APT : ces groupes qui opèrent dans l’ombre des États

Toutes les cyberattaques ne visent pas un gain immédiat. Certaines s’inscrivent dans des stratégies de long terme, où l’enjeu n’est ni la visibilité ni la rapidité, mais la discrétion et la persistance. C’est le terrain des APT — ces groupes souvent liés à des États, spécialisés dans le cyberespionnage et le sabotage.

Dans cet épisode d’INCYBER Voices, Mathieu Tartare, chercheur senior chez ESET, revient sur leur fonctionnement et leurs modes opératoires. Contrairement au cybercrime classique, ces groupes ciblent précisément leurs victimes en fonction d’objectifs géopolitiques, économiques ou militaires. Ministères, infrastructures critiques, entreprises stratégiques ou universités : aucune organisation n’est totalement hors de leur radar.

Leur force tient autant à leurs moyens qu’à leur capacité à durer dans les systèmes compromis. L’objectif est souvent d’observer, de collecter de l’information ou de préparer une action future, parfois sur plusieurs mois. Certaines opérations, comme celles observées en Ukraine avant l’invasion de 2022, montrent à quel point le cyber peut s’inscrire dans une logique de préparation militaire.

Attribuer ces attaques reste toutefois un exercice complexe. Les indices sont nombreux, mais manipulables. Les attaquants peuvent brouiller les pistes, partager leurs outils ou imiter d’autres groupes. L’analyse repose alors sur un travail de recoupement, à mi-chemin entre expertise technique et renseignement.

Au-delà des États, le secteur privé est de plus en plus exposé, notamment via des attaques sur la chaîne d’approvisionnement ou des compromissions indirectes. Dans ce contexte, la threat intelligence joue un rôle central : collecter, analyser et partager l’information devient essentiel pour détecter plus tôt et mieux comprendre ces campagnes.

Une certitude se dessine : ces opérations ne vont pas ralentir. Elles s’étendent, se professionnalisent et s’inscrivent durablement dans les rapports de force internationaux.