Retour
Gestion des risques | publié par Loyco | 26.01.2026
Tendances cybersécurité

La Suisse face à une cybermenace en mutation: bilan 2025 et tendances 2026

Avec 65 000 incidents recensés, 2025 confirme une stabilité en volume mais une intensification qualitative des attaques. Lionel Ducommun, Cyber Project Manager, décrypte un paysage où ransomwares ciblés, phishing dopé à l’IA et supply chain compromises redéfinissent les risques. Quelles évolutions anticiper en 2026? Découvrez les clés pour renforcer votre résilience.

En 2025, la Suisse confirme une évolution déjà perceptible: si les 65 000 cyber incidents recensés (OFCS, 2025) montrent une certaine stabilité dans les volumes (63 000 en 2024), la sophistication et le ciblage des attaques progressent fortement.

Au-delà des chiffres, c’est l’intensité qualitative des menaces qui touchent des secteurs toujours plus sensibles qui marque l’année. On observe également des acteurs malveillants de mieux en mieux organisés utilisant des techniques de plus en plus difficiles à détecter. Notre pays, réputé pour sa résilience technologique, découvre que cette réputation doit être défendue sans relâche.

  • 26 % des signalements concernent encore les faux appels “police”, même si leur volume recule
  • 19 % relèvent de l’hameçonnage ciblé (phishing)
  • 9 % d’escroqueries à l’investissement via des publicités ou des faux services financiers
  • 104 attaques par ransomware ont été déclarées (contre 92 en 2024)
  • Les fraudes au directeur (CEO fraud) explosent: 970 cas en 2025, contre 719 en 2024

Ransomwares: une menace plus ciblée, plus destructrice

Sur l’ensemble de l’année 2025, 104 attaques par ransomware ont été officiellement signalées à l’OFCS (contre 92 en 2024). Derrière ce nombre relativement modeste se cache une évolution profonde des méthodes menées par deux groupes très actifs.

Les groupes criminels pratiquent désormais systématiquement:

  • le chiffrement.
  • puis la publication progressive des données volées si une rançon n’est pas versée.

Cette pression médiatique et réglementaire (nLPD) accroît les risques réputationnels pour les victimes.

Les attaques dites “supply chain” se multiplient et ciblent souvent des fournisseurs IT. En effet, une fois ceux-ci compromis, ils permettent d’atteindre plusieurs clients en cascade. C’est un scénario qui a été observé à plusieurs reprises en 2025 selon l’OFCS.

Akira, est un groupe de ransomwares fonctionnant selon un modèle “Ransomware-as-a-Service” (RaaS), très actif dans l’écosystème helvétique.
Il se distingue par:

  • un ciblage accru des entreprises industrielles et des PME;
  • une capacité à extraire des données sensibles avant chiffrement;
  • une présence persistante via des accès réseau compromis revendus sur le dark web.

LockBit, malgré une opération internationale de démantèlement partiel, reste présent via des affiliés.
Ces caractéristiques sont:

  • le chiffrement très rapide;
  • des outils d’automatisation avancés;
  • une plateforme de négociation structurée permettant de faire pression sur les victimes;
  • un “press kit” standardisé pour menacer de divulguer les données volées.

En 2025, environ 19 % des incidents signalés relèvent du phishing. Mais la nouveauté réside dans la crédibilité, l’immédiateté et l’automatisation de ces attaques.

Les cybercriminels achètent des publicités Google qui précèdent les vraies pages d’eBanking, trompant même les utilisateurs avertis. Ces campagnes permettent de dérober par exemple:

  • des identifiants bancaires;
  • des accès TWINT;
  • des numéros de carte.

Grâce à des outils automatisés capables d’intercepter les codes d’authentification multifactorielle (MFA), les criminels peuvent neutraliser certaines protections MFA. Ce phénomène a été recensé à plusieurs reprises dans des banques suisses en 2025.

Les messages frauduleux générés par des IA sont devenus quasiment indétectables:

  • logos parfaits;
  • style rédactionnel crédible;
  • faux conseillers bancaires générés par IA dans certains cas.

L’ingénierie sociale assistée par l’IA est désormais une réalité opérationnelle qu’utilisent massivement les attaquants.

Alors à quoi s’attendre pour 2026 et quelles sont les tendances et les mesures à venir?

Plusieurs analyses (WatchGuard, dcod.ch) convergent et alertent pour 2026, sur l’apparition d’agents malveillants autonomes, capables de:

  • scanner;
  • exploiter;
  • muter ou évoluer si nécessaire;
  • et persister sans intervention humaine.

Ces agents permettront de réduire encore drastiquement le temps entre l’intrusion et l’exploitation des failles et des données collectées.

Le modèle ransomware va continuer d’évoluer vers le “pure extortion”:

  • vol de données → menace → publication.

Cette approche rapide contourne les défenses traditionnelles basées sur le chiffrement et la sauvegarde.

Le CRA est entré en vigueur le 10 décembre 2024 au niveau européen mais les obligations de déclaration s’appliqueront à partir du 11 septembre 2026. Le CRA vise à protéger les consommateurs et les entreprises qui achètent des outils IT et des logiciels, en visant à garantir que tous les produits numériques soient à l’abri des cybermenaces.

Ses implications majeures:

  • obligation d’intégrer la cybersécurité dès la conception (“securebydesign”)
  • responsabilité des fabricants sur l’ensemble du cycle de vie du produit numérique, exigences sur la correction proactive des vulnérabilités
  • transparence accrue sur les incidents et les failles exploitées
  • mise en place d’un cadre harmonisé pour les produits matériels, logiciels et services connectés

Les produits porteront le marquage «CE» pour indiquer qu’ils sont conformes aux exigences du CRA et les autorités nationales de surveillance du marché veilleront à l’application de ces règles. Pour les entreprises suisses travaillant avec l’UE (ou exportant vers elle), ces exigences deviendront incontournables dès 2026-2027.

Le bilan 2025 confirme que la Suisse n’est plus simplement un pays ciblé “par opportunité”, mais un espace stratégique pour les cybercriminels, qu’ils soient étatiques, financiers ou opportunistes.

Nos organisations doivent donc continuer à renforcer:

  • leur posture de prévention au travers de la formation continue de leurs collaborateurs;
  • leurs capacités de détection;
  • leurs pratiques de gouvernance.

Loyco accompagne ses clients face aux cybermenaces

En 2025, Loyco a accompagné plus de 20 clients principalement sur les trois piliers que sont:

  • la formation / sensibilisation aux risques cyber;
  • l’accompagnement à l’obtention d’une cyber assurance;
  • la mise en conformité aux exigences de la loi sur la protection des données (nLPD).

Une dynamique que nous souhaitons renforcer en 2026 pour permettre à chaque organisation, PME, collectivité, institution, de gagner en résilience face à un paysage cyber en pleine mutation.

Contactez-nous!

Lionel Ducommun - Cyber Project Manager

Lionel Ducommun
Project manager chez Loyco et BenefitMe & Accompagnement global en cybersécurité
Contactez Lionel par email

NDLR: Cet article a été rédigé en français et traduit de manière automatique en anglais et en allemand.
Voir toutes les actualités