Fuites de Données 2025-2026

État des lieux des violations de données personnelles déclarées en France et dans le monde. Ces incidents massifs exposent des millions de citoyens à des risques de fraude, d'usurpation d'identité et de cyberattaques.

8 613

Violations notifiées à la CNIL en 2025
(+45% vs 2024)

2,6 Md

Nouvelles données compromises en 2025
(+23% vs 2024)

40,3 M

Comptes français dérobés en 2025
(2e rang mondial)

3,8 M€

Coût moyen d'une violation en France

Alerte : La France, pays européen le plus impacté

En 2025, la France se distingue comme le pays européen le plus touché par les fuites de données. 24 fuites sont déclarées chaque jour, soit une par heure. 80 millions d'adresses postales françaises ont été rendues publiques sur le dark web.

Tendances et évolution

Changement de paradigme

Les fuites de 2025 marquent un tournant : les cybercriminels ne ciblent plus des victimes isolées, mais des prestataires mutualisés, éditeurs SaaS et plateformes centralisées. Une seule compromission peut exposer les données de millions d'utilisateurs.

  • +60% de fuites d'origine malveillante : phishing, vol d'identifiants, ransomwares
  • +30% d'attaques externes : via la chaîne d'approvisionnement et les prestataires tiers
  • 27 millions d'ordinateurs infectés par des infostealers (logiciels voleurs de données)
  • 1,35 milliard d'identifiants en clair en circulation sur le dark web
  • Délai moyen de 215 jours pour corriger une vulnérabilité détectée

Secteurs les plus touchés

Finance & Assurance

+143% d'incidents entre 2024 et 2025. Le secteur le plus sous pression avec 15% des notifications totales.

Administrations publiques

16% des violations. Cibles privilégiées avec des impacts massifs sur les citoyens.

Santé & Action sociale

Données médicales très sensibles. Forte exposition aux ransomwares.

Commerce de détail

25% des fuites mondiales. Secteur le plus ciblé selon Proton Observatory.

Technologie

12% des incidents. Éditeurs SaaS et plateformes cloud particulièrement visés.

Médias & Divertissement

11% des fuites. Bases clients massives exposées.

Incidents majeurs 2025-2026

1

Harvest (Février 2025)

Éditeur de logiciels patrimoniaux. Compromission d'identifiants avec contournement de l'authentification multifacteur. Impact systémique sur de multiples clients via un accès transversal.

2

Odido (Février 2026)

Opérateur télécom néerlandais. Cyberattaque ayant potentiellement exposé les données personnelles de 6,2 millions de clients.

3

Commission européenne (Février 2026)

Piratage de la plateforme de gestion des appareils mobiles. Compromission ayant conduit à l'exposition de données de membres du personnel.

4

Bumble, Match Group, SoundCloud (Début 2026)

Campagne d'hameçonnage vocal (vishing) menée par le groupe ShinyHunters. Multiples fuites de données importantes ciblant des entreprises technologiques.

5

Switch (Février 2025)

Opérateur français d'énergie et téléphonie mobile. Base de données de 19 313 fiches clients divulguée sur un forum par un pirate.

6

Volvo Group North America (2026)

Violation indirecte suite à la compromission de Conduent, géant des services aux entreprises. Illustration parfaite du risque lié aux prestataires tiers.

7

Conpet S.A. (Février 2026)

Opérateur national des oléoducs roumains. Attaque du groupe de ransomware Qilin avec vol de données sensibles.

8

URSSAF (2025)

Bug informatique ayant exposé les informations de 10 000 travailleurs indépendants sur le compte d'autres personnes.

9

Extensions Chrome malveillantes (2026)

Plus de 300 extensions Chrome prises en flagrant délit de vol de données. 37 millions de téléchargements cumulés exposant les utilisateurs au suivi et vol de données.

10

Louis Vuitton, Dior, Tiffany (2026)

Amende de 25 millions de dollars infligée par les autorités sud-coréennes pour mesures de sécurité insuffisantes ayant permis l'accès non autorisé.

Comprendre les vecteurs d'attaque

Phishing & Hameçonnage

En forte croissance. Les cybercriminels utilisent les données fuitées pour créer des campagnes ultra-personnalisées et crédibles. Le vishing (hameçonnage vocal) se généralise.

Infostealers

Logiciels malveillants qui siphonnent silencieusement les données enregistrées dans les navigateurs (mots de passe, cookies, historique). 27 millions d'ordinateurs infectés en 2025.

Vol d'identifiants

1,35 milliard d'identifiants en clair circulent sur le dark web. Absence de double authentification et réutilisation des mots de passe facilitent les compromissions.

Attaques via tiers

+30% en 2025. Les pirates compromettent un prestataire, fournisseur ou sous-traitant pour atteindre leurs véritables cibles. Risque systémique majeur.

Ransomware

Chiffrement des données avec exigence de rançon. Si non payée, les données sont divulguées publiquement après environ 10 mois et 17 jours en moyenne.

Vulnérabilités non corrigées

Délai moyen de 215 jours pour corriger une faille détectée. Les pirates exploitent cette fenêtre d'exposition pour infiltrer les systèmes.

Se protéger contre les fuites

Double authentification

À partir de 2026, obligatoire pour les entreprises avec +2 millions de personnes en base. 80% des violations 2025 auraient pu être évitées avec cette mesure.

Mots de passe uniques

Ne jamais réutiliser le même mot de passe. Utilisez un gestionnaire de mots de passe. Changez-les après chaque fuite signalée.

Surveillance active

Vérifiez régulièrement si vos données ont fuité avec des outils comme HaveIBeenPwned. Soyez alerté en cas de compromission.

Vigilance phishing

Les fuites alimentent des arnaques ultra-ciblées. Méfiez-vous des emails, SMS et appels même s'ils semblent légitimes.

Navigation sécurisée

Évitez d'enregistrer mots de passe dans le navigateur. Supprimez régulièrement cookies et historique. Utilisez un VPN.

Droit à l'effacement

Exercez vos droits RGPD ! Demandez la suppression de vos données aux entreprises qui n'en ont plus l'utilité.

Sanctions et régulation

Pôle Emploi - 5 M€

Amende de la CNIL en janvier 2026 pour manquements dans la gestion des données personnelles.

Louis Vuitton & co - 25 M$

Sanction sud-coréenne pour mesures de sécurité insuffisantes ayant permis des accès non autorisés.

Directive NIS2

Impose une gestion formalisée du risque tiers, cartographie des dépendances critiques et supervision continue.

Règlement DORA

Pour le secteur financier : gestion du risque informatique des tiers obligatoire avec audits réguliers.

Perspectives 2026

Menaces émergentes

Les experts anticipent l'arrivée de moteurs de recherche illégaux payants alimentés par les fuites de données. La menace hybride (numérique + physique) se développe : fraude au coursier, cambriolage, intimidation ciblée grâce aux 80 millions d'adresses postales françaises divulguées.

  • Professionnalisation accrue des groupes cybercriminels
  • Nouveaux acteurs attirés par la rentabilité du cybercrime
  • Généralisation de l'IA pour des attaques plus sophistiquées
  • Augmentation des attaques sur la chaîne d'approvisionnement
  • Risques physiques croissants liés aux données d'adresses

Protégez vos données dès maintenant

Face à l'explosion des fuites de données, exercez vos droits RGPD et demandez la suppression de vos informations personnelles aux entreprises.

Générer ma lettre Connaître mes droits

Sources et ressources

État des lieux ANOZR WAY 2025

Baromètre InCyber/Hexatrust 2026

Data Breach Observatory Proton 2026

Fuites Infos - Recensement en temps réel

Have I Been Pwned - Vérifiez vos données

Mise à jour : Avril 2026. Les données évoluent quotidiennement. Cette page compile les informations publiques disponibles sur les fuites de données déclarées. Pour signaler une nouvelle fuite ou une correction, contactez-nous.