Cybersécurité : les 4 grandes tendances à suivre en 2026
Pour BDM, Surfshark anticipe les bouleversements à venir en matière de cybersécurité, entre multiplication des cyberattaques et campagnes de phishing toujours plus élaborées grâce à l’IA.
C’est devenu un rendez-vous pour les professionnels du digital. Chaque année, BDM s’associe à des acteurs de l’écosystème pour concevoir son guide des tendances : une série d’articles, déclinée en format PDF en janvier, qui décrypte les pratiques et les évolutions amenées à bousculer certains secteurs du numérique, du social media à la vidéo.
Pour ce nouveau volet dédié à la cybersécurité, BDM a sollicité Surfshark. L’entreprise, réputée pour son VPN et spécialisée dans la conception et le développement de solutions de sécurité et de confidentialité, livre ses prévisions pour l’année à venir.
1. Une collecte de données toujours plus importante par les applications
Depuis plusieurs mois, certaines applications, notamment américaines ou chinoises, auraient intensifié leur collecte de données, accumulant des informations sensibles sur leurs utilisateurs sans leur consentement.« C’est une tendance que l’on remarque dans tous les milieux et pour toutes les applications », alerte Surfshark. Et qui pourrait se poursuivre l’année prochaine, déplore l’éditeur.
Dans une récente étude publiée en novembre 2025, Surfshark a analysé les méthodes de collecte des dix applications de e-commerce les plus populaires aux États-Unis, en s’appuyant sur les données publiques de l’App Store. Le bilan est pour le moins alarmant : certains acteurs ne se contentent plus de collecter des informations comme l’adresse email, le nom ou l’adresse postale. Ils récupèrent aussi des données « surprenantes, voire bizarres », déplore Surfshark.
Walmart et Amazon, par exemple, collectent des données sensibles incluant « les opinions politiques, l’ethnicité, les informations biométriques ou génétiques, l’orientation sexuelle, le statut de handicap ou les détails de grossesse », peut-on lire. Whatnot et Alibaba, quant à eux, siphonnent les carnets d’adresses de leurs utilisateurs. Ces quatre acteurs récupèrent aussi les enregistrements vocaux ou sonores. Des informations qui peuvent, potentiellement, être réutilisées à des fins de publicité ciblée. « Ces applications partagent des données avec des entités qui diffusent des publicités tierces, exposant davantage les informations des utilisateurs aux risques pour la vie privée », prévient Surfshark.
Sans surprise, le secteur du e-commerce n’est pas le seul concerné par ces pratiques. « C’est quelque chose que nous avons remarqué également pour les applications de rencontre ou de navigation », souligne Surfshark. Bumble, Grindr, Waze ou Google Maps seraient aussi particulièrement voraces en matière de données personnelles.
Une chose est sûre : pour se protéger d’un ciblage publicitaire abusif, l’éditeur recommande, dès aujourd’hui, de limiter au maximum le volume de données communiquées aux applications, mais aussi d’examiner les types d’informations collectées avant d’accepter les conditions générales. La création d’un sosie numérique ou d’une identité alternative, par le biais d’une fonctionnalité comme Alternative ID conçue par Surfshark, peut également permettre d’éviter de communiquer ses véritables informations personnelles à des sites susceptibles de les exploiter à des fins marketing. « Même si vous n’avez rien à cacher, certaines données sensibles doivent rester privées », conclut Surfshark.
2. Des campagnes de phishing de plus en plus ciblées et précises grâce à l’IA
Avec la percée de l’IA générative, appelée à devenir « l’une des forces les plus perturbatrices en cybersécurité » dans les années à venir, les campagnes de phishing, qui pouvaient déjà être redoutablement efficaces, vont encore gagner en sophistication en 2026, prédit Surfshark.
« C’est un outil puissant pour les acteurs malveillants », contextualise l’éditeur, capable de reproduire facilement le ton ou le style d’un émetteur à l’écrit, voire d’aller encore plus loin. « Les attaquants utilisent l’IA pour créer des messages vocaux, vidéo et des emails très réalistes afin de tromper les personnes et les entreprises », explique Surfshark. « Lorsque ces emails sont combinés avec de faux sites web qui ressemblent exactement aux vrais, ces arnaques créent une tromperie presque parfaite. » Plus difficiles à détecter et personnalisables à l’infini, ces campagnes malveillantes peuvent surtout être déployées à grande échelle, exploitant les vulnérabilités humaines à une vitesse sans précédent, s’inquiète Surfshark.
Mais alors, comment se protéger contre ces techniques avancées de phishing ? S’il faut redoubler de vigilance, les principes de précaution n’ont pas changé. Surfshark conseille de contrôler systématiquement le domaine de l’expéditeur, afin de repérer les fautes de frappe ou les noms de marques légèrement modifiés, une tactique répandue chez les cybercriminels. Les fautes d’orthographe, la syntaxe approximative ou les formulations maladroites constituent également des signaux d’alerte.
Il est également recommandé de se méfier des messages créant un sentiment d’urgence artificiel pour court-circuiter la réflexion. « Les cybercriminels optent pour des objets alarmistes incluant des termes comme « Critique », « Important » ou « Urgent ». Ces mots nous poussent à abandonner toute prudence et à agir impulsivement », ajoute Surfshark. Pour vérifier l’authenticité d’un email, il est également possible d’utiliser Email Scam Checker, conçu par l’entreprise hollandaise. Un outil qui exploite l’intelligence artificielle pour repérer des signes de manipulation et détecter les liens frauduleux.
3. Un contexte tendu qui expose encore plus la France aux cyberattaques
Dans un contexte marqué par les tensions géopolitiques, le nombre de fuites de données et de cyberattaques, déjà considérable en 2025, devrait continuer de progresser en 2026, anticipe Surfshark. Pour étayer cette affirmation, l’éditeur s’appuie sur sa propre étude, qui positionne la France au 4e rang des pays les plus touchés par les fuites de données, derrière les États-Unis, la Russie et la Chine.
Au troisième trimestre, plus de 15 millions de comptes ont été compromis en France, soit une hausse de 29 % par rapport au trimestre précédent. Ce chiffre reste bien inférieur au pic du troisième trimestre 2024, qui avait vu plus de 127 millions de comptes compromis sur trois mois, mais reste inquiétant. « Le nombre de fuites de données et de cyberattaques ne cesse d’augmenter depuis fin 2024 », rappelle Surfshark, qui évoque notamment la récente fuite massive qui a touché le service Pajemploi de l’URSSAF, en novembre 2025.
Cette tendance persistante doit amener les entreprises à redoubler de vigilance, d’après Surfshark, qui préconise l’utilisation d’un VPN interne, mais aussi de mettre en place des processus de cybersécurité clairs et d’investir dans la formation des employés, qui constituent des cibles faciles pour les cybercriminels.
4. L’usage de l’IA pour la création de deepfakes ultra-réalistes
« Des outils d’IA largement accessibles comme Veo 3 ou Sora 2 amplifient les escroqueries par deepfake », constate Surfshark, qui chiffre, dans une récente étude, les pertes liées à ce type de fraude à 1,3 milliard d’euros, dont 860 millions d’euros pour la seule année 2025. D’après l’éditeur, produire une vidéo deepfake d’une minute coûtait auparavant entre 257 et 17 000 euros, selon la qualité visée. Aujourd’hui, avec la progression des outils text-to-video de Google ou d’OpenAI, cette même production ne coûte plus que quelques euros, rendant les tentatives d’arnaques moins onéreuses et plus faciles à déployer à grande échelle.
Résultat : de nouvelles formes d’escroqueries émergent, visant aussi bien les professionnels que les particuliers. Les cybercriminels peuvent, par exemple, générer des images d’animaux perdus pour piéger leurs propriétaires en prétendant les avoir retrouvés. Ils peuvent également opter pour des tactiques plus lucratives, en usurpant une identité pour commettre des fraudes à l’investissement ou s’introduire dans une organisation. « Un cas notable concernait une société de cybersécurité ayant embauché à son insu un hacker nord-coréen, qui avait réussi à falsifier son entretien, ses documents d’identité et ses vérifications d’antécédents », relate Surfshark.
Surfshark appelle les entreprises à la vigilance en 2026, en adoptant systématiquement des processus de vérification d’identité et en formant le personnel pour repérer la fraude par deepfake. En particulier les équipes les plus exposées à ce type d’attaque, comme les services des ressources humaines, support ou financiers. L’éditeur préconise également d’observer les micro-détails, tels qu’un rythme saccadé, des mains ayant une taille inhabituelle ou « des yeux troublants ». Tout en sachant que, au fil des mois et des mises à jour, ces indices deviendront de moins en moins perceptibles. « Avec l’amélioration de l’IA, de nombreux indices visuels traditionnels disparaissent, la meilleure défense reste donc l’esprit critique », conclut l’éditeur.
Partagez votre meilleur prompt IA
Et accédez très bientôt à notre sélection des meilleurs prompts !
Je participe
