique…) | Gestion des risques, notification d'incidents, gouvernance |
| DORA | Finance (banques, assurances, prestataires IT) | Résilience opérationnelle, tests de pénétration, gestion des tiers |
| ISO 27001 | Tous secteurs (volontaire) | Système de management de la sécurité de l'information |
« Toutes les normes te demandent de maîtriser ton SI. Donc il est nécessaire d'avoir une visibilité sur tout ce qui doit être protégé. » — Stéphane Joguet, Global CISO, Retailer (Rapport CAASM 2024, CESIN/OverSOC)
L'enjeu de la supply chain
Les grandes organisations ayant renforcé leurs défenses, les attaquants se tournent vers les maillons plus faibles de la chaîne d'approvisionnement : fournisseurs, sous-traitants, prestataires IT. Sécuriser sa supply chain passe par une visibilité sur les interconnexions entre son SI et celui de ses partenaires.
FAQ
Quels secteurs sont les plus touchés par les ransomwares ?
Selon l'ENISA, les ransomwares touchent tous les secteurs, mais l'administration publique, la santé et l'industrie sont les plus impactés. Le secteur de la santé est particulièrement vulnérable car l'indisponibilité des systèmes a un impact direct sur la prise en charge des patients, ce qui augmente la pression pour payer la rançon.
Les PME sont-elles vraiment ciblées ?
Oui. Les PME et ETI sont de plus en plus visées. Elles disposent souvent de défenses moins matures que les grandes entreprises. Elles servent aussi de porte d'entrée vers des cibles plus importantes via la supply chain. Le Rapport CAASM 2024 du CESIN montre que le manque de ressources humaines (77,5 %) et de budget (50,7 %) sont les premiers freins à la gestion de la surface d'attaque. Ces contraintes touchent particulièrement les petites structures.
Comment savoir si mon secteur est particulièrement ciblé ?
Le suivi des publications du CERT-FR et des rapports annuels de l'ENISA permet de connaître les tendances par secteur. La mise en place d'une veille CTI sectorielle aide à anticiper les menaces spécifiques à votre activité.
Ce qu'il faut retenir
- Aucun secteur n'est épargné, mais l'administration, la santé, l'industrie et la finance sont les plus ciblés.
- Le ransomware reste la menace dominante, industrialisé via les plateformes RaaS.
- La conformité réglementaire (NIS2, DORA, ISO 27001) impose une gouvernance stricte de la sécurité.
- La protection commence par la visibilité sur son SI — cartographier ses actifs, connaître sa surface d'attaque et mesurer sa posture.
OverView centralise les données de vos outils de sécurité pour vous donner cette visibilité. Demandez une démo pour voir comment cartographier votre surface d'attaque, ou testez le simulateur pour évaluer votre couverture actuelle.