La liste des cyberattaques les plus graves en 2025 se lit comme un polar économique – sauf qu’elle touche des entreprises réelles. Les exemples suivants le montrent : les cyberattaques ne sont plus depuis longtemps un sujet informatique isolé, mais un risque pour les entreprises. Elles affectent le chiffre d’affaires, la capacité de livraison, la position sur le marché et, dans les cas extrêmes, mettent en péril l’existence même d’une entreprise.
En août, la production de Jaguar Land Rover a été arrêtée pendant près de six semaines. Une grande partie des usines du Royaume-Uni a été touchée. Les installations de production ont dû être arrêtées, les réseaux de distributeurs isolés. Les dommages sont estimés à environ deux milliards d’euros.
Chez le détaillant britannique Marks & Spencer, des pirates ont paralysé la boutique en ligne. Pendant six semaines, les clients n’ont pas pu commander comme d’habitude. Les pertes de chiffre d’affaires, les coûts supplémentaires liés aux mesures d’urgence et les dommages à la réputation se sont élevés à près de 350 millions d’euros.
Aux États-Unis et au Canada, les clients se sont parfois retrouvés devant des rayons vides : en juin, le grossiste United National Foods n’a pas pu livrer pendant plusieurs semaines en raison d’une panne du système de commande suite à une cyberattaque. Le résultat : un préjudice de près de 400 millions d’euros.
La cybersécurité apparaît typiquement du côté des coûts : elle ne crée pas de produits, pas de machines et pas de chiffre d’affaires direct. En même temps, il est vrai que le coût d’une sécurité adéquate est presque toujours inférieur au coût d’un incident de sécurité grave. En effet, une attaque grave peut engloutir les bénéfices d’une année entière et entraîner des pénalités contractuelles ainsi que des demandes de dommages et intérêts. Elle peut déclencher des sanctions réglementaires. Et très important : une attaque grave entame la confiance des clients, des partenaires et des investisseurs.
Pour les entreprises, cela signifie que la sécurité doit faire partie intégrante de la gestion des risques et être à l’ordre du jour de la direction et du conseil de surveillance, quel que soit le secteur ou la taille de l’entreprise.
Outre la perspective de gestion d’entreprise, il existe des directives juridiques claires. Il s’agit par exemple de la législation sur la protection des données, des lois sur la sécurité informatique spécifiques à un secteur ou à un pays, ainsi que des exigences découlant des réglementations sur la sécurité au travail et la sécurité opérationnelle lorsque les pannes informatiques peuvent affecter la sécurité des personnes. En outre, la directive européenne sur la sécurité des réseaux et de l’information (NIS2) rend les obligations de sécurité obligatoires pour un nombre croissant d’entreprises. Les entreprises ne doivent donc pas seulement faire « quelque chose » pour la sécurité, mais établir un niveau de protection approprié et démontrable et le contrôler en permanence.
Pour aborder la cybersécurité de manière systématique et non ponctuelle, de nombreuses organisations s’orientent vers des normes établies telles que le NIST Cybersecurity Framework (CSF) et la norme ISO/IEC 27001 pour les systèmes de gestion de la sécurité de l’information. Le cadre du NIST décrit la sécurité selon cinq fonctions clés : Identify, Protect, Detect, Respond, Recover (Identifier, Protéger, Détecter, Répondre, Restaurer). Celles-ci peuvent très bien être appliquées à une stratégie de sécurité pratique.
1. identification (Identify)
L’objectif est la transparence : qu’est-ce qui doit être protégé, de quoi, et avec quelle priorité ? Il s’agit notamment de la saisie des systèmes informatiques et OT (Operational Technology), des applications, des données et des processus commerciaux. Mais aussi de l’évaluation des menaces, des vulnérabilités et de l’impact sur les entreprises. Les objectifs de protection et les exigences de sécurité en découlent ensuite.
2. protection (Protect)
Dans cette fonction, les mesures sont mises en œuvre pour compliquer les attaques ou minimiser leurs effets. Il s’agit par exemple de concepts de réseau et de segmentation, du durcissement des points finaux, des serveurs et des environnements cloud, ainsi que de la gestion des identités et des accès, y compris l’authentification forte et les accès basés sur les rôles. En outre, le cryptage des données sensibles ainsi que la formation et la sensibilisation des collaborateurs en font partie.
3. détection (Detect)
Comme aucune protection n’est absolue, la capacité à détecter rapidement les attaques est essentielle. Une surveillance continue de la sécurité des systèmes, des réseaux et des charges de travail dans le nuage permet de détecter de telles attaques. Pour ce faire, les plateformes de sécurité analysent les données de log et les événements. En outre, les renseignements sur les menaces (Threat Intelligence) et les analyses comportementales fournissent des indications sur les attaques. Elles déclenchent alors des mécanismes d’alerte et d’escalade clairs. Plus une attaque est détectée tôt, moins les dommages sont importants. Chez T-Systems, nous exploitons par exemple des Security Operations Center (SOC) et proposons des services gérés de détection et de réponse (ou services MDR). Les entreprises bénéficient ainsi d’une surveillance 24h/24 et 7j/7 de leurs systèmes pertinents sans avoir à mettre en place leurs propres équipes à ce niveau de profondeur. Les activités suspectes sont analysées, évaluées et – selon l’accord – font l’objet d’une réponse directe avec les premières contre-mesures. Cela permet de mettre fin au « vol à l’aveugle » dans son propre réseau.
4. réaction (Respond)
Lorsqu’un incident de sécurité se produit, la qualité de la réaction détermine l’ampleur et la durée de la perturbation. Il s’agit notamment de plans de réponse aux incidents et de scripts préparés, d’équipes de réponse aux incidents bien rodées et d’analyses médico-légales structurées pour comprendre la cause, la propagation et les conséquences. Et enfin : une communication interne et externe professionnelle.
5. restauration (Recover)
Après un incident, les systèmes et les processus doivent être restaurés le plus rapidement possible et de manière contrôlée. Cela ne fonctionne qu’avec des concepts de sauvegarde et de restauration solides ainsi que des plans de continuité d’activité et de reprise après sinistre. Tout cela doit être pratiqué avec ce que l’on appelle des « Fire Drills » et des « Lessons Learned » systématiques afin d’augmenter encore la résilience.
Avec l’utilisation de l’IA générative, des copilotes et des services d’IA dans le cloud, non seulement le rythme de l’innovation augmente, mais aussi la surface d’attaque. De nombreuses entreprises se posent ces questions : comment pouvons-nous utiliser l’IA de manière productive sans compromettre la propriété intellectuelle, les données sensibles ou la conformité ? Chez T-Systems, nous utilisons l’IA dans nos propres technologies de sécurité – par exemple dans les services SOC et MDR, dans la corrélation d’événements, dans l’analyse comportementale et dans la déduction automatisée de contre-mesures – afin de détecter plus rapidement les attaques, de les évaluer plus précisément et de les stopper plus efficacement. L’objectif est de mettre l’IA à disposition dans un environnement contrôlé, auditable et conforme à la réglementation, en tant que facilitateur pour des processus plus efficaces, de meilleures décisions et de nouveaux modèles commerciaux numériques.
Les entretiens avec les clients et les manifestations professionnelles révèlent très clairement les thèmes qui sont au centre des préoccupations :
1. cyberdéfense 24h/24 et 7j/7 et Managed Detection & Response
De nombreuses entreprises reconnaissent que la sécurité périmétrique classique ne suffit plus. Elles recherchent de manière ciblée des services qui surveillent en permanence les attaques, les évaluent et, dans l’idéal, mettent en place les premières contre-mesures de manière automatisée. Nous nous positionnons ici avec des offres SOC et MDR évolutives qui s’adressent aussi bien aux moyennes qu’aux grandes organisations.
2. architectures cloud et réseau sûres et souveraines
L’utilisation du cloud, le travail indépendant de l’endroit où l’on se trouve et la dispersion des sites exigent de nouvelles approches en matière de sécurité des réseaux et des accès. L’accent est mis sur les architectures qui reposent sur des principes clairs de confiance zéro et qui permettent un accès sécurisé aux applications tout en répondant aux exigences réglementaires en matière de protection des données, de stockage des données et de souveraineté.
3. sécurité pour la production et les infrastructures critiques
Dans l’environnement industriel en particulier, la pression augmente pour mieux protéger les installations de production et les réseaux OT, non seulement contre les logiciels malveillants classiques, mais aussi contre les manipulations ciblées qui interviennent directement dans les processus physiques. T-Systems regroupe pour cela son savoir-faire en matière de sécurité IT et OT et s’adresse ainsi à des secteurs tels que la fabrication, l’approvisionnement en énergie, le transport ou la santé.
Ces points forts constituent le noyau de ce qui est aujourd’hui considéré comme l’état de l’art en matière de cybersécurité : une surveillance continue, des architectures résistantes et une vision intégrée de l’informatique, de l’OT et des processus métier.
Indépendamment du secteur ou de la taille, quelques recommandations claires peuvent être formulées :
1. commencer par un état des lieux
Plutôt que d’introduire immédiatement des produits ou des outils individuels, la première étape devrait être une évaluation structurée : Où en sommes-nous selon les fonctions NIST ? Quels sont les systèmes, les données et les processus critiques ? Quelles sont les exigences réglementaires en vigueur ?
2. faire de la sécurité une priorité
La cybersécurité fait partie de la gestion des risques et du pilotage de l’entreprise. Des responsabilités claires, des rapports réguliers à la direction et une approche coordonnée avec la conformité, la protection des données et les services spécialisés sont essentiels.
3. passer de « Nous sommes en sécurité » à « Assume Breach »
Des attaques auront lieu – la question est de savoir à quel point on est préparé. Les entreprises devraient s’attendre à ce que quelques mesures de protection soient contournées à un moment ou à un autre et se concentrer en conséquence sur une détection rapide, une réaction structurée et une restauration robuste. Les services gérés de détection et de réponse sont ici un élément essentiel.
4. intégrer la sécurité dans les projets de numérisation et de cloud
Les nouvelles applications, les migrations Cloud ou les concepts de travail à distance devraient être pensés dès le départ avec une architecture de sécurité. Il est nettement plus efficace d’intégrer la sécurité dans la planification que de la « rajouter » après coup.
5. établir une amélioration continue
La sécurité n’est pas un projet, mais un processus. Des évaluations récurrentes, des tests d’intrusion, des mesures de sensibilisation et des exercices de test pour la réponse aux incidents et la récupération permettent à l’organisation de la sécurité de suivre l’évolution des menaces et de sa propre digitalisation.
Les grandes cyberattaques de 2025 montrent à quelle vitesse un incident technique peut se transformer en perte économique totale. Ceux qui considèrent encore la cybersécurité avant tout comme un centre de coûts sous-estiment le risque pour le chiffre d’affaires, la réputation et la conformité réglementaire.
Des cadres tels que le NIST Cybersecurity Framework et ISO/IEC 27001 offrent une structure claire permettant de penser la sécurité de manière globale – de l’identification à la protection, la détection, la réaction et la restauration. Ainsi, la cybersécurité devient non seulement un programme obligatoire, mais un facilitateur central pour une numérisation stable, fiable et pérenne.
