À l'heure du bilan de fin mai, la réalité de la cybersécurité en France donne le vertige. En à peine cinq mois – de janvier à fin mai 2026 – ce sont plus de 370 millions de données personnelles qui ont été exposées lors de plus de 230 incidents documentés, selon les recoupements des plateformes spécialisées FrenchBreaches et Vigilance Numérique. La France s'est hissée au rang de pays le plus attaqué d'Europe, et le deuxième mondial au premier trimestre. Chaque semaine de mai a apporté son lot de nouvelles fuites : données clients d'e-commerçants, données de séjours hôteliers, données scolaires, et même le jeu en ligne Dofus/Ankama. Pendant ce temps, la CNIL publiait un rapport soulignant un record historique de notifications de violations de données. Ce bilan de mi-année doit sonner comme une alerte : l'été approche, et les cybercriminels ne prennent pas de congés.
La semaine du 18 au 30 mai : fuites e-commerce, hôtellerie et données scolaires
E-commerce et hôtellerie : vos habitudes de consommation exposées
Les dernières semaines de mai ont confirmé une tendance lourde : les fuites de données touchent désormais massivement le secteur du commerce en ligne et de l'hébergement touristique, deux domaines où les Français partagent volontiers leurs informations personnelles et bancaires. Le 18 mai, deux nouvelles fuites confirmées ont exposé des données clients complètes : pour l'une, des noms, prénoms, adresses e-mail, numéros de téléphone, données de compte client et historiques d'achat ; pour l'autre, des noms, adresses postales, e-mails, numéros de téléphone, dates de séjour et nombres de nuitées dans des établissements hôteliers. Ces données de consommation, en apparence anodines, sont particulièrement précieuses pour les cybercriminels : elles permettent de construire des arnaques ciblées d'une précision redoutable, exploitant vos vraies habitudes de consommation pour vous faire baisser la garde.
Le croisement de ces données avec les fuites antérieures – ANTS, Florajet, Mondial Relay – permet désormais à un attaquant de connaître votre identité civile, vos habitudes de livraison, vos destinations de vacances et vos habitudes d'achat. C'est l'ensemble de votre empreinte numérique de consommateur qui se reconstitue progressivement sur les marchés cybercriminels.
Données scolaires : les enfants et parents encore ciblés
Le 12 mai, de nouvelles données liées à des établissements scolaires ont circulé sur les forums spécialisés, incluant noms, prénoms, situation familiale et école de rattachement d'élèves. Ce type de fuite, qui s'accumule depuis le piratage d'ÉduConnect en avril (3,5 millions d'élèves concernés), construit une base de données de plus en plus fine sur les familles françaises. Les parents d'élèves restent une cible de phishing de premier ordre : la combinaison nom de l'enfant + établissement scolaire + contact parental produit des messages d'escroquerie d'une efficacité redoutable, jouant sur l'inquiétude parentale.
Les mois de juin à août concentrent historiquement une recrudescence des arnaques en ligne : faux sites de location de vacances, phishing lié aux réservations d'hôtels et de transports, arnaques aux colis de retour de voyage. En 2026, avec des bases de données massives sur les habitudes touristiques des Français désormais entre les mains de cybercriminels, ces arnaques seront plus personnalisées et plus crédibles que jamais. Préparez votre sécurité numérique avant de partir.
Dofus / Ankama : même les jeux vidéo ne sont plus épargnés
Le 30 avril 2026, l'éditeur Ankama – créateur du célèbre jeu en ligne français Dofus, qui compte des millions de joueurs – a confirmé un piratage de sa base de données et notifié la CNIL conformément au RGPD. Les données potentiellement exposées incluent les informations de compte des joueurs : adresses e-mail, pseudonymes, dates de naissance et, selon les profils, coordonnées de facturation. Si Ankama n'a pas précisé le volume exact de comptes concernés, la base active de Dofus représente plusieurs millions d'utilisateurs en France et dans le monde francophone.
Ce piratage illustre une réalité souvent négligée : vos comptes de jeux vidéo sont des cibles autant que vos comptes bancaires. Ils contiennent des données personnelles réelles, parfois des coordonnées de paiement, et sont souvent protégés par des mots de passe moins robustes que ceux des services financiers – et surtout réutilisés sur d'autres plateformes. Un compte Dofus compromis dont le mot de passe est identique à celui de votre messagerie, c'est votre boîte mail entière qui tombe.
Le rapport CNIL : un record historique qui confirme la crise structurelle
La Commission nationale de l'informatique et des libertés a publié en mai 2026 son rapport annuel d'activité, révélant un chiffre sans précédent : 6 167 notifications de violations de données reçues en 2025, soit un record absolu depuis la mise en application du RGPD en 2018. Cela représente une moyenne de 17 notifications par jour, contre environ 13 en 2024. Ce chiffre ne couvre que les violations notifiées officiellement – les experts estiment que la très grande majorité des incidents ne sont jamais déclarés, particulièrement dans les PME et les associations.
En parallèle, la plateforme 17Cyber (successeur de Cybermalveillance.gouv.fr) a traité plus d'un million de demandes d'assistance en 2026, confirmant que le piratage de comptes personnels – messagerie, banque, réseaux sociaux, espace fiscal – est devenu un phénomène de masse qui touche toutes les catégories de la population française. La CNIL souligne par ailleurs que le délai moyen de détection d'une intrusion reste de 167 jours en France : un attaquant a en moyenne plus de cinq mois pour exploiter un accès compromis avant d'être détecté.
Selon l'étude Surfshark publiée en avril 2026, la France a enregistré 23,5 millions de comptes compromis au seul premier trimestre 2026, soit +108,6 % par rapport au T4 2025. Depuis janvier 2026, le cumul dépasse les 370 millions de données exposées sur 230+ incidents documentés. La France devance des pays bien plus peuplés comme l'Inde ou le Brésil. Derrière ce chiffre : une surface d'attaque massive (nombreux services numériques publics et privés centralisés), une adoption rapide de l'IA par les attaquants, et un retard structurel dans les investissements de cybersécurité des PME et des administrations.
Le panorama des groupes ransomware actifs contre la France
Au-delà des fuites de données grand public, les entreprises françaises font face à une menace ransomware qui s'industrialise. Selon les analyses de i-lead Consulting, cinq groupes concentrent plus de la moitié des attaques contre les entreprises françaises en 2025-2026 : Akira (spécialisé PME-ETI via VPN non patchés), RansomHub, Qilin (santé et collectivités), DragonForce et Medusa. Ces groupes opèrent selon un modèle Ransomware-as-a-Service (RaaS) : ils louent leur infrastructure à des affiliés qui lancent les attaques, encaissent les rançons et reversent une commission. Ce modèle économique explique l'explosion du nombre d'attaques : en 2026, plus de 320 collectivités françaises ont été victimes de cyberattaques significatives, avec des conséquences parfois paralysantes pour les services publics locaux. Le coût moyen d'une attaque par ransomware pour une PME française se situe entre 130 000 et 250 000 euros, interruption d'activité incluse.
Ce que tout cela signifie pour vous : le bilan de 5 mois de crise
De janvier à fin mai 2026, la cybermenace en France a changé de nature. Elle n'est plus exceptionnelle – elle est permanente, systémique et personnalisée. Les données de dizaines de millions de Français circulent désormais sur les marchés noirs du dark web : identité civile (ANTS), données médicales (Cegedim), données bancaires (FICOBA), données scolaires (ÉduConnect), données de consommation (Florajet, Mondial Relay, Dofus)… Chaque nouvelle fuite affine le profil disponible sur chaque Français, rendant les futures tentatives de phishing et d'usurpation d'identité plus crédibles et plus difficiles à détecter.
La bonne nouvelle – si tant est qu'il y en ait une – est que les contre-mesures individuelles restent d'une efficacité prouvée. Les attaques de credential stuffing échouent sur les comptes protégés par des mots de passe uniques. Le phishing le plus sophistiqué bute sur la règle « jamais de clic sur un lien reçu par SMS ou e-mail ». La 2FA stoppe la quasi-totalité des tentatives d'accès non autorisé même quand le mot de passe est connu.
Checklist de sécurité avant l'été : 7 actions prioritaires
- Auditez tous vos comptes de jeux vidéo et plateformes de loisirs – Dofus, Steam, PlayStation Network, services de streaming : ces comptes contiennent vos données personnelles et souvent vos coordonnées bancaires. Changez les mots de passe réutilisés, activez la 2FA partout où c'est possible. Générez des mots de passe uniques via notre générateur de mot de passe sécurisé.
- Vérifiez toutes vos adresses e-mail sur Have I Been Pwned – y compris les adresses secondaires et celles que vous avez utilisées pour des inscriptions de loisirs. Sur haveibeenpwned.com, activez les alertes automatiques pour être prévenu en temps réel. Guide complet : notre article dédié.
- Adoptez un gestionnaire de mots de passe avant les vacances – voyager avec des dizaines de mots de passe uniques en tête est impossible. Bitwarden (gratuit, open-source) ou 1Password gèrent ça pour vous, sur tous vos appareils, même en déplacement. Indispensable – notre article complet.
- Activez la 2FA sur vos comptes de voyage et de réservation – Airbnb, Booking, SNCF Connect, Ameli, impôts.gouv.fr. Si votre compte de réservation est compromis, un attaquant peut modifier vos réservations, accéder à vos justificatifs de domicile et vous extorquer. Notre guide 2FA vs Passkeys en 2026.
- Méfiez-vous des confirmations de réservation qui arrivent par e-mail ou SMS cet été – avec des bases de données sur les habitudes touristiques désormais en circulation, les faux e-mails de confirmation d'hôtel, de location ou de transport seront particulièrement crédibles. Accédez toujours directement à votre espace client via votre navigateur, jamais via un lien reçu par message.
- Signalez les tentatives d'arnaque – SMS au 33700, sites frauduleux sur Pharos (internet-signalement.gouv.fr), plainte en ligne sur THESEE pour les escroqueries en ligne. En cas de phishing avéré ou de compromission de compte, la plateforme 17Cyber (successeur de cybermalveillance.gouv.fr) offre une assistance gratuite et personnalisée.
- Informez vos proches, notamment les seniors et les adolescents – les seniors sont la première cible des arnaques à l'usurpation d'identité exploitant des données d'état civil réelles. Les adolescents, très actifs sur les jeux en ligne et les réseaux sociaux, réutilisent massivement leurs mots de passe. Ces deux catégories sont particulièrement exposées cet été.
Conclusion : fin mai 2026, la crise cyber française est structurelle – votre bouclier personnel est plus important que jamais
Cinq mois, 370 millions de données exposées, 230+ incidents, un record CNIL, un État qui investit 200 millions d'euros en urgence, des hackers âgés de 15 à 21 ans interpellés chaque semaine : 2026 restera dans les annales de la cybersécurité française comme l'année du basculement. Celui où les données personnelles des Français sont passées du statut d'actif protégé à celui de ressource largement disponible sur les marchés criminels.
Face à cette réalité, attendre que l'État ou les entreprises que vous utilisez sécurisent vos données n'est plus une stratégie viable. Votre bouclier personnel – mots de passe uniques et longs, 2FA systématique, gestionnaire de mots de passe, vigilance face aux messages suspects – est la seule défense qui ne dépend que de vous et qui reste efficace quelle que soit la qualité de sécurité du service que vous utilisez.
Prenez 20 minutes ce week-end : auditez vos mots de passe sur Have I Been Pwned, générez des mots de passe forts pour vos comptes sensibles avec notre générateur de mot de passe sécurisé, et activez la 2FA sur votre messagerie principale et votre banque. C'est peu – mais c'est ce qui fait la différence entre une tentative de piratage qui échoue et une qui réussit.