![[FORUM INCYBER 2026]Pour une poignée de data : quand la donnée devient arme](https://incyber.org//wp-content/uploads/import/post/2023/01/le-gang-de-rancongiciel-hive-mis-hors-ligne.jpg)
FORUM INCYBER 2026Pour une poignée de data : quand la donnée devient arme
Faire la guerre sans la déclarer
« Selon les écrits de la doctrine russe, il est possible de remporter un conflit sans qu’il soit déclaré. Pendant de nombreuses années, nous avons refusé d’admettre qu’il s’agissait en réalité d’une guerre ». Alexander Klimburg, chercheur au Hague Center for Strategic Studies, retrace la doctrine russe de guerre hybride telle qu’elle apparaît dans les écrits militaires : affaiblir la volonté politique de résistance de l’adversaire avant une confrontation militaire conventionnelle, ou même gagner une guerre sans la déclarer. Le moyen repose sur la combinaison de sabotages, de cyberattaques et de manipulation informationnelle sous couvert de déni plausible. L’État commanditaire se dissimule derrière des acteurs non étatiques, parfois entièrement fabriqués. Klimburg prend pour exemple la cyberattaque massive contre TV5Monde en 2015 : la chaîne mise hors antenne par des “supposés cyber-djihadistes”, et qui s’est révélée être le GRU, le renseignement russe. Les données détruites n’avaient pas de valeur en soi, « la seule motivation était un effet politique. Et ces dernières années, on a vu ce type de tendance s’accélérer massivement. » rappelle-t-il au Grand Palais de Lille.
Dix ans après TV5Monde, le mécanisme semble inchangé. Jun Osawa, directeur de recherche au Dentsu Soken Center for economic security research, qui décrit les récentes attaques contre le Japon parle d’une « weaponisation à deux dimensions ». Première dimension : les attaques DDoS weaponisées liées aux évènements géopolitiques : « Peu après l’annonce à la Conférence de sécurité de Munich d’un important soutien du Japon à l’Ukraine via le mécanisme OTAN, une vague massive d’attaques a visé nos sites gouvernementaux, les sites des autorités locales, les postes de police locaux et les sites de transports locaux. ». Deuxième dimension : les ransomwares weaponisés où Jun Osawa prend pour exemple l’attaque du groupe Qilin contre le géant nippon de la bière Asahi, qu’il analyse comme des « représailles au nom de la Fédération de Russie ».
L’Estonie vit sous ce régime de pression depuis près de vingt ans. Joonas Heiter, directeur de l’Estonian Information System Authority (RIA), confirme une corrélation directe entre les décisions politiques – nouvelles sanctions contre la Russie – et de nouvelles vagues d’attaques mêlant acteurs étatiques, groupes hacktivistes coordonnés et individus isolés.
« Nous ne sommes plus face à des cyberattaques isolées, ce sont des opérations hybrides continues » affirme-t-il.
Mylène Jarossay, présidente du CESIN et RSSI d’LVMH, observe ce changement de paradigme sur le terrain des entreprises françaises. Le vol pur laisse place à un cycle plus pervers d’injection qui dépasse le motif du gain financier : « voler des données, puis injecter de fausses données qui semblent authentiques, c’est clairement pour des raisons politiques, de déstabilisation ».
Cybercriminalité as-a-service
Le général Jean-Philippe Lecouffe, directeur exécutif adjoint d’Europol, décrit le modèle économique qui accélère l’envergure de la menace cyber. Les concepteurs de rançongiciels ne mènent plus les opérations eux-mêmes ; ils vendent leurs outils et récupèrent 30 à 40 % des rançons versées par les victimes. L’IA a encore abaissé le seuil d’entrée. « On observe des groupes criminels où le facteur humain est devenu minimal, c’est la machine qui fait le travail. » Des opérateurs sans compétences techniques particulières lancent des campagnes de phishing massives. Il en résulte « une criminalité très diffuse, avec des acteurs de faible niveau technique qui utilisent des outils d’IA pour accélérer à la fois la vitesse et l’échelle de leurs actions ».
Ce qui transforme cette criminalité industrialisée en composante de la guerre hybride, c’est le lien entre les réseaux et les États qui les hébergent. Lecouffe le formule dans ces termes : ces criminels « s’abritent dans des pays dont les juridictions sont – pudiquement dit – non coopératives, et qui bénéficient de cette protection en échange d’une capacité à fournir des données utiles à ces États : pour détecter des personnes, identifier des fragilités, attaquer certaines cibles ». Il revient sur l’opération LeakBase menée contre le principal site mondial de revente de données personnelles volées : 142 000 acheteurs enregistrés, 215 000 messages privés, des centaines de milliers d’identités à la vente. L’infrastructure a été démantelée, mais aucun opérateur arrêté. La seule règle imposée par les administrateurs du site était l’interdiction de vendre des données volées à des citoyens russes. « Cela en dit long, peut-être, sur l’origine de tout cela » conclut le général Lecouffe en nommant le donneur d’ordres à demi-mot.
En France, le général Patrick Touak, commandant du ComCyber-MI, recense 453 000 faits de cyberdélinquance en 2025, en hausse de 87 % sur cinq ans. Un tiers des victimes sont des personnes physiques ; proportion bien supérieure à celle de la délinquance classique, où elles représentent moins de 20 %. Les fuites de données massives de 2025 alimentent désormais une criminalité dans le monde physique. « Ça commence dans le cyberespace et ça a des impacts bien physiques. » Le général Touak identifie trois zones de convergence entre cybercriminalité et crime classique : les crypto-actifs, les scam centers d’Asie du Sud-Est – où les arnaqueurs sont souvent eux-mêmes des victimes de traite – et plus globalement les structures mafieuses internationales qui exploitent les angles morts entre juridictions.
Temporalité de l’épée et du bouclier : combler le « velocity gap »
Le problème de la temporalité de la réponse, soulevé par plusieurs intervenants, porte un nom dans le jargon anglo-saxon : le velocity gap, l’écart de vitesse entre l’attaque et la défense. Le général Lecouffe décrit ainsi sur scène l’importance d’accélérer la boucle “information-décision” (boucle OODA). Il utilise cette formule d’écart de réactivité pour décrire ce qu’il observe au quotidien : des criminels affranchis de toute contrainte juridictionnelle face à des institutions dont les procédures n’ont pas été conçues pour cette cadence. En France, le général Touak rappelle que les gendarmes consacrent la moitié de leur temps à la rédaction d’enquêtes judiciaires. L’IA doit servir à gagner du temps sur ce genre de tâche : « il faut que le cadre réglementaire nous permette d’aller beaucoup plus vite. Ce n’est pas encore le cas.» regrette-t-il. Virginie Rozière, directrice du numérique du Ministère de l’Europe et des Affaires étrangères, défend, quant à elle, une stratégie de renchérissement du coût de l’attaque par l’attribution publique et les sanctions internationales.
« Historiquement, l’épée se développe toujours avant le bouclier » conclut Alexander Klimburg sur un cadre temporel plus large. Selon lui, l’IA sera nécessairement plus efficace au service de l’offensive que de la défense pendant un temps. « La question sera : combien de dégâts seront causés avant qu’on puisse développer ce bouclier ? ».