Panorama 2025 - Ingérences économiques

En 2025, le Service de l’information stratégique et de la sécurité économiques (SISSE), service à compétence nationale rattaché à la Direction générale des entreprises (DGE) du ministère de l’Économie, a traité 750 alertes et coordonné plus de 110 contrôles sur pièces et sur place. Sa mission est opérationnelle : détecter, caractériser et traiter les menaces étrangères pesant sur les actifs stratégiques français, qu’il s’agisse de rachats hostiles sur des pépites technologiques, de tentatives de prédation sur la propriété intellectuelle d’un laboratoire, ou de risques juridiques liés à l’exposition d’une entreprise à des législations étrangères à portée extraterritoriale. Pour chaque alerte, le SISSE coordonne un plan de réponse interministériel et accompagne les acteurs visés dans la résolution de leur situation.

Côté cybersécurité, l’ANSSI a recensé 1 366 incidents confirmés en 2025, un volume quasiment identique à 2024 (1 361 incidents) alors même qu’aucun événement majeur comparable aux JO de Paris n’a gonflé les signalements cette année. La menace ne faiblit donc pas : elle se maintient sur un plateau élevé, hors effet conjoncturel. Quatre secteurs concentrent l’essentiel des incidents : l’éducation et la recherche (34 %), les ministères et collectivités territoriales (24 %), la santé (10 %) et les télécommunications (9 %). Les exfiltrations de données bondissent de 51 %, avec 196 cas portés à la connaissance de l’agence, contre 130 l’année précédente. L’ANSSI observe toutefois que plus de 60 % des revendications d’attaques avec vol de données sont infondées ou exagérées, relevant selon le directeur général du bluff ou du recyclage de données déjà publiques. Les 34 % des ETI françaises ayant subi au moins une cyberattaque significative en 2025 offrent une proportion qui paraît modérée au regard des grandes entreprises (50 %), mais 81 % de celles touchées constatent un impact direct sur leur activité (ANSSI, Panorama de la cybermenace 2025, mars 2026).

Le contexte géopolitique alimente directement cette pression. La compétition technologique sino-américaine, la guerre en Ukraine, les tensions au Moyen-Orient ou la guerre tarifaire transatlantique constituent autant de foyers de friction qui se traduisent par des opérations de captation visant le tissu économique français. Les modes opératoires offensifs restent principalement attribués à des acteurs liés aux services de renseignement russes et chinois, à des fins d’espionnage ou de prépositionnement sur des marchés critiques, mais les frontières entre acteurs étatiques et cybercriminels s’érodent :les attaquants se spécialisent tout en partageant outils et méthodes. Par ailleurs, des modes d’action auparavant réservés à ces acteurs étatiques sont aujourd’hui largement utilisés par des organisations privées - sociétés concurrentes prédatrices - ainsi que par des organisations criminelles dont la finalité n’est pas tant l’obtention d’un avantage en matière commerciale que l’enrichissement personnel.

Les faits observés au cours de l’année 2025 témoignent de la diversité des menaces, allant des usages numériques aux risques liés à l’intelligence artificielle, et couvrent un spectre particulièrement large : usages numériques personnels en contexte professionnel, facteur humain comme vecteur de compromission , défaillances en matière de sûreté bâtimentaire, chercheurs étrangers dans les programmes académiques, absence de protection des logiciels industriels, approches malveillantes sur les réseaux sociaux professionnels etc. L’intérêt de cette lecture croisée ne réside pas dans les cas eux-mêmes, qui restent par nature anonymisés, mais dans les schémas récurrents qu’elle met en évidence, que l’on peut regrouper en quatre grandes failles structurelles, détaillées ci-après.

Le facteur humain reste la première vulnérabilité

Les budgets de cybersécurité n’ont jamais été aussi élevés en France, pourtant les incidents les plus coûteux ne résultent pas de failles logicielles mais de comportements individuels qui contournent l’ensemble des dispositifs techniques en place. Le SISSE estime que 35 % de ses 750 alertes annuelles portent sur la captation d’informations sensibles, c’est-à-dire sur des situations où de l’information sort de l’entreprise par un canal non maîtrisé. En parallèle, l’ANSSI observe que les les pare-feux, passerelles VPN et concentrateurs - qui constituent la première ligne de défense d’un système d’information - restent les cibles les plus prisées des attaquants. En 2025, des failles dans les produits Ivanti, Fortinet, Citrix et Microsoft SharePoint ont été exploitées massivement, et 29 % des vulnérabilités exploitées l’ont été le jour même de leur divulgation, voire avant. Cela réduit considérablement la fenêtre de réaction des équipes techniques et rend l’erreur humaine d’autant plus critique (SISSE, données 2025 ; ANSSI, Panorama 2025). Ce qui doit retenir notre attention, c’est la banalité de ces scénarios. La généralisation du télétravail et du BYOD (Bring Your Own Device, c’est-à-dire l’utilisation d’équipements personnels à des fins professionnelles) a élargi la surface d’attaque bien au-delà du périmètre maîtrisé par la DSI. Chaque terminal personnel non sécurisé utilisé pour accéder à la messagerie professionnelle constitue un point d’entrée potentiel, et les politiques internes n’ont en général pas suivi cette dispersion des usages créant un décalage entre la réalité des pratiques et le périmètre couvert par les mesures de sécurité.

Le paradoxe de l’ouverture

La France fait de l’attractivité économique et scientifique une politique publique volontariste. Le sommet Choose France, l’accueil de chercheurs étrangers, les partenariats académiques internationaux, le développement du tourisme industriel : autant d’initiatives légitimes qui visent à valoriser les savoir-faire français, renforcer le lien entre tissu industriel et population, et soutenir la création d’emplois. En 2022, la DGE recensait 20 millions de visiteurs pour 3 500 entreprises ouvertes au public, en hausse de 25 % en trois ans. Les secteurs les plus concernés sont l’agroalimentaire, l’énergie, l’artisanat et les cosmétiques (DGE, repris par DGSI, Flash n°110, février 2025).

Cette dynamique d’ouverture est saine et nécessaire, et personne ne saurait suggérer de l’abandonner, mais elle crée mécaniquement des points d’accès pour des acteurs dont les intentions relèvent de l’espionnage industriel ou du repérage préalable à une opération d’ingérence. En conséquence, ces visites doivent faire l’objet d’un cadre précis, préparé en amont, avec un discours maîtrisé ne contenant aucun élément confidentiel, et une vigilance soutenue sur l’usage des appareils photo et smartphones en zone de production, ainsi qu’une segmentation claire entre ce qui peut être montré et ce qui ne doit pas l’être –notamment via la mise en place de parcours de notoriété.

Le déficit de protection de la propriété intellectuelle

Le SISSE souligne que près de 40 % de ses alertes relèvent de menaces capitalistiques, recouvrant les tentatives d’acquisition d’entreprises détentrices de brevets non valorisés, les prises de contrôle progressives par un actionnaire étranger, ou les opérations de rachat ciblant des PME innovantes dont les technologies intéressent un État ou un concurrent étranger. En 2024, les autorisations d’investissements étrangers assorties de conditions ont augmenté de 65 % par rapport à 2023, et le vivier d’entreprises actuellement soumises à des engagements de suivi approche les 200 entités.

L’un des problèmes de fond en matière d’ingérence, et en amont même du dispositif de contrôle étatique, est que trop de PME et d’ETI innovantes continuent de traiter leur propriété intellectuelle comme un sujet juridique secondaire. Certaines renoncent au dépôt de brevet par crainte de révéler leurs inventions dans la publication, sans mesurer que l’absence de protection formelle les expose bien davantage : sans titre de propriété, il n’existe aucun recours juridique opposable en cas de copie. D’autres s’appuient sur des clauses contractuelles de confidentialité qui se révèlent insuffisantes face à des départs de salariés déterminants ou à des partenariats mal encadrés. Le rapport de l’Assemblée nationale déposé en mai 2025 par les députés Jolivet et de Lépinau, préconise à cet égard la création d’une délégation parlementaire à la sécurité économique et la formalisation d’une stratégie nationale d’intelligence économique par voie d’instruction interministérielle : signe que l’appareil institutionnel lui-même reconnaît les lacunes du dispositif actuel (Assemblée nationale, Rapport n°1453, mai 2025).

L’ingénierie sociale via les réseaux professionnels.

L’ingénierie sociale désigne un ensemble de techniques visant à collecter des informations sur un individu avant de l’approcher pour obtenir un bien, une information ou un accès, en exploitant des ressorts psychologiques. Les services de renseignement recourent à cette pratique en s’appuyant sur les quatre leviers du MICE : Money (difficulté financière, apptât du gain), Ideology (conviction idéologique), Compromise (situation compromettante), Ego (flatterie professionnelle, reconnaissance). Les réseaux sociaux professionnels offrent un terrain idéal pour ce type d’approche : ils concentrent en un même espace le profil, le parcours, les compétences, les centres d’intérêt et parfois les frustrations d’un individu. Cette surabondance de données en libre accès permet à des escrocs, des réseaux criminels ou des intermédiaires agissant pour le compte d’États étrangers de repérer des cibles, de cartographier des écosystèmes et de préparer des approches calibrées.

Plusieurs cas documentés en 2025 mettent en évidence l’exploitation systématique de vulnérabilités psychologiques : difficulté financière, besoin de financement, recherche d’emploi. Le point commun de ces scénarios est qu’ils ciblent des individus en situation de fragilité temporaire, à un moment où leur vigilance est naturellement abaissée. Le caractère dématérialisé de l’approche joue en faveur de l’attaquant : une demande de connexion, un message flatteur ou une opportunité d’investissement paraissent moins menaçants en ligne qu’en face à face. La distance numérique atténue le sentiment de risque. La menace ne vise pas nécessairement le sommet de la hiérarchie mais le maillon le plus accessible, souvent un collaborateur isolé ou en difficulté, qui hésitera à signaler une approche ambigüe de peur de dévoiler des démarches personnelles. Ce silence crée un angle mort dont les attaquants tirent parti.

L’intelligence artificielle, dont les évolutions sont fulgurantes et exponentielles, créée un risque double. D’un côté, les usages internes non encadrés exposent les données de l’entreprise à des opérateurs étrangers, et de l’autre les usages offensifs de l’IA par des attaquants rendent les attaques plus crédibles et plus difficiles à détecter : phishing ultra-personnalisé par analyse automatisée des données de la cible, génération de contenus frauduleux imitant le style humain, hypertrucages vocaux et visuels, pollution de données d’entraînement, attaques par exemples contradictoires sur des systèmes critiques.

Dans la plupart des organisations, et malgré une prise de conscience de plus en plus marquée, l’adoption des outils d’IA par les équipes a pris plusieurs longueurs d’avance sur leur encadrement. L’outil arrive avant la règle, la productivité avant la sécurité, et la prise de conscience après l’incident. Autrement dit, le cadre d’emploi de l’IA doit être explicité dans la charte informatique, et des formations internes doivent être mises en place pour démystifier l’IA tout en développant une culture de la cybersécurité adaptée à ces nouveaux outils. Il est également préconisé de privilégier les IA locales, installées et exécutées directement sur le système d’information de l’entreprise, sans connexion à des serveurs externes.

Le deepfake mentionné en ouverture de cette note est la face la plus spectaculaire d’un problème plus profond. Le véritable enjeu pour un dirigeant se situe dans l’accumulation silencieuse de risques liés à des usages quotidiens non maîtrisés : des documents confidentiels soumis à des outils en version gratuite, des processus de décision délégués à des algorithmes sans supervision qualifiée, des biais non identifiés qui orientent des choix stratégiques. Comme le rappelle la DGSI, l’analyse d’un outil d’IA requiert des compétences spécifiques que ne possède pas un utilisateur régulier, même expérimenté : la simplicité d’utilisation de ces outils peut donner l’illusion d’une maîtrise qui n’existe pas.

L’appareil institutionnel français ne cesse de monter en puissance. Le 22 mai 2025, le Comité d’évaluation et de contrôle des politiques publiques de l’Assemblée nationale autorise la publication du rapport d’évaluation du contrôle des investissements étrangers en France (rapport n°1453, rapporteurs Jolivet et de Lépinau). Ce rapport formule une vingtaine de recommandations dont notamment parmi les plus structurantes : la création d’une délégation parlementaire à la sécurité économique, commune aux deux assemblées, chargée de surveiller l’activité du CIEF et le respect des conditions imposées aux investisseurs ; la formalisation d’une stratégie nationale d’intelligence économique pilotée par le SGDSN ; et le soutien à la mise en place d’un contrôle des investissements sortants, corollaire du dispositif actuel de filtrage des investissements entrants.

Le SISSE se dote d’outils de data science pour repérer plus tôt les signaux faibles et s’appuie sur son réseau de 23 délégués régionaux (les DISSE), positionnés dans les services déconcentrés sous l’autorité des préfets de région. De nouveaux secteurs intègrent le périmètre de contrôle des IEF : matières premières critiques, technologies bas-carbone, quantique, santé numérique. La loi de blocage de 1968, renforcée par le décret du 18 février 2022, offre un recours aux entreprises confrontées à des demandes intrusives d’autorités étrangères : le SISSE assure le rôle de guichet unique pour l’accompagnement de ces entreprises. La transposition de la directive NIS 2, couplée à l’entrée en vigueur du Cyber Resilience Act européen, élargit les obligations de cybersécurité à un périmètre considérablement plus large d’entités.

Pour autant, la responsabilité première incombe toujours et plus que jamais aux entreprises elles-mêmes. Il est illusoire de penser qu’en matière de protection économique l’État peut tout et doit tout. S’il peut filtrer les acquisitions hostiles, alerter sur les modes opératoires ou accompagner les victimes, il ne peut pas empêcher un salarié de verser des documents confidentiels dans un outil d’IA grand public, ni un dirigeant de start-up de dévoiler sa roadmap à un faux investisseur, ou encore un laboratoire d’organiser un atelier ouvert dans une zone protégée.

Dans notre pratique, les organisations qui résistent le mieux partagent des caractéristiques communes. Premièrement, elles n’attendent pas la crise mais anticipent, analysent pour comprendre et structurent leur gouvernance. Elles disposent ainsi d’une cartographie actualisée de leurs actifs sensibles et des risques associés ; elles ont formalisé une doctrine d’usage de l’IA avant que les outils ne se répandent dans les équipes ; elles traitent sûreté physique et cybersécurité comme un même continuum.

Elles ont également compris que la sensibilisation des collaborateurs n’est pas un exercice annuel de conformité mais un investissement continu. En matière de protection contre les ingérences économiques, l’humain est le premier rempart, et la première faille. C’est parce que les collaborateurs ont été entrainés à repérer des schémas inhabituels, à détecter une approche non conventionnelle et à systématiser la remontée d’informations que l’entreprise est protégée. Comprendre pour prévoir, savoir pour neutraliser.

Enfin, elles ont également conscience qu’aucune organisation n’est invulnérable et que la meilleure des préparation - technique, organisationnelle, humaine - ne saurait à elle seule empêcher la survenance d’une menace. En ce sens, la préparation à la gestion de crise est un indispensable auquel elles souscrivent pleinement : plan de crise, exercices réguliers, amélioration continue, elles se dotent ainsi d’outils opérationnels pragmatiques leur permettant de contenir les effets d’une ingérence réussie.

Les autres découvrent le sujet quand l’incident survient. Et à ce stade, les options sont toujours plus coûteuses et plus limitées.