Cyberattaques : la France à découvert

Guy-Philippe Goldstein, enseignant à l’École de Guerre Économique (PHOTO @guypgoldstein/X) - Couverture du livre : « Cyberdéfense & Cyberpuissance au XXIie siècle », 354 pages, Éditions Balland.

Dans quels secteurs se concentrent les cyberattaques aujourd’hui ?

La réponse est simple : partout ou presque. La surface d’attaque — tout ce qui est connecté, interconnecté ou administré à distance — s’est étendue au point de couvrir l’économie entière. Le rapport 2025 de l’ANSSI (portant sur l’année 2024) souligne d’ailleurs une part croissante de PME parmi les cibles, autour d’un tiers, aux côtés des institutions publiques et des grands groupes. Les entreprises restent des cibles privilégiées, parce que les auteurs des attaques cherchent l’argent là où il se trouve. Le baromètre du CESIN évoque sur les deux dernières années entre 40% et 47 % de grandes entreprises ayant subi une attaque « significative » sur la période étudiée, avec des impacts sévères dans 80% des cas. D’autres indicateurs convergent : dans les enquêtes auprès des dirigeants, le risque cyber apparaît comme une préoccupation de premier plan.

Pourquoi la prise de conscience s’accélère-t-elle seulement aujourd’hui ?

Parce que la montée en puissance s’est faite par paliers, avec un vrai saut d’échelle depuis 2020. Avant 2015, le sujet restait relativement discret. Entre 2015 et 2020, la conscience progresse d’abord dans la finance, puis dans l’industrie : on commence à intégrer qu’il ne s’agit pas d’un simple « problème informatique », mais bel et bien d’un risque stratégique.

Depuis la crise du Covid, la bascule devient visible : télétravail, ouverture accélérée des systèmes, industrialisation du ransomware¹, explosion du phishing². Le volume d’attaques est alors multiplié par trois, et parfois jusqu’à cinq selon les périmètres. Et surtout, après la crise sanitaire, on ne « redescend » pas, le niveau reste très élevé. Dans le même temps, la cyberattaque s’est banalisée jusque dans des secteurs inattendus. Un chiffre illustre cette diffusion : environ 20 % des exploitations agricoles auraient déjà été touchées. Cela ne veut pas dire que tout le monde subit des attaques d’ampleur équivalente ; mais cela confirme que, dès qu’un domaine se numérise, il devient attaquable.

Attribution d’une attaque et profils des auteurs

Quand peut-on officiellement attribuer une cyberattaque à un État ?

L’attribution est l’un des points les plus complexes : c’est à la fois une affaire de preuves techniques et un geste politique. Pendant longtemps, la France a été réticente à attribuer officiellement telle attaque à tel pays. Les raisons sont multiples : ne pas afficher une dépendance à des partenaires étrangers, éviter l’erreur publique, et préserver un espace diplomatique. Les lignes bougent progressivement. L’une des premières attributions officielles, en 2021, concernait des groupes chinois. Puis un tournant intervient en avril 2025, lorsque la France attribue publiquement à la Russie — au GRU via le groupe APT28 — un ensemble d’opérations, en revenant aussi sur un « secret de Polichinelle » : l’attaque contre TV5Monde en 2015, que plusieurs observateurs avaient déjà reliée à des intérêts russes. L’objectif de l’attribution c’est aussi la dissuasion, la capacité à dire « nous savons », et signifier que l’on se prépare à répondre.

L’enjeu, pour un État, est double : être crédible en n’attribuant pas à tort, et être utile, c’est-à-dire que l’attribution doit s’accompagner d’un renforcement concret. C’est aussi une manière de structurer le débat public : distinguer l’espionnage, la nuisance politique, la déstabilisation, y compris informationnelle, et la cybercriminalité pure.

Pourquoi la France a-t-elle été si prudente à désigner les auteurs de ces attaques ?

Tant que l’État estime ne pas pouvoir attribuer avec un niveau de confiance suffisant, il évite de s’exposer, et il évite aussi de révéler ses dépendances ou ses méthodes. Viennent ensuite l’aspect diplomatique et le calendrier géopolitique : attribuer publiquement, c’est envoyer un signal, assumer une posture plus frontale, et donc se préparer à des suites (renforcement de la défense, éventuellement une riposte). Jusqu’en 2022, certains choix relevaient encore d’un équilibre : maintenir des canaux, éviter l’escalade. Après, les raisons deviennent plus difficiles à lire … l’idée avancée est qu’un pays comme la France est traditionnellement économe dans les signaux qu’il envoie. Il y a aussi la possibilité d’un calendrier, qui vise par exemple ne pas multiplier les signaux avant des échéances sensibles, telles que de grands événements. Attribuer, c’est aussi dire que l’on assume d’entrer dans une logique de rapport de force. Autrement dit, l’attribution n’est pas seulement un diagnostic ; c’est un message stratégique.

Où se situe la frontière entre les États-Nations et les cybercriminels isolés ?

Elle est souvent brouillée. Certaines attaques visant des services publics peuvent s’inscrire dans une logique de pression politique — avec des groupes identifiés, comme NoName057, qui a revendiqué l’attaque contre La Poste en France fin 2025, régulièrement cités dans l’écosystème. Mais une grande partie du paysage relève d’une « zone grise » : des acteurs criminels, motivés par le gain, opèrent depuis des territoires où ils sont tolérés ou protégés, parfois avec des consignes implicites (ne pas viser certaines cibles, ou au contraire frapper des adversaires clairement désignés). Cette zone grise peut prendre la forme d’un mercenariat encadré : des talents techniques opèrent à la frontière entre l’action étatique et la cybercriminalité. Un indicateur récurrent est la consigne donnée par les commanditaires d’une attaque à certains hackers d’éviter les cibles dont les systèmes sont en alphabet cyrillique, c’est-à-dire des intérêts domestiques qui renvoient logiquement à la Russie. Ce type de règle informelle illustre la porosité entre écosystème criminel et environnement étatique.

En France, quels exemples récents illustrent cette diversité d’attaques ?

On voit coexister plusieurs registres. D’un côté, des attaques de déni de service³ (DDoS) qui saturent des serveurs : les services tombent temporairement sans forcément qu’il y ait une intrusion « profonde ». L’attaque visant La Poste a marqué les esprits, et plus largement plusieurs collectivités et services publics ont été ciblés sur des périodes récentes.

De l’autre, des compromissions et fuites de données, parfois liées à des interdépendances logicielles : quand un outil très répandu est vulnérable, l’effet peut se diffuser sur un ensemble large d’organisations qui l’utilisent.

Enfin, certains cas rappellent que la nature des données compte autant que la volumétrie : une fuite sur la Fédération française de tir, même moins massive qu’un incident touchant une compagnie aérienne, peut être très sensible si elle expose des informations liées à la détention d’armes, aux armureries, ou à des localisations. D’où l’idée qu’il faut classer les risques non seulement par taille, mais par criticité des informations. On a aussi vu, sur des cas médiatisés, des fuites touchant des millions de clients (par exemple Conforama) ainsi que des incidents affectant des entreprises de secteurs très différents (transport aérien, luxe, distribution). L’enseignement est le même : dès qu’un système gère des identités, des paiements, des données clients ou de la production, il devient une cible.

L’année 2025 a donné le sentiment d’une recrudescence. Comment l’expliquer ?

D’abord, par une tentation de relâchement après 2024. Quand une organisation traverse une période à risque sans incident majeur, elle peut surestimer sa maturité, ou arbitrer ses budgets à la baisse dans un contexte économique tendu. Problème : les attaquants, eux, ne s’arrêtent pas, et l’interconnexion des systèmes continue de s’étendre. Deuxième facteur : la géopolitique. Par ailleurs, si la Russie reste centrale dans l’imaginaire public, la Chine est aussi un acteur majeur, notamment via l’espionnage, les compromissions et la pression sur des secteurs stratégiques (télécoms, défense). Même lorsqu’une attaque est « crapuleuse », elle peut être orientée, tolérée ou instrumentalisée.

Un point notable de l’année 2024 est la préparation autour des JO : beaucoup d’acteurs, publics comme privés, ont mis les bouchées doubles avant l’événement, ce qui a pu jouer un rôle dissuasif. Après une phase de mobilisation intense, un relâchement est possible — et l’on observe ensuite une reprise forte de certaines attaques. Dans ce paysage, distinguer la volumétrie de l’impact est essentiel : des milliers de tentatives n’ont pas le même sens qu’une opération concertée, ciblée et structurée.

IA, deepfakes et accélération du risque

Qu’est-ce que l’intelligence artificielle change concrètement aux cyberattaques ?

Elle agit comme un accélérateur, surtout sur l’ingénierie sociale. Le phishing n’a plus besoin d’être grossier : l’IA produit des messages crédibles, sans fautes, et peut imiter le style d’écriture d’un dirigeant si des éléments internes ont fuité. Résultat : davantage de volume, mais aussi une augmentation inquiétante de la qualité des attaques. Deuxième rupture : le clonage vocal. Les arnaques « au proche en détresse » ont explosé aux États-Unis dès 2023 ; un exemple français est cité à Angers en septembre 2024, où l’appel « de la mère » s’avère être une imitation, détectée grâce à un rappel sur un autre numéro. Autre phénomène montant : les deepfakes⁴ en visioconférence. Un exemple emblématique survenu à Hong Kong en janvier 2024 décrit une réunion vidéo où plusieurs interlocuteurs paraissent identifiables — un vecteur de pression sociale — et qui aboutit à un virement bancaire, avant que l’on découvre que les visages étaient synthétiques. La technique progresse, mais la faille reste souvent humaine, parce qu’elle exploite l’urgence, l’autorité et l’émotion.

La France est-elle prête face à cette accélération ?

En France, dans le haut du spectre, les très grands groupes et les administrations critiques ont progressé, et la protection cyber de grands événements a montré une capacité de mobilisation. Mais l’enjeu central n’est plus seulement le niveau, c’est la vitesse d’adaptation. La comparaison internationale nuance certains clichés : les États-Unis ne sont pas toujours « les meilleurs » en la matière ; les pays nordiques et les Pays-Bas sont souvent cités comme très structurés. En France, le risque est surtout l’hétérogénéité : les grandes organisations peuvent s’ajuster vite, tandis que des PME/ETI, dépendantes de prestataires et d’outils standardisés, restent plus exposées. Or une chaîne vaut par son maillon le plus faible : les grands groupes dépendent aussi de l’hygiène numérique de leurs sous-traitants. Un autre message est que la cybersécurité ne se gagne pas uniquement avec de la technologie : c’est une discipline de processus, de rigueur et de culture. La technique sans gouvernance, sans contrôle d’accès, sans protections de base, reste fragile. Et l’effet de chaîne est permanent : un prestataire mal protégé, une messagerie mal gérée, un accès non révoqué (par exemple un compte resté actif après une mission) peuvent devenir une porte d’entrée.

Le robot « hacker autonome » : science-fiction ou horizon proche ?

La thématique des agents IA capables de conduire de bout en bout des opérations offensives complexes, c’est-à-dire une machine agissant comme un hacker autonome, prend effectivement une ampleur croissante dans nos milieux. En 2024, cela restait un risque émergent. Début 2025, des signaux apparaissent, et certains chercheurs alertent sur un possible point de bascule : la difficulté n’est plus de produire un message ou un faux, mais de gérer des campagnes longues et adaptatives. Or ces capacités progressent vite. La contrepartie, c’est que l’IA renforce aussi la défense qui dispose également d’outils augmentés (détection, triage, automatisation). Tout se joue sur la vitesse : si l’on reste attentiste, on subit ; si l’on investit et que l’on généralise des pratiques robustes, on peut regagner du terrain. Sans impulsion et sans outils mutualisés, la marche peut être trop haute pour une partie du tissu économique. La question n’est plus « faut‑il s’y mettre ? », mais « comment éviter de décrocher ? ».

(*) Guy-Philippe Goldstein est enseignant à l’École de Guerre Économique, Advisor pour PwC et pour différents fonds d’investissement. Il est également l’auteur de Cyberdéfense & Cyberpuissance au XXI^e siècle (Éditions Balland), prix du Livre Cyber 2021 à la European Cyber Conference.

¹ Logiciel malveillant qui chiffre ou bloque l’accès à des données et exige une rançon pour les récupérer.

² Arnaque visant à faire révéler des informations sensibles via un faux message ou site.

³ Attaque consistant à saturer un service avec un énorme trafic pour le rendre indisponible.

⁴ Faux contenu (vidéo, audio ou image) généré par IA qui imite très réalistement une personne.