Cybermalveillance.gouv.fr

01 — DéfinitionQu'est-ce que Cybermalveillance.gouv.fr ?

Cybermalveillance.gouv.fr est le dispositif national français d'assistance et de prévention contre la cybermalveillance. Il est opéré par le GIP ACYMA (Groupement d'Intérêt Public ACtion contre la CYberMAlveillance), créé en 2017 par l'État et ses partenaires.

Cybermalveillance.gouv.fr est complémentaire de deux autres plateformes officielles : THESEE (pré-plainte en ligne pour les escroqueries numériques, depuis 2022) et PHAROS (signalement des contenus illicites en ligne, opéré par l'OCLCTIC depuis 2009). Cybermalveillance pour le diagnostic et l'orientation, THESEE pour la pré-plainte officielle, PHAROS pour signaler un contenu — les trois services sont gratuits.

Pourquoi ce dispositif a été créé

Avant 2017, une victime de cybermalveillance en France avait peu d'interlocuteurs clairs :

• L'ANSSI ne traitait (et ne traite toujours) que les entités critiques (OIV, administrations centrales, grandes entreprises stratégiques).
• La police/gendarmerie prenait les plaintes mais n'apportait pas d'aide technique.
• La CNIL traitait les fuites de données personnelles mais pas les autres types d'incidents.
• Les particuliers, TPE/PME, collectivités, associations étaient livrés à eux-mêmes.

Face à l'explosion des cyberattaques touchant ces publics (ransomwares sur PME et mairies, arnaques grand public, piratages divers), l'État a créé Cybermalveillance.gouv.fr pour combler ce vide.

Statut juridique

• GIP ACYMA : Groupement d'Intérêt Public, structure juridique française permettant collaboration public-privé.
• Créé par convention constitutive en 2017.
• Membres : ANSSI, ministère de l'Intérieur, ministère de la Justice, CNIL, Association des maires de France, fédérations professionnelles, banques, assureurs, éditeurs cyber, opérateurs télécoms.
• Financement mixte : public + contributions des membres.
• Siège en région parisienne.

Évolution

• 2017 : lancement officiel.
• 2019-2020 : explosion de la notoriété avec les ransomwares massifs sur PME et collectivités.
• 2020 : création du label ExpertCyber avec AFNOR.
• 2021-2024 : croissance continue, millions de visiteurs annuels, des dizaines de milliers de victimes accompagnées.
• 2024+ : rôle renforcé dans la transposition NIS2, accompagnement des nouvelles entités essentielles/importantes.

Chiffres clés récents

• ~300 000 victimes accompagnées par an.
• ~3 millions de visiteurs annuels sur le site.
• 1000+ prestataires ExpertCyber référencés.
• Top 3 des demandes grand public : phishing, hameçonnage, piratage de compte, arnaques en ligne.
• Top 3 des demandes professionnels : ransomware, piratage de messagerie pro, fraude au président.

Cybermalveillance.gouv.fr a comblé un vide critique dans l'écosystème français : celui de l'aide aux victimes qui ne relèvent pas de l'ANSSI. En créant un point d'entrée unique, un diagnostic guidé et un réseau de prestataires labellisés, le dispositif a structuré l'aide aux petites structures qui sont pourtant les plus ciblées en volume.

02 — PublicsQui s'adresse à Cybermalveillance

Particuliers

Le grand public est le principal utilisateur du site. Incidents typiques :

• Phishing cliqué (faux mails impôts, banque, colis).
• Piratage de compte email, réseau social, service.
• Usurpation d'identité.
• Arnaques en ligne : chantage sextorsion, fausses annonces, faux site e-commerce.
• Faux support technique (« Microsoft vous appelle... »).
• Ransomware personnel (rare mais existant).
• Cyberharcèlement.
• Vol d'appareil avec données.

TPE et PME

Entreprises de moins de 250 salariés, cible majeure des cyberattaques. Incidents typiques :

• Ransomware : chiffrement du système, demande de rançon.
• Piratage de messagerie professionnelle.
• Fraude au président et fraude au fournisseur.
• Compromission de site web : défacement, injection de code, revente.
• Phishing ayant touché des employés.
• Fuite de données clients.
• DDoS.

Ces structures n'ont généralement pas de RSSI et ont besoin d'aide immédiate pour : comprendre ce qui leur arrive, savoir quoi faire dans l'urgence, trouver un prestataire local, gérer les aspects juridiques et communicationnels.

Collectivités territoriales

Cible particulièrement touchée ces dernières années :

• Communes, intercommunalités, départements, régions.
• Incidents médiatisés : Angers 2023, Marseille 2020, nombreuses mairies victimes de ransomware.
• Services municipaux paralysés : état civil, cantine, bibliothèques, paiements.
• Impact public direct.

L'Association des maires de France (AMF) est membre du GIP ACYMA, facilitant l'accompagnement spécifique des collectivités.

Associations

• Budget et moyens informatiques limités.
• Données sensibles (bénéficiaires, adhérents, donateurs).
• Phishing, ransomware fréquents.

Professions libérales

• Avocats, médecins, comptables, architectes, notaires.
• Données clients très sensibles (secret professionnel).
• Cibles de ransomware et d'attaques ciblées.

Publics HORS périmètre

Certaines entités relèvent d'autres dispositifs :

• Grandes entreprises : ont leurs propres RSSI et équipes sécurité.
• OIV (Opérateurs d'Importance Vitale) : contact direct ANSSI et CERT-FR.
• Administrations centrales, ministères : dispositif ANSSI dédié.
• Banques et opérateurs financiers majeurs : ACPR + équipes internes.

03 — ServicesCe que propose Cybermalveillance

Diagnostic en ligne

Outil gratuit et anonyme. Parcours guidé pour :

• Identifier précisément le type d'incident subi.
• Déterminer si c'est effectivement une cyberattaque (vs problème technique simple).
• Orienter vers les bonnes actions immédiates.
• Obtenir une fiche réflexe personnalisée.

Le diagnostic prend quelques minutes. Questions adaptées selon les réponses (arbre décisionnel intelligent).

Fiches réflexes

Pour chaque type d'incident, une fiche dédiée explique :

• Actions immédiates (que faire dans les premières minutes/heures).
• Préservation des preuves (captures d'écran, logs, emails).
• Démarches administratives et juridiques (plainte, déclaration assurance, CNIL).
• Contacts utiles selon le cas.
• Recommandations pour éviter la récidive.

Mise en relation avec des prestataires ExpertCyber

• Plus de 1000 prestataires labellisés en France.
• Filtrage par localisation géographique (important pour interventions sur site).
• Filtrage par spécialité : audit, assistance incident, formation, installation, protection données.
• Fiche détaillée de chaque prestataire (coordonnées, spécialités, références).
• Mise en relation directe — les prestataires sont payants (tarifs variables).

Alertes et vigilance

• Publication régulière d'alertes sur les menaces en cours (campagnes de phishing, vulnérabilités critiques, ransomwares émergents).
• Reprise et diffusion des alertes CERT-FR.
• Articles d'actualité cyber accessibles au grand public.
• Newsletter mensuelle.

Sensibilisation

Supports pédagogiques gratuits pour :

• Grand public : vidéos, infographies, quiz, bonnes pratiques.
• Entreprises : kits de sensibilisation pour former ses équipes.
• Jeunes : contenus pour écoles et collèges.
• Seniors : contenus adaptés à la cible vulnérable aux arnaques.
• Réutilisables par les entreprises, formateurs, enseignants.

Espace professionnel dédié

• Ressources spécifiques TPE/PME.
• Kits d'urgence ransomware.
• Modèles de communication (mails aux clients après incident).
• Accompagnement mise en conformité NIS2.

Ce que Cybermalveillance NE fait PAS

• Pas d'intervention technique directe : c'est un rôle d'orientation et de mise en relation.
• Pas de remboursement des pertes financières.
• Pas de prise de plainte (faite auprès police/gendarmerie).
• Pas de négociation avec les attaquants.
• Pas d'action judiciaire.

04 — ExpertCyberLe label pour les prestataires

Création et objectifs

• Label créé en 2020 par Cybermalveillance.gouv.fr en collaboration avec l'AFNOR.
• Objectif : offrir aux TPE/PME un repère de confiance dans un marché complexe.
• Complémentaire des qualifications ANSSI (PASSI, PACS, PDIS, PRIS) qui ciblent les grandes structures.
• Exigences calibrées pour le segment TPE/PME.

Critères d'obtention

• Compétences démontrées : expertise avérée en cybersécurité (formations, certifications, expérience).
• Transparence commerciale : tarifs clairs, devis détaillés, engagements de moyens.
• Déontologie : charte engagée sur confidentialité, respect RGPD, pas de surfacturation, loyauté.
• Assurance responsabilité civile professionnelle adaptée.
• Audit périodique par Cybermalveillance.

Domaines d'expertise couverts

• Audit de sécurité.
• Assistance et remédiation d'incident.
• Formation et sensibilisation.
• Installation et configuration sécurité.
• Protection des données personnelles.
• Conseil stratégique.
• Gestion de crise cyber.

ExpertCyber vs PASSI

• PASSI : qualification ANSSI pour audits de grandes structures (OIV, entités sensibles). Exigences très élevées. ~40 cabinets qualifiés.
• ExpertCyber : label pour prestataires TPE/PME. Exigences adaptées au segment. 1000+ prestataires labellisés.
• Les deux ciblent des segments différents, peu de recouvrement.
• Certains cabinets cumulent les deux labels.

Utilité pratique

• Liste consultable sur cybermalveillance.gouv.fr.
• Filtrage par département, région, spécialité.
• Rassure les victimes dans l'urgence : pas de marché noir ou de prestataire improvisé.
• Rassure les assureurs cyber qui s'y réfèrent dans leurs conditions.
• Intégré dans certains marchés publics comme critère.

05 — Cybermoi/sLe mois de la cybersécurité

Mois européen de la cybersécurité — octobre

Chaque mois d'octobre, Cybermalveillance coordonne le Cybermoi/s : déclinaison française du Mois européen de la cybersécurité (ECSM — European Cyber Security Month) lancé par l'ENISA (Agence européenne de cybersécurité).

Format de l'événement

• Campagne nationale de sensibilisation pendant tout le mois d'octobre.
• Thématique différente chaque année (mots de passe, phishing, IA, etc.).
• Campagnes TV, radio, réseaux sociaux, presse.
• Événements locaux partout en France (conférences, ateliers, formations).
• Partenariats multiples : médias, collectivités, associations, entreprises privées.

Contenu diffusé

• Campagnes grand public sur les arnaques courantes.
• Ressources gratuites : supports réutilisables par les entreprises pour leurs collaborateurs.
• Kits clé-en-main pour organisations.
• Intervenants : experts Cybermalveillance, ANSSI, CNIL, police, gendarmerie.
• Sujets populaires : phishing, mots de passe, MFA, vie privée, RGPD.

Impact

• Pic de notoriété annuelle du dispositif.
• Millions de personnes touchées par les campagnes.
• Augmentation visible du trafic et des demandes pendant octobre.
• Moment privilégié pour les RSSI en entreprise pour lancer des campagnes internes.

Au-delà d'octobre

• Journée internationale du changement de mot de passe (1er jeudi de mai).
• Safer Internet Day (février) avec partenaires.
• Campagnes ponctuelles selon actualité (alerte massive, exemple : campagne CPF en 2022).

06 — GouvernancePartenaires et financement

Gouvernance du GIP ACYMA

• Assemblée générale : représentants de tous les membres.
• Conseil d'administration : pilotage stratégique.
• Direction : équipe opérationnelle (une dizaine de permanents).
• Indépendance opérationnelle avec financement mixte public-privé.

Membres publics

• ANSSI : agence nationale, partenaire technique principal.
• Ministère de l'Intérieur : police et gendarmerie, officiers cyber.
• Ministère de la Justice : enjeux judiciaires.
• CNIL : pour les aspects données personnelles.
• Association des maires de France : pour l'accompagnement des collectivités.
• Direction générale des entreprises (DGE) : pour les TPE/PME.
• Autres ministères concernés (Économie, Numérique).

Partenaires privés

• Fédérations professionnelles : CPME, MEDEF, U2P.
• Banques : FBF (Fédération Bancaire Française).
• Assureurs : FFA (Fédération Française de l'Assurance).
• Éditeurs cyber : Hexatrust et acteurs individuels.
• Opérateurs télécoms : Orange, SFR, Bouygues, Free.
• Grands groupes numériques : Google, Microsoft, Meta (partenariats sur campagnes).

Relations avec les autres dispositifs

• ANSSI / CERT-FR : coopération technique, escalade d'incidents majeurs.
• CNIL : articulation pour les violations de données personnelles.
• Police / Gendarmerie : brigades dédiées (OCLCTIC, C3N).
• Assurance Cyber : les assureurs imposent de plus en plus le recours à ExpertCyber.
• Campus Cyber : écosystème physique à La Défense.

Financement

• Subventions publiques (ministères).
• Contributions financières des membres privés.
• Budget annuel de l'ordre de quelques millions d'euros.
• Gratuité totale pour les utilisateurs finaux (victimes).

07 — FAQQuestions fréquentes

Cybermalveillance.gouv.fr est-il gratuit ?

Oui, intégralement gratuit pour les utilisateurs. Le diagnostic en ligne, les fiches réflexes, les contenus de sensibilisation, la consultation de l'annuaire ExpertCyber : tout est accessible sans aucun coût. Les prestations elles-mêmes (intervention d'un prestataire ExpertCyber sur votre site après incident) sont payantes — aux tarifs du prestataire que vous choisissez librement. Cybermalveillance ne facture rien au passage. Le financement du dispositif provient de subventions publiques et des contributions de ses membres.

Que faire en priorité en cas de ransomware ?

Procédure d'urgence recommandée par Cybermalveillance. 1) Isoler immédiatement les systèmes infectés du réseau (débrancher, couper le Wi-Fi) pour limiter la propagation. 2) Ne pas éteindre les machines (perte des preuves en RAM). 3) Ne pas payer la rançon tout de suite — même logique qu'avec les criminels, payer ne garantit rien et encourage les attaques futures. 4) Contacter Cybermalveillance pour diagnostic et mise en relation ExpertCyber. 5) Déposer plainte auprès de la police ou gendarmerie. 6) Notifier la CNIL sous 72h si des données personnelles sont concernées. 7) Préserver les preuves : logs, écrans de rançon, fichiers chiffrés (ne pas les effacer). 8) Communiquer : prévenir employés, clients si impact. 9) Restaurer depuis les sauvegardes si elles sont saines (après analyse prestataire). 10) Renforcer la sécurité avant remise en service (corriger le vecteur initial — souvent phishing).

Comment devenir prestataire ExpertCyber ?

Processus d'obtention. 1) Candidature sur cybermalveillance.gouv.fr, section dédiée prestataires. 2) Dossier de candidature : présentation entreprise, références, certifications employés, attestation assurance RCP. 3) Évaluation par Cybermalveillance : examen documentaire, entretien, validation des compétences. 4) Adhésion à la charte déontologique ExpertCyber. 5) Délivrance du label pour durée déterminée (3 ans) renouvelable. 6) Audit périodique pendant la validité. 7) Référencement dans l'annuaire public. Intérêt principal pour le prestataire : flux de clients qualifiés issus de Cybermalveillance + crédibilité renforcée. Cible principalement les prestataires régionaux servant les TPE/PME locales.

Quelle différence avec l'ANSSI ?

Deux structures complémentaires aux missions distinctes. ANSSI (Agence nationale de la sécurité des systèmes d'information) : agence d'État créée en 2009, pilotage de la cybersécurité nationale, protection des OIV et administrations centrales, normalisation (référentiels, qualifications PASSI, SecNumCloud), CERT-FR pour réponse à incident grande échelle. Cybermalveillance.gouv.fr : dispositif créé en 2017, focalisé sur victimes hors périmètre ANSSI : particuliers, TPE/PME, collectivités, associations. Complémentarité organisationnelle : l'ANSSI est membre du GIP ACYMA, Cybermalveillance escalade les incidents majeurs à l'ANSSI si nécessaire. Les publics ne se recouvrent pas. Une grande entreprise victime contacte l'ANSSI (si OIV) ou ses propres équipes, une PME contacte Cybermalveillance.

Cybermalveillance peut-il récupérer mes données après ransomware ?

Non, pas directement. Cybermalveillance n'intervient pas techniquement sur vos systèmes. Pour récupérer des données après ransomware : sauvegardes saines : la solution principale — si vous avez des sauvegardes externes non compromises, restauration possible. Prestataire ExpertCyber : peut aider à la remédiation technique. Clés publiées : pour certains ransomwares anciens, des clés de déchiffrement ont été publiées (site nomoreransom.org, initiative Europol + partenaires). Peut marcher pour variantes obsolètes. Paiement de rançon : déconseillé mais parfois fait en dernier recours — pas de garantie de récupération, encourage les attaques futures. Négociateurs spécialisés : certains prestataires négocient avec les attaquants mais zone grise juridique. Cybermalveillance vous orientera vers les ressources utiles mais ne prendra pas en charge directement la remédiation.

Les contenus Cybermalveillance peuvent-ils être réutilisés ?

Oui, sous conditions. Les ressources pédagogiques (vidéos, infographies, fiches, kits) sont généralement libres de réutilisation pour usage non commercial, avec mention de la source. Conditions exactes : consulter la mention de copyright sur chaque ressource ou contacter directement Cybermalveillance pour les usages étendus (entreprises privées qui veulent réutiliser largement). Usages typiques autorisés : sensibilisation interne en entreprise, formations scolaires, campagnes associatives, communication collectivités locales. Nombreuses RSSI utilisent les supports dans leurs campagnes de sensibilisation annuelles, notamment pendant le Cybermoi/s en octobre.