En décembre 2025, des millions de clients de La Banque Postale se sont réveillés sans accès à leur compte un 1er janvier. Quelques semaines plus tard, en janvier 2026, les coordonnées bancaires d’1,2 million de Français étaient compromises via le fichier national FICOBA. Ces deux incidents illustrent une réalité que beaucoup ignorent encore : les banques françaises figurent parmi les cibles privilégiées des cybercriminels à l’échelle mondiale, et les conséquences pour les clients peuvent aller bien au-delà d’une simple indisponibilité temporaire du service.
Ce guide complet vous explique ce qu’est concrètement une cyberattaque visant une banque, pourquoi le secteur financier est une cible de choix, ce que la réglementation vous garantit en tant que client, et surtout quels réflexes adopter pour ne pas être pris au dépourvu.
Les grandes formes de cyberattaques contre les banques
Toutes les cyberattaques ne se ressemblent pas. Selon l’objectif poursuivi par les attaquants — perturber, voler, extorquer ou espionner — les méthodes varient considérablement. Voici les principales formes auxquelles le secteur bancaire est confronté aujourd’hui.
L’attaque par déni de service distribué (DDoS)
Il s’agit de la méthode la plus visible pour les clients. Les pirates saturent les serveurs de la banque avec un volume massif de requêtes simultanées, rendant le site internet et l’application mobile inaccessibles pendant des heures, voire des journées entières. C’est précisément ce type d’attaque qui a paralysé La Banque Postale fin décembre 2025. Le compte n’est pas piraté, les fonds ne sont pas volés, mais le service est totalement à l’arrêt. Pour des millions de clients souhaitant effectuer un virement le 1er janvier, l’impact était pourtant bien réel. Ce type d’indisponibilité rappelle une autre fragilité de notre rapport quotidien à l’argent liquide : la disparition accélérée des distributeurs automatiques de billets, qui prive déjà de nombreux territoires d’un accès de repli en cas de panne numérique.
Le ransomware ou rançongiciel
Plus grave dans ses conséquences internes, le rançongiciel consiste à chiffrer les données d’un système informatique bancaire pour rendre tout traitement impossible, puis à exiger le paiement d’une rançon en échange de la clé de déchiffrement. Le secteur financier a connu plusieurs épisodes marquants à l’international, et les institutions françaises ne sont pas à l’abri. Dans les cas les plus sévères, des jours entiers de traitement des opérations peuvent être compromis, avec des conséquences en chaîne sur les virements et les remboursements en cours.
Le phishing et l’hameçonnage ciblé
Le phishing est la technique la plus répandue et, paradoxalement, la plus efficace, car elle exploite la psychologie humaine plutôt que des failles techniques. Un email ou un SMS imitant parfaitement les communications de votre banque vous incite à cliquer sur un lien frauduleux et à saisir vos identifiants sur une page miroir. Des variantes plus sophistiquées comme le vishing (appel téléphonique frauduleux) ou le spoofing téléphonique — où le numéro affiché est identique à celui de votre vrai conseiller — ont été reconnues par la Cour de cassation française en octobre 2024 comme des cas où la responsabilité de la banque peut être engagée.
L’ingénierie sociale et les biais cognitifs
Les cybercriminels spécialisés dans le secteur financier ne cherchent pas uniquement à exploiter des failles techniques. Ils s’appuient sur des mécanismes psychologiques bien documentés : le biais d’autorité (se faire passer pour le responsable de la sécurité de votre banque), l’urgence artificielle (« votre compte sera bloqué dans 24 heures »), ou l’appât du gain. Ces techniques contournent les systèmes de sécurité les plus perfectionnés en ciblant le maillon humain. Les fraudeurs exploitent des comportements universels — la peur, la panique ou la promesse d’un gain rapide — pour pousser leurs cibles à agir sans réfléchir.
Le vol massif de données bancaires
Contrairement aux attaques visibles, les intrusions visant à exfiltrer silencieusement des bases de données sont souvent découvertes des semaines ou des mois après les faits. L’affaire FICOBA illustre parfaitement ce risque : un acteur malveillant a usurpé les identifiants d’un fonctionnaire pour consulter discrètement les données bancaires de 1,2 million de Français entre fin janvier et février 2026. Parmi les données exposées figuraient notamment les coordonnées bancaires complètes, l’identité des titulaires et dans certains cas leur identifiant fiscal. Pour comprendre exactement ce que contient un RIB bancaire et quels risques entraîne la divulgation de ces informations, consultez notre article dédié.
Cas réels en France : ce qui s’est passé ces derniers mois
L’actualité récente offre une illustration sans équivoque de l’intensification du risque cyber dans le secteur bancaire français. Loin d’être des événements isolés, les incidents survenus en quelques semaines forment une tendance de fond que les autorités elles-mêmes reconnaissent.
La Banque Postale : la plus grande attaque DDoS jamais subie par une banque française
Entre le 22 décembre 2025 et le 5 janvier 2026, les infrastructures du groupe La Poste ont été frappées par une série de vagues d’attaques DDoS d’une intensité sans précédent. Selon le directeur général adjoint de La Banque Postale en charge du numérique, 400 experts ont été mobilisés en continu pour basculer sur des infrastructures de secours, filtrer les flux malveillants et coordonner la réponse avec les services spécialisés de la Gendarmerie nationale. Les fonds des clients n’ont à aucun moment été compromis, mais l’indisponibilité des services en ligne pendant les fêtes de fin d’année a touché des millions de clients particuliers.
Le piratage de FICOBA : 1,2 million de comptes exposés
En février 2026, la Direction Générale des Finances Publiques (DGFiP) a révélé qu’un acteur malveillant avait accédé frauduleusement au fichier national des comptes bancaires FICOBA fin janvier. Cette intrusion, rendue possible par l’usurpation des identifiants d’un fonctionnaire, a exposé des données sensibles concernant 1,2 million de comptes : coordonnées bancaires complètes, identité des titulaires et dans certains cas identifiant fiscal. La CNIL a été notifiée, une plainte a été déposée et l’ANSSI a été mobilisée pour renforcer la sécurité du système d’information de la DGFiP.
Harvest, BPCE, MAIF : la chaîne de sous-traitance en première ligne
En février 2025, Harvest — éditeur de logiciels financiers travaillant notamment avec le groupe BPCE (Banque Populaire et Caisse d’Épargne) et la MAIF — a été victime d’une intrusion qui a exposé les données personnelles de nombreux clients. Cet épisode met en lumière un angle d’attaque souvent négligé : les fournisseurs technologiques des banques représentent une porte d’entrée potentielle, même lorsque les systèmes centraux des établissements bancaires sont eux-mêmes bien protégés.
Ces cas illustrent deux réalités complémentaires : les banques investissent massivement dans leur résilience et font généralement face aux crises avec efficacité ; mais aucun établissement n’est totalement imperméable, et c’est aux clients d’être informés et préparés.
Pourquoi les banques sont-elles des cibles aussi attractives ?
La réponse tient à trois facteurs structurels qui font du secteur bancaire la cible numéro un des cybercriminels, loin devant d’autres secteurs.
L’argent, moteur premier. Du braquage d’agence à l’attaque informatique, la motivation reste identique : le gain financier. Sauf que le rapport risque/rendement d’une cyberattaque bien orchestrée est infiniment plus favorable pour les criminels que n’importe quelle action physique. Le réseau SWIFT, qui traite des milliards de transactions interbancaires quotidiennement, reste une cible de premier plan — l’attaque contre la Banque Centrale du Bangladesh ayant permis de détourner près de 81 millions de dollars en est l’exemple emblématique.
La confiance comme vecteur de déstabilisation. Un système bancaire fonctionne sur la confiance des déposants. Une cyberattaque réussie ne vise pas uniquement à voler : elle peut chercher à éroder cette confiance, provoquer des mouvements de panique ou nuire à l’image d’un établissement. Dans un contexte de tensions géopolitiques accrues, plusieurs groupes hacktivistes — notamment pro-russes — ont explicitement ciblé des banques européennes pour leur valeur symbolique.
La numérisation accélérée crée mécaniquement de nouvelles surfaces d’attaque. L’essor des banques en ligne, des applications mobiles, des paiements instantanés et du cloud computing a multiplié les points d’entrée potentiels. Chaque nouveau service numérique est une opportunité pour les utilisateurs… et une surface supplémentaire à surveiller pour les équipes de sécurité. Le secteur financier consacre des budgets considérables à la cybersécurité, mais la course entre attaquants et défenseurs ne connaît pas de ligne d’arrivée.
DORA et la réglementation : ce que les banques sont désormais obligées de faire
Depuis janvier 2025, le règlement européen DORA — Digital Operational Resilience Act — est pleinement entré en vigueur. C’est une petite révolution réglementaire dont on parle encore trop peu du côté des particuliers, alors qu’il change concrètement ce que vous êtes en droit d’attendre de votre banque.
Ce que DORA impose aux banques
DORA oblige l’ensemble des entités financières de l’Union européenne — banques, assureurs, sociétés d’investissement, prestataires de paiement — à mettre en place une gestion formelle et documentée du risque informatique. Cela se traduit par plusieurs obligations concrètes : tester régulièrement leurs dispositifs de sécurité via des exercices de simulation d’attaque (similaires au cadre TIBER-FR déjà déployé en France par la Banque de France, l’ACPR et l’AMF), signaler tout incident significatif aux autorités compétentes dans des délais très stricts, et surveiller les risques liés à leurs prestataires informatiques tiers — une exigence directement inspirée des incidents comme celui de Harvest.
Ce que cela change pour vous
Concrètement, DORA signifie que votre banque ne peut plus se permettre d’improviser face à une cyberattaque. Elle doit disposer d’un plan de réponse éprouvé, de systèmes de bascule opérationnels, et d’une chaîne de communication transparente vers ses clients et les régulateurs. L’objectif est clair : que même sous attaque, les services essentiels — paiements, retraits, virements — continuent de fonctionner. La Banque Postale a illustré ce principe lors de l’attaque de décembre 2025 : malgré l’indisponibilité du site internet, les retraits aux distributeurs et les paiements par carte n’ont jamais été interrompus.
DORA s’articule avec la directive NIS2, qui renforce les obligations de cybersécurité pour les opérateurs d’infrastructures essentielles dont font partie les banques, et avec la directive DSP2 qui impose l’authentification forte (SCA) pour valider tout paiement en ligne.
Vos droits en tant que client : remboursement, garanties et recours
C’est souvent la question la plus concrète qui se pose : si ma banque est piratée, est-ce que je perds mon argent ? La réponse est rassurante, à condition de connaître les règles du jeu.
La garantie des dépôts : jusqu’à 100 000 euros protégés
Le Fonds de Garantie des Dépôts et de Résolution (FGDR) couvre vos dépôts jusqu’à 100 000 euros par banque et par déposant en cas de faillite de l’établissement. Cette garantie s’applique quel que soit le motif de la défaillance, y compris si une cyberattaque majeure entraînait une insolvabilité. Pour les situations hors faillite — c’est-à-dire dans la grande majorité des cyberattaques réelles — c’est la législation sur les paiements non autorisés qui s’applique.
Le remboursement en cas de paiement frauduleux : une obligation légale
En vertu de la directive DSP2 transposée dans le Code monétaire et financier, votre banque a l’obligation de vous rembourser tout paiement non autorisé dans un délai d’un jour ouvré à compter de votre signalement. Elle supporte la charge de la preuve : c’est à elle de démontrer que vous avez agi de manière frauduleuse ou par négligence grave. La jurisprudence française a précisé cette notion : un client victime d’un appel téléphonique frauduleux faisant apparaître le vrai numéro de sa conseillère bancaire (spoofing) n’est pas considéré comme négligent, ainsi que l’a jugé la chambre commerciale de la Cour de cassation en octobre 2024.
En pratique, la « négligence grave » correspond à des comportements clairement fautifs : communiquer volontairement votre code PIN, partager votre mot de passe en réponse à un email non sollicité, ou confirmer une opération manifestement douteuse sans exercer la moindre vigilance. Elle ne s’applique pas lorsque vous avez été la victime d’une manipulation sophistiquée que n’importe quelle personne raisonnablement prudente n’aurait pas su déjouer.
Que faire si votre RIB ou IBAN a été volé ?
Suite au piratage de FICOBA notamment, de nombreux clients s’interrogent sur les risques liés à la divulgation de leur IBAN. La situation est moins alarmante qu’il n’y paraît, mais elle n’est pas sans risque. Un RIB bancaire permet à son détenteur d’initier des prélèvements — une fraude possible mais complexe à réaliser. La parade la plus efficace, méconnue car peu mise en avant par les banques elles-mêmes, est d’activer une liste blanche de créanciers autorisés sur votre compte : tout prélèvement provenant d’un créancier non répertorié est automatiquement rejeté. Cette option existe depuis 2014 dans le cadre du règlement SEPA européen.
Que faire si votre banque est victime d’une cyberattaque ?
La conduite à tenir dépend du type d’incident. Voici les démarches à suivre selon les situations les plus courantes.
Votre banque est indisponible (attaque DDoS)
Pas de panique dans un premier temps. Une attaque par déni de service ne compromet pas vos fonds ni vos données. Vérifiez la page de statut officielle de votre banque ou ses réseaux sociaux pour obtenir des informations en temps réel. Gardez à portée de main le numéro de téléphone de votre banque — celui inscrit au dos de votre carte bancaire — pour les opérations urgentes qui ne peuvent pas attendre. Vos paiements par carte et vos retraits aux distributeurs resteront en général opérationnels même si l’espace en ligne est inaccessible.
Vous suspectez une fraude sur votre compte
Agissez immédiatement et dans cet ordre : appelez votre banque au numéro officiel (jamais un numéro reçu par SMS ou email), demandez le blocage provisoire de vos paiements en ligne si cela est possible, faites opposition sur votre carte si des transactions non reconnues apparaissent, puis signalez l’incident par lettre recommandée avec accusé de réception pour conserver une trace opposable. Conservez toutes les preuves disponibles : captures d’écran, emails reçus, historique d’appels. Consultez notre guide sur les signaux d’alerte des arnaques bancaires pour documenter les indices caractéristiques d’une tentative de fraude.
Vos données personnelles ont été exposées
Si votre banque ou un de ses prestataires vous informe d’une fuite de données vous concernant, plusieurs réflexes s’imposent : changez immédiatement votre mot de passe d’accès à votre espace bancaire en ligne, activez ou renforcez la double authentification sur votre compte, et signalez toute tentative d’hameçonnage utilisant vos données personnelles sur cybermalveillance.gouv.fr. Si des débits frauduleux surviennent, suivez la procédure de remboursement décrite plus haut. Vous pouvez également déposer plainte auprès de la police ou de la gendarmerie en demandant à être reçu par un enquêteur spécialisé en criminalité informatique (ESCI pour la police nationale, NTECH pour la gendarmerie).
Protéger votre compte au quotidien : les mesures qui changent tout
La sécurité de votre compte bancaire ne repose pas uniquement sur les défenses techniques de votre banque. Quelques habitudes simples réduisent considérablement votre exposition au risque.
Activez systématiquement la double authentification
L’authentification forte à deux facteurs est désormais obligatoire pour les paiements en ligne en Europe depuis la DSP2, mais elle peut également être activée pour l’accès à votre espace bancaire lui-même. Ne la désactivez jamais par commodité. C’est la barrière la plus efficace contre l’utilisation frauduleuse de vos identifiants, même volés.
Ne négligez pas le CVV de votre carte bancaire
Le code CVV — les trois chiffres au dos de votre carte — est l’un des remparts les plus efficaces contre la fraude en ligne. Il n’est stocké nulle part dans les systèmes informatiques des commerçants, ce qui le rend inutilisable par les pirates ayant piraté une base de données marchande. La réglementation PCI DSS interdit formellement aux commerçants de le conserver après une transaction. Pour comprendre en détail comment ce code vous protège et pourquoi il ne faut jamais le communiquer à un tiers, notre guide complet sur le CVV de carte bancaire vous donnera toutes les réponses.
Utilisez un mot de passe unique et robuste
Un mot de passe réutilisé sur plusieurs services est une invitation au credential stuffing — technique par laquelle les pirates testent des millions de combinaisons issues de fuites de données antérieures. Un gestionnaire de mots de passe vous permet de générer et stocker des mots de passe complexes et uniques pour chaque service sans avoir à tous les mémoriser. Activez également les alertes SMS ou notifications push pour chaque transaction : les fraudeurs testent souvent leurs accès avec des micro-transactions avant de passer à des débits plus importants.
Méfiez-vous des communications non sollicitées
Votre banque ne vous demandera jamais votre code secret, vos numéros complets de carte bancaire, ni vos identifiants de connexion par email, SMS ou téléphone. Tout message qui crée une urgence — « votre compte sera bloqué si vous ne cliquez pas maintenant » — doit éveiller votre vigilance. En cas de doute, raccrochez, patientez quelques minutes, et rappelez votre banque au numéro officiel inscrit sur votre carte.
Envisagez un changement de banque si la vôtre manque d’outils de sécurité
Toutes les banques ne proposent pas le même niveau d’outillage de sécurité pour leurs clients : alertes de transaction en temps réel, blocage des paiements en ligne à la demande, gestion des plafonds personnalisés, liste blanche de prélèvements… Si votre établissement actuel ne vous offre pas ces garanties, il peut être pertinent d’envisager un changement. La procédure de mobilité bancaire encadrée par la loi Macron vous permet de changer d’établissement gratuitement en 22 jours ouvrés maximum, sans avoir à gérer vous-même le transfert de vos prélèvements et virements permanents.
Ce qu’il faut retenir
Les cyberattaques contre les banques ne sont plus des événements exceptionnels : elles font partie du paysage ordinaire du système financier numérique. La bonne nouvelle est que la réglementation française et européenne offre aux clients des protections solides — notamment l’obligation de remboursement en cas de paiement non autorisé — et que les banques, sous la pression de DORA, investissent massivement dans leur résilience.
La mauvaise nouvelle est que la sophistication des attaques progresse aussi vite que les défenses, et que le facteur humain reste le maillon le plus sollicité par les attaquants. Être informé, c’est déjà se protéger. Et face à un incident, agir vite et conserver les preuves reste la clé pour faire valoir ses droits.
Questions fréquentes sur les cyberattaques bancaires
Que faire immédiatement si ma banque subit une cyberattaque ?
Contactez votre banque par téléphone via le numéro officiel figurant sur votre carte bancaire, vérifiez vos dernières opérations, signalez toute anomalie et bloquez temporairement vos paiements en ligne si votre banque propose cette option. Ne cliquez sur aucun lien reçu par email ou SMS se réclamant de votre banque pendant la période d’incident.
Mon argent est-il garanti en cas de cyberattaque sur ma banque ?
Le Fonds de Garantie des Dépôts et de Résolution (FGDR) couvre vos dépôts jusqu’à 100 000 euros par banque en cas de faillite. En cas de fraude liée à une cyberattaque, votre banque est légalement tenue de vous rembourser dans la majorité des situations, sauf preuve de négligence grave de votre part.
La banque est-elle obligée de me rembourser en cas de fraude liée à une cyberattaque ?
Oui. En application de la directive DSP2 transposée en droit français, votre banque doit rembourser tout paiement non autorisé dans un délai d’un jour ouvré à compter de votre signalement, sauf si elle démontre que vous avez agi de façon frauduleuse ou par négligence grave — la charge de la preuve lui incombant entièrement.
Qu’est-ce que la réglementation DORA et en quoi me concerne-t-elle en tant que client ?
Le règlement DORA, entré en vigueur en janvier 2025, oblige toutes les banques et établissements financiers européens à renforcer leur résilience numérique, à tester régulièrement leurs défenses et à signaler rapidement les incidents aux régulateurs. En pratique, votre banque doit être mieux préparée et plus transparente face à toute cyberattaque.
Mon IBAN a été volé lors d’une fuite de données bancaires. Que risqué-je ?
Un IBAN seul permet principalement d’initier des prélèvements frauduleux. Votre banque est tenue de rejeter tout prélèvement non autorisé si vous le signalez. Vous pouvez activer une liste blanche de créanciers autorisés pour bloquer préventivement tout prélèvement non reconnu — une option disponible depuis 2014 dans le cadre du règlement SEPA.
Sources et références
- Banque de France — Surveillance du risque cyber et cadre TIBER-FR (banque-france.fr)
- ANSSI — Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr)
- La Banque Postale — Retour d’expérience sur l’attaque DDoS décembre 2025 – janvier 2026
- DGFiP — Communiqué officiel sur le piratage du fichier FICOBA, février 2026
- Règlement européen DORA — Journal officiel de l’Union européenne, décembre 2022
- Cybermalveillance.gouv.fr — Fiches réflexes hameçonnage et bilan annuel
- Cour de cassation, chambre commerciale, arrêt du 23 octobre 2024 (spoofing téléphonique)
- Observatoire de la sécurité des moyens de paiement — Rapport annuel Banque de France
Cet article est fourni à titre informatif. Pour tout litige bancaire, nous vous recommandons de contacter le médiateur de votre banque ou de consulter un professionnel du droit.