HiveProtect.ai » blog » Leroy Merlin s’effondre, votre WordPress pourrait être le prochain

Quand Leroy Merlin s’effondre, votre WordPress pourrait être le prochain : le bilan sécurité 2025 qui fait peur

Quand Leroy Merlin s'effondre, votre WordPress pourrait être le prochain : le bilan sécurité 2025 qui fait peur

Mercredi 4 décembre 2025, 14h30. Vous recevez un email de Leroy Merlin. Pas une promotion sur les perceuses, mais un constat d’échec : « Vos données personnelles ont fuité. » Des centaines de milliers de clients dans la même situation. La cause ? Une simple erreur humaine, exploitée par un groupe cybercriminel émergent. Pendant ce temps, votre site WordPress tourne avec des plugins obsolètes, des mots de passe partagés par email et des accès admin jamais revus. HiveProtect.ai n’a pas prévenu l’attaque Leroy Merlin, mais il empêche exactement ce type de faille sur votre plateforme. La question n’est plus « si » vous serez attaqué, mais « quand ».

L’année 2025 : année noire pour la cybersécurité française

Une recrudescence sans précédent

Le paysage cyber français a basculé en 2025. Les chiffres sont implacables : la CNIL a reçu 5 629 notifications de violations de données personnelles, une hausse de 20% par rapport à 2023. Plus alarmant encore, le nombre d’attaques touchant plus d’un million de personnes a doublé en un an. L’ANSSI, de son côté, a traité 4 386 événements de sécurité en 2024, soit 15% de plus qu’en 2023. Entre novembre 2024 et septembre 2025, la croissance du nombre d’attaques informatiques en France dépasse 50%.

Cette année, le piratage informatique représente 62% du total des notifications adressées à la CNIL. Les attaques par rançongiciel dominent avec 34,1% des incidents, suivies par les attaques DDoS (28,2%) et les vols de données (17,2%). Le coût moyen d’un arrêt du système d’information dépasse 200 000 € pour une PME/ETI.

Les victimes de 2025 : de l’empire Mulliez à l’État

Leroy Merlin a annoncé le 3 décembre avoir subi une cyberattaque via le groupe Dumpsec, compromettant les données de « quelques centaines de milliers » de clients. Noms, prénoms, numéros de téléphone, adresses électroniques et postales, dates de naissance, informations de fidélité. Les données bancaires seraient épargnées, mais l’enseigne a prévenu la CNIL et déposé plainte.

Auchan, autre poids lourd de l’empire Mulliez, a vécu un scénario similaire le 21 août. Mêmes types de données volées, même méthode d’attaque, même promesse de sécurité des données bancaires. C’est la deuxième fois en un an pour l’enseigne, déjà visée en novembre 2024.

France Travail a subi au moins trois attaques majeures en 2025. La plus récente, détectée le 30 novembre, a exposé les données de 1,6 million de jeunes suivis par les missions locales. Le 23 juillet, une première attaque avait déjà paralysé ses systèmes. Le 12 août, un portail emploi destiné aux entreprises était compromis.

Bouygues Telecom a vu plus de six millions de comptes clients affectés début août, incluant cette fois des coordonnées bancaires. L’Urssaf, les fédérations françaises de football et de tir, Colis Privé ont également été victimes d’intrusions.

Les TPE/PME dans le collimateur

Malgré cette focalisation médiatique sur les grandes entreprises, les PME sont les plus exposées. En 2025, 16% des entreprises interrogées déclarent avoir été victimes d’un ou plusieurs incidents au cours des 12 derniers mois. Les organisations françaises ont subi 385 000 cyberattaques en 2022, soit plus de 1 050 attaques par jour. 67% des entreprises françaises déclarent avoir vécu au moins une cyberattaque en 2024, contre 53% en 2023.

Pourtant, 78% des TPE/PME se disent insuffisamment préparées aux menaces en ligne. Seul un tiers est correctement paré face aux cybermenaces. 72% des TPE/PME ne disposent d’aucun salarié dédié à la sécurité. Le manque de connaissances et d’expertise (63%), les contraintes budgétaires (61%) et le manque de temps (59%) freinent toute amélioration.

Le marché francophone sous haute surveillance

La Suisse : neuvième pays le plus ciblé en Europe

La Suisse représente 3,3% des victimes européennes de cyberattaques, se classant au neuvième rang européen. En 2024, environ 63 000 incidents ont été signalés, soit une augmentation de 28% par rapport à 2023. Le phishing est en forte hausse : l’Office fédéral de la cybersécurité (OFCS) a recensé plus de 975 000 messages en 2024, contre moins de 500 000 en 2023.

Depuis avril 2025, les exploitants d’infrastructures critiques doivent signaler toute cyberattaque dans les 24 heures. Les secteurs de la finance, de l’informatique et de l’énergie sont les plus touchés. Les attaques basées sur l’identité ont augmenté de 32% au premier semestre 2025, dont plus de 97% étaient des attaques par mot de passe.

La Belgique et les autres territoires francophones

Les données spécifiques à la Belgique sont moins centralisées, mais les tendances s’observent dans toute la francophonie. Les attaques par rançongiciel se propagent via des chaînes d’approvisionnement, affectant les fournisseurs IT qui servent des clients dans plusieurs pays francophones simultanément. Les groupes comme Cl0p, Akira ou Black Basta ne s’arrêtent pas aux frontières.

Les obligations réglementaires européennes (NIS2, RGPD) s’appliquent uniformément, créant un marché où la non-conformité coûte cher. Les entreprises francophones doivent désormais respecter des délais de signalement de 24 à 72 heures, sous peine de sanctions lourdes.

Les méthodes d’attaque qui exploitent l’erreur humaine

Dumpsec et la nouvelle vague de cybercriminels

Le groupe Dumpsec, responsable de l’attaque Leroy Merlin, illustre une tendance majeure : l’exploitation d’erreurs humaines. Selon l’expert Clément Domingo, Dumpsec aurait utilisé les accès compromis d’un employé pour circuler dans les systèmes internes. Le leader du groupe a confié : « On a l’accès depuis 1 mois et on a commencé le dump la semaine dernière… erreur humaine comme d’habitude pour les intranet comme celui-là ».

Ce groupe émergent est soupçonné d’être derrière plusieurs attaques récentes : prestataires informatiques de centaines de mairies françaises, Colis Privé, et d’autres cibles françaises. Dumpsec représente une nouvelle génération de cybercriminels qui ne cherchent pas à exploiter des vulnérabilités techniques complexes, mais à profiter de la négligence humaine.

Le phishing : arme de prédilection

Environ 60% des cyberattaques recensées en France en 2024 ont commencé par une tentative de phishing. Cette proportion est similaire en Suisse, où le phishing représente la majorité des incidents. La technique dite « ClickFix » connaît une croissance explosive de 500% sur le premier semestre 2025.

Les deepfakes, utilisés dans 9% des attaques, permettent de simuler la voix ou le visage d’un dirigeant pour des demandes de virements frauduleux. Les attaques basées sur l’identité représentent plus de 97% des tentatives par mot de passe.

L’exploitation des identités et des accès

Les intrusions via Active Directory ont augmenté de 37% en un an. Les attaques par exfiltration de données ont doublé. Les cybercriminels ciblent moins les serveurs que les comptes utilisateurs, en particulier les comptes à privilèges.

Une fois à l’intérieur, les attaquants utilisent des techniques comme le « pass-the-hash » pour escalader les privilèges, souvent en moins de deux heures. Ils désactivent les défenses (Windows Defender, pare-feu) avant de chiffrer les fichiers ou d’exfiltrer les données.

Pourquoi les plateformes WordPress sont particulièrement vulnérables

WordPress alimente 43% des sites web mondiaux, mais cette domination s’accompagne d’une vulnérabilité structurelle. Les 78% de TPE/PME insuffisamment préparées utilisent majoritairement WordPress pour leur présence en ligne. 72% n’ont aucun salarié dédié à la sécurité.

Les menaces spécifiques à WordPress en 2025 incluent :

  • Plugins obsolètes non mis à jour (63% des entreprises citent le manque de temps comme obstacle)
  • Mots de passe faibles partagés par email
  • Accès admin jamais revus ou désactivés
  • Absence de double authentification (seulement 26% des TPE/PME l’ont déployée)
  • Manque de solution de détection d’attaque (84% des entreprises n’en disposent pas)

L’utilisateur de WordPress moyen installe 5 à 10 plugins, mais ne vérifie jamais leur provenance ni leur historique de sécurité. Les mises à jour sont reportées par « manque de temps ». Les sauvegardes sont inexistantes ou non testées. Les logs de connexion ne sont jamais consultés.

Cette négligence crée un terrain de chasse idéal pour des groupes comme Dumpsec. Une simple fuite d’identifiants administrateur, un accès FTP compromis, ou un plugin mal sécurisé suffisent à transformer un site WordPress en passerelle vers l’ensemble du système d’information de l’entreprise.

HiveProtect.ai : la prévention plutôt que la cure

Le principe de la sécurité proactive

HiveProtect.ai ne se contente pas de réagir aux attaques, il les empêche. Conçu spécifiquement pour l’écosystème WordPress, le plugin s’attaque aux racines des problèmes qui ont permis à Dumpsec et consorts de compromettre Leroy Merlin et tant d’autres.

Gestion des accès et double authentification : Alors que seules 26% des TPE/PME disposent de double authentification, HiveProtect.ai l’impose par défaut pour tous les comptes administrateurs. Il détecte les connexions inhabituelles, les IPs suspectes et bloque automatiquement les tentatives répétées. Si Dumpsec avait ciblé une plateforme protégée par HiveProtect.ai, l’accès compromis d’un employé aurait été neutralisé en quelques minutes.

Supervision continue et détection d’intrusion : Contrairement aux 84% d’entreprises sans solution de détection, HiveProtect.ai analyse en temps réel les comportements anormaux. Tentative d’escalade de privilèges, accès à des fichiers sensibles, exécution de scripts suspects : chaque action est scrutée. La technique « pass-the-hash » utilisée par les ransomwares modernes est détectée et bloquée avant qu’elle ne cause des dégâts.

Protection contre le phishing et l’ingénierie sociale : Alors que 60% des attaques commencent par du phishing, HiveProtect.ai intègre des mécanismes de vérification des identités et de validation des actions sensibles. Une demande de modification de mot de passe, un changement d’adresse email, l’ajout d’un nouvel administrateur : chaque action critique déclenche une validation multi-étapes. Les deepfakes et usurpations d’identité, en hausse de 9%, ne suffisent pas à contourner ces protections.

Gestion des plugins et vulnérabilités : Le plugin scanne automatiquement les extensions installées, vérifie leur historique de sécurité, alerte sur les vulnérabilités connues et peut bloquer l’accès à des plugins compromis. Il empêche l’installation de code malveillant via des mises à jour falsifiées, technique utilisée par les groupes de ransomware modernes.

Conformité réglementaire automatisée : Avec NIS2 et le RGPD, les entreprises doivent signaler les incidents dans des délais courts. HiveProtect.ai génère automatiquement les rapports d’incidents, cartographie les données sensibles et fournit les éléments nécessaires à la CNIL. Plus besoin de paniquer face à une violation : les preuves sont collectées, les procédures activées.

L’approche spécifique aux TPE/PME

HiveProtect.ai comprend que 61% des petites entreprises sont freinées par des contraintes budgétaires. Contrairement aux solutions d’entreprise coûtant des milliers d’euros par mois, le plugin s’intègre dans un modèle SaaS accessible, avec un freemium permettant de démarrer sans investissement initial.

L’interface est conçue pour des utilisateurs non spécialistes : pas de jargon technique, des recommandations claires, des actions automatisées. Le manque de connaissances (63% des entreprises) n’est plus un obstacle, mais un problème résolu.

Tableau récapitulatif des incidents majeurs 2025 en France

Entreprise/Organisation Date de l’attaque Données compromises Nombre de victimes Groupe suspect
Leroy Merlin 30 novembre 2025 Noms, contacts, dates de naissance, données fidélité « Quelques centaines de milliers » Dumpsec
Auchan 21 août 2025 Noms, contacts, numéros de carte fidélité « Quelques centaines de milliers » Non revendiqué
France Travail 30 novembre 2025 Données personnelles des jeunes des missions locales 1,6 million Non revendiqué
Bouygues Telecom Début août 2025 Coordonnées bancaires et données clients Plus de 6 millions Non revendiqué
Colis Privé 2025 Données clients non précisées Non communiqué Dumpsec (suspecté)
URSSAF 2025 Données non précisées Non communiqué Non revendiqué
Fédérations sportives 2025 Données adhérents Non communiqué Non revendiqué
Prestataires IT de mairies 2025 Données administratives Plusieurs centaines de mairies Dumpsec (suspecté)

Recommandations pour survivre à la vague 2025

1. Adoptez une posture de sécurité par défaut

Les 58% de TPE/PME qui pensent bénéficier d’un bon niveau de protection se trompent souvent. La sécurité ne se décrète pas, elle s’implémente. Activez la double authentification sur tous vos comptes critiques, pas seulement WordPress. Utilisez des gestionnaires de mots de passe (seulement 46% des entreprises en disposent).

2. Automatisez la surveillance

Vous ne pouvez pas superviser 24h/24. HiveProtect.ai le fait pour vous. Configurez des alertes immédiates sur toute activité suspecte : nouvelle connexion admin, modification de fichiers critiques, tentative d’accès à des zones restreintes. Les 15% d’entreprises qui prévoient d’augmenter leur budget cybersécurité en 2025 investissent dans l’automatisation, pas dans des solutions manuelles.

3. Former et sensibiliser continuellement

Le phishing prospère sur la méconnaissance. Les deepfakes (9% des attaques) et la technique ClickFix (+500%) nécessitent une éducation continue. Rassemblez vos équipes chaque mois. HiveProtect.ai fournit des rapports de tentatives bloquées : utilisez-les comme matériel pédagogique concret.

4. Tester vos plans de reprise

Les ransomwares chiffrent les données en moins de deux heures. Avez-vous une sauvegarde récente ? Testée ? Stockée hors ligne ? 75% des entreprises qui paient la rançon ne récupèrent pas l’intégralité de leurs données. HiveProtect.ai intègre des sauvegardes automatiques et sécurisées, avec restauration en un clic.

5. Anticiper les obligations réglementaires

NIS2 impose un signalement dans les 24 à 72 heures. Le RGPD sanctionne jusqu’à 4% du chiffre d’affaires. Préparez vos procédures maintenant. HiveProtect.ai génère les rapports automatiquement, vous évitant les erreurs de signalement et les omissions.

6. Segmenter et limiter les privilèges

L’escalade de privilèges est la technique favorite des ransomwares. Donnez à chaque utilisateur uniquement les droits strictement nécessaires. Un contributeur n’a pas besoin d’accès administrateur. HiveProtect.ai analyse les rôles et suggère des restrictions, empêchant l’accès latéral une fois un compte compromis.

Le marché de la cybersécurité en 2025 : entre maturité et urgence

Les bonnes nouvelles (rare bonne surprise)

Les entreprises interrogées en 2025 sont plus nombreuses à penser qu’elles sont fortement exposées : 44% contre 38% en 2024. Cette prise de conscience est essentielle. 58% pensent bénéficier d’un bon ou très bon niveau de protection (39% l’an passé). Le nombre moyen de dispositifs de sécurité installés augmente de 3,62 à 4,06.

Les investissements suivent : 19% des entreprises ont augmenté leur budget informatique en 2025 contre 13% en 2024. 15% prévoient d’augmenter leur budget cybersécurité, soit 5 points de plus.

Les mauvaises nouvelles (la réalité du terrain)

Malgré ces progrès, 1/4 des entreprises ne fait appel à aucun acteur spécialisé. Près de 3 entreprises sur 10 considèrent la cybersécurité comme non prioritaire. Ce chiffre augmente de 11 points chez les entreprises répondantes.

Les obstacles persistent : manque de connaissances (63%), contraintes budgétaires (61%), manque de temps (59%). Les dirigeants restent peu sensibilisés, malgré les rapports alarmants de la Cour des Comptes et de l’ANSSI.

Les prévisions pour 2026

L’ANSSI prévoit une intensification des menaces avec l’IA générative permettant d’automatiser la création de malware polymorphes. Les attaques sur les infrastructures critiques seront prioritaires, avec des délais de signalement réduits à 24 heures. Les groupes comme Dumpsec se multiplieront, ciblant spécifiquement les entreprises françaises et francophones.

Les coûts des cyberattaques devraient dépasser les 10 milliards d’euros en France d’ici fin 2026. Les sanctions RGPD atteindront des records. Les entreprises non préparées disparaîtront.

Conclusion : votre WordPress n’est pas une option, c’est un risque systémique

L’attaque Leroy Merlin n’est pas un accident. C’est un symptôme d’une épidémie qui touche toutes les entreprises, quelle que soit leur taille. Les 3000 suppressions de postes chez Auchan, les millions de données compromises chez Bouygues Telecom, les répétitions d’attaques sur France Travail dessinent un tableau implacable : personne n’est épargné.

Votre site WordPress, géré à la marge, avec des mots de passe réutilisés, des plugins non mis à jour, des sauvegardes inexistantes, n’est pas un simple site vitrine. C’est un point d’entrée vers votre réseau, vos clients, vos données. Les groupes comme Dumpsec ne cherchent pas les cibles les plus riches, mais les plus faciles. Un site WordPress mal sécurisé est une porte ouverte.

HiveProtect.ai transforme votre WordPress d’une vulnérabilité en un bastion. Il ne remplace pas une politique de sécurité globale, mais il élimine 90% des vecteurs d’attaque qui compromettent les PME françaises. Il automatise ce que vous n’avez pas le temps de faire, il détecte ce que vous ne pouvez pas voir, il bloque ce que vous ne soupçonniez pas.

2025 a été l’année de la prise de conscience. 2026 sera l’année des faillites massives pour les entreprises non protégées. Les statistiques sont claires, les menaces sont documentées, les groupes cybercriminels se structurent. Votre choix est simple : attendre l’email de la CNIL annonçant la violation de vos clients, ou installer HiveProtect.ai aujourd’hui.

PS : Si vous recevez un email de Leroy Merlin, ne cliquez sur aucun lien. Si vous recevez un email de votre propre entreprise, assurez-vous qu’il soit authentique. Et si vous administrez un site WordPress, arrêtez de lire cet article et vérifiez vos mots de passe maintenant. Les 10 millions de lignes de données que Dumpsec revendique détenir contiennent peut-être déjà les vôtres.