Pour frapper les réseaux d'information de leurs adversaires sans risquer l'escalade militaire, les grandes puissances privilégient désormais les opérations clandestines en s'appuyant sur une myriade d'acteurs irréguliers. L'emploi de groupes privés, de mafias numériques ou de collectifs hacktivistes répond à une stratégie géopolitique limpide : celle du « déni plausible ».

En déléguant l’espionnage, le vol de données ou le sabotage à ces mercenaires du numérique, les États commanditaires brouillent volontairement les pistes de l’attribution. À titre d’exemple, la France a été la cible, entre 2021 et 2024, d’une vaste campagne de cyberespionnage contre ses réseaux diplomatiques orchestrée par le groupe APT28, un relais opérationnel du renseignement militaire russe. Ils peuvent ainsi mener des campagnes hautement malveillantes et déstabilisatrices tout en s’octroyant la possibilité de nier farouchement toute implication officielle en cas d’accusation. 

Quelles menaces pour la France?

En France, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui est chargée de la cyber détection et de la cybersécurité des réseaux d’informations de l’État français. Ainsi, chaque année l’agence publie plusieurs rapports afin de dresser l’état des lieux des menaces pour la France. Le bilan est sans appel: l’agence observe une détérioration constante de la sécurité numérique. Dans le document « Panorama de le cybermenace », il est fait mention de 1366 incidents. Par rapport à 2024, il s’agit d’une augmentation de 27 %. Ces intrusions vont du simple harcèlement à la compromission systémique d’infrastructures vitales. Parmi les incidents majeurs, il est fait état de 126 compromissions par rançongiciel et 196 exfiltrations de données. Face à ces attaques qui ciblent des infrastructures stratégiques comme les hôpitaux, les mairies, les ministères et les fleurons industriels, l’attribution devient un véritable casse-tête pour les services de renseignement.

Selon l’ANSSI, ces opérations sont attribuées à 3 catégories d’attaquants, même si la frontière entre elles reste floue. Il y a d’abord les groupes de cybercriminels qui sont principalement motivés par le profit. Ils sont à l’origine de rançongiciels et des extorsions de fonds. Ces activités ne sont pas forcément réalisées à la demande d’un État. Ces groupes possèdent aussi leurs propres intérêts et motivations. Cependant, la réalité du terrain montre que, certains groupes non-étatiques mènent aussi des actions malveillantes notamment en menant des attaques d’extorsions monétaires qui, de fait, servent parfois les intérêts de déstabilisation d’États hostiles. L’ANSSI souligne ensuite que des groupes sont liés aux intérêts stratégiques russes et chinois. Ce sont les acteurs étatiques ou para-étatiques, naviguant sous pavillon de complaisance et collaborant avec les services spéciaux. Selon l’ANSSI, les principales menaces étatiques pour la France sont la Russie et la Chine. Cependant, l’agence mentionne aussi l’implication de l’Iran et de la Corée du Nord. Ces adversaires stratégiques ont parfaitement compris les vulnérabilités de nos sociétés hyperconnectées. Certaines de ces organisations sont connues des services de sécurité. Il y a par exemple le groupe Callisto, notamment pointé du doigt pour ses liens organiques avec le FSB russe (renseignement intérieur) mais aussi le groupe « Typhoon », qui collabore avec les services de renseignements chinois. Enfin, la dernière catégorie comprend les hacktivistes qui sont des groupes agissant par idéologie ou pour des motifs politiques. En complément, le rapport de l’ANSSI précise que ces attaques se traduisent le plus souvent par des dénis de service distribués (DDoS), représentant par exemple 93 % des attaques revendiquées contre les collectivités territoriales. Plus inquiétant encore, l’hacktivisme sert régulièrement d’opération sous « faux drapeau » visant à masquer de véritables actions étatiques et à relayer des campagnes de propagande. Cependant, les Russes et les Chinois possèdent des doctrines différentes quant à l’emploi des groupes irréguliers.

Deux emplois, deux doctrines :  le chaos cultivée de la Russie face à l’industrialisation chinoise

Si les deux superpuissances autoritaires partagent l’objectif d’affaiblir l’Occident et de redessiner l’ordre mondial, leurs méthodes pour mobiliser ces acteurs par procuration (proxies) s’opposent radicalement. La doctrine russe de guerre de l’information (ou « mesures actives ») hérite directement des méthodes soviétiques de subversion politique, adaptées à l’ère numérique. L’approche de Moscou repose sur un écosystème vaste, complexe et souvent opaque, où le renseignement militaire (GRU), le renseignement intérieur (FSB) et le renseignement extérieur (SVR) cultivent des liens troubles avec le crime organisé. Plutôt que d’intégrer formellement ces acteurs, le Kremlin a mis en place un véritable contrat social tacite avec les cybercriminels opérant depuis son territoire : ils bénéficient d’une totale impunité pour mener leurs attaques par rançongiciel (ransomware) et s’enrichir, à la stricte condition de ne jamais cibler les pays de la CEI (Communauté des États Indépendants) et de se tenir à la disposition des services de l’État s’ils sont sollicités. Cette stratégie de l’anarchie cultivée est extrêmement efficace. Elle permet au gouvernement russe de bénéficier de capacités offensives gratuites. Lorsque le besoin s’en fait sentir, le Kremlin s’appuie sur ces ressources criminelles pour mener des opérations de déstabilisation ou confie des missions d’espionnage à des groupes que l’Occident qualifie de « hackers patriotes ». Ces derniers agissent de manière pseudo-indépendante, stimulés par la propagande d’État, ce qui offre à la Russie le fameux déni plausible. Lors de conflits majeurs, comme la guerre en Ukraine, ces supplétifs civils inondent les institutions occidentales d’attaques par déni de service (DDoS). L’objectif de la doctrine russe n’est pas seulement le recueil de renseignement, c’est l’usure, la déstabilisation cognitive et la génération d’un sentiment de vulnérabilité permanente au sein de l’opinion publique ennemie.

La doctrine de la République Populaire de Chine s’inscrit dans un paradigme diamétralement opposé. S’il s’agit également de guerre asymétrique, Pékin opte pour une approche hautement centralisée, hiérarchisée et rationalisée, fruit de la stratégie nationale de « Fusion Civilo-Militaire » (MCF) promue par Xi Jinping. L’objectif chinois est le pillage intellectuel, l’espionnage industriel à grande échelle et la constitution d’un avantage technologique irréversible. Plutôt que de s’allier avec des mafias, l’appareil d’État chinois, en particulier le Ministère de la Sécurité de l’État (MSS) et l’Armée Populaire de Libération (APL), s’appuie sur un vaste écosystème d’entreprises privées de sécurité informatique. La Chine a créé un véritable marché commercial du « piratage à la demande » (hack-for-hire).  Ainsi des sociétés privées concourent officiellement pour remporter des appels d’offres lancés par la police ou le renseignement chinois. Ces mercenaires en col blanc développent des logiciels espions, vendent des accès aux réseaux d’infrastructures critiques de pays tiers, ou proposent des campagnes de désinformation clés en main. L’approche chinoise est industrielle, axée sur les volumes et motivée par le profit d’entreprise dans un cadre légal défini par l’État. Elle permet à Pékin de démultiplier ses capacités d’attaque tout en gardant une façade commerciale, diluant la responsabilité étatique derrière un vernis de prestataires de services informatiques.

Comment la France organise-t-elle sa résilience et sa riposte?

L’État français, conscient de cette vulnérabilité intrinsèque à son modèle ouvert, a opéré un changement de paradigme majeur ces dernières années. La simple posture défensive a laissé place à une politique de traque active, d’élévation du niveau de sécurité légal et de diplomatie de l’attribution. L’ANSSI mène des missions de détection avancée pour contrer le camouflage technologique (ou Living off the Land) des cyber-mercenaires russes et chinois. L’Agence traque particulièrement les angles morts et les vulnérabilités des équipements de bordure (pare-feux, VPN), qui sont à l’origine de plus de la moitié des opérations d’espionnage majeures. Elle repère également la réutilisation d’infrastructures d’attaques (serveurs, certificats) pour relier techniquement ces actes isolés à des donneurs d’ordres étatiques. Face à ces proxys, la France commence à délaisser le silence pour l’attribution publique. En collaborant avec le Centre de Coordination des Crises Cyber (C4) et les services de renseignement, l’ANSSI a récemment imputé à la Russie une série de campagnes de cyberespionnage. Briser publiquement ce « déni plausible » ouvre la voie à des sanctions européennes ciblées (gel des avoirs, interdiction de territoire) pour entraver le financement et la logistique de ces mercenaires. La détection et l’attribution ne suffisant pas, la France a, en plus durcit son hygiène informatique nationale via l’application de la directive NIS 2. Cette réglementation a obligé des milliers d’entités (collectivités, PME sous-traitantes) à appliquer des normes de cybersécurité strictes afin de réduire les vulnérabilités qu’exploitent les adversaires. Pour consolider ce front défensif, la France s’appuie également sur l’expertise d’entreprises du secteur privé, à l’image de la société Sekoia, qui viennent compléter les capacités étatiques d’analyse des menaces. Reste à savoir si cette montée en puissance, tant défensive que diplomatique, suffira à endiguer une menace dont la capacité d’adaptation et d’innovation semble, pour l’heure, sans limites.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.