Les réseaux électriques, les stations d’épuration et les régies d’énergie européennes subissent une pression numérique inédite. Sur le seul premier semestre 2025, les chercheurs ont recensé 3 018 cyberattaques visant en priorité les infrastructures critiques, énergie et administrations publiques en tête. La Pologne reconnaît encaisser 20 à 50 attaques par jour sur ses systèmes vitaux, et le Forum économique mondial constate que 64 % des organisations intègrent désormais le risque d’attaques géopolitiques contre leurs infrastructures. Cette cyberattaque infrastructure énergétique n’est plus un scénario de prospective. Elle structure déjà le quotidien des opérateurs et des régulateurs du continent.
Analyse de la vague 2025-2026, des acteurs impliqués, de l’impact économique et de la riposte réglementaire européenne, avec données chiffrées, comparaison régionale et prévisions à 18 mois.
Une vague d’attaques sans précédent contre l’énergie et l’eau
Le constat dépasse le ressenti. Les opérateurs d’énergie, d’eau et de transport européens font face à une campagne soutenue qui combine déni de service distribué (DDoS), rançongiciel et intrusions discrètes dans les automates industriels. TechCrunch a documenté début juin 2026 une série d’attaques contre des centrales électriques et des barrages à travers l’Europe, qualifiant la tendance d’alarmante. Le centre suisse de cybersécurité, les services de renseignement lettons et les autorités italiennes ont tous publié des alertes convergentes sur la même période.
La cible a changé de nature. Les attaquants ne cherchent plus seulement à voler des données. Ils visent la disponibilité du service public, c’est-à-dire la capacité d’un pays à fournir de l’électricité, de l’eau potable et des transports. Cette bascule transforme un problème informatique en question de sécurité nationale. Les ministres de l’Intérieur, les régulateurs de l’énergie et les agences de cybersécurité partagent désormais le même tableau de bord.
Le contexte géopolitique alimente directement cette escalade. Les services de renseignement lettons (SAB) ont averti en janvier 2026 que la Russie poursuit ses opérations de sabotage, ses campagnes d’influence et la préparation d’attaques contre les systèmes de contrôle industriel (ICS) en Lettonie et dans d’autres pays occidentaux. Le SAB estime que le nombre d’incidents de sabotage et de cyberattaques reste élevé, et que la menace pesant sur les technologies opérationnelles (OT) progresse. Ce diagnostic recoupe celui de plusieurs agences européennes.
Les chiffres clés de l’escalade 2025-2026
Avant d’entrer dans le détail des incidents, le tableau ci-dessous rassemble les principaux indicateurs publiés sur la période. Ces données proviennent de rapports sectoriels, d’agences gouvernementales et d’analystes spécialisés en cybersécurité industrielle.
| Indicateur | Valeur | Période | Source |
|---|---|---|---|
| Cyberattaques visant les infrastructures critiques | 3 018 | S1 2025 | Analyse sectorielle (Risk & Insurance) |
| Attaques quotidiennes sur les infrastructures polonaises | 20 à 50 / jour | 2025 | Autorités polonaises |
| Organisations anticipant des attaques géopolitiques | 64 % | 2026 | WEF, Global Cybersecurity Outlook 2026 |
| Incidents de rançongiciel dans le secteur énergie | 54 | 2025 | Données FBI (jeu cité) |
| Coût moyen mondial d’une violation de données | ~5 M$ | 2024 | Synthèses sectorielles |
| Part des cyberattaques visant l’OT en Europe | 18,2 % | 2025 | Chiffre attribué à l’ENISA (source secondaire) |
Ces six lignes racontent une même histoire. Le volume monte, la part visant les systèmes industriels grimpe, et le coût unitaire d’un incident dépasse désormais largement le seuil que beaucoup d’opérateurs régionaux pensaient gérable. Pour une régie d’eau de taille moyenne, un seul incident peut absorber plusieurs années de budget informatique.
La Suisse, premier signal d’alarme de janvier 2025
En janvier 2025, une vague d’attaques DDoS a frappé plusieurs autorités et institutions suisses. Les sites du canton de Schaffhouse et de la ville de Genève ont été perturbés. Plus révélateur, le fournisseur d’énergie schaffhousois SH Power et la ville de Sierre ont enregistré des erreurs et des coupures de service, signe que la campagne débordait des sites gouvernementaux vers des services proches des infrastructures vitales.
L’attaque a aussi touché les banques cantonales de Zurich et de Vaud, ainsi que les sites de plusieurs communes lucernoises. Le groupe pro-russe NoName a revendiqué une partie de cette offensive. Le mode opératoire, simple en apparence, sert un objectif politique clair. Saturer les portails publics d’un pays neutre envoie un message, démontre une capacité de nuisance et teste les défenses sans franchir le seuil d’un acte de guerre ouvert.
La Suisse n’est pas membre de l’Union européenne, mais l’épisode a valeur d’avertissement pour tout le continent. Un fournisseur d’énergie régional dispose rarement des moyens d’un grand groupe. Quand l’attaquant choisit la cible la plus faible d’une chaîne d’approvisionnement, il atteint indirectement des millions d’usagers. Cette logique du maillon faible structure la quasi-totalité des campagnes observées depuis.
Février 2026, le rail allemand paralysé
En février 2026, l’opérateur ferroviaire national allemand a subi une cyberattaque qui a désorganisé la billetterie et l’information horaire. L’offensive, de type DDoS, a provoqué des pannes dans les outils d’information voyageurs et de réservation, sur le site web comme dans l’application Navigator. Aucun train n’a déraillé, mais des centaines de milliers de voyageurs ont perdu l’accès aux services numériques pendant des heures.
Cet incident illustre une frontière devenue floue. La couche numérique d’un service de transport est aussi critique que sa couche physique. Un train peut rouler, mais si les voyageurs ne peuvent ni acheter de billet ni connaître l’horaire, le service est de fait interrompu. Les attaquants l’ont compris. Ils visent l’expérience utilisateur, là où l’impact est immédiat, visible et médiatisé.
Le rail rejoint ainsi l’énergie et l’eau dans la catégorie des cibles à fort effet de levier médiatique. Une perturbation ferroviaire fait la une, alimente le sentiment d’insécurité et érode la confiance dans la capacité de l’État à protéger les services essentiels. C’est précisément l’objectif recherché par les acteurs hacktivistes pro-russes, dont la stratégie mêle nuisance technique et guerre informationnelle.
L’Italie, les Jeux d’hiver et la menace pré-positionnée
L’Italie a bloqué une série de cyberattaques d’origine russe visant des bureaux du ministère des Affaires étrangères et des sites liés aux Jeux d’hiver 2026 de Cortina d’Ampezzo. Les attaquants ne se sont pas limités aux réseaux gouvernementaux. Ils ont ciblé des installations et des hôtels de la station alpine, c’est-à-dire l’infrastructure événementielle elle-même.
Cette extension du périmètre est importante. Un grand événement international concentre l’attention mondiale sur une zone géographique restreinte pendant une fenêtre de temps précise. Pour un adversaire, c’est une occasion idéale de maximiser la visibilité d’une perturbation. La sécurisation d’un tel rendez-vous ne se limite plus aux stades et aux systèmes de billetterie. Elle englobe le réseau électrique régional, l’approvisionnement en eau, les télécommunications et la logistique hôtelière.
L’épisode italien rappelle aussi la notion de pré-positionnement. Les attaquants les plus sophistiqués ne déclenchent pas immédiatement leurs opérations. Ils s’installent discrètement dans les réseaux, cartographient les systèmes et attendent le moment politiquement utile. Cette patience opérationnelle distingue les acteurs étatiques des simples groupes hacktivistes, et complique considérablement la détection.
Qui attaque ? Cartographie des acteurs de la menace
La menace contre les infrastructures européennes n’est pas monolithique. Elle combine des hacktivistes idéologiques, des groupes étatiques ou para-étatiques, et des cybercriminels motivés par l’argent. Le tableau suivant clarifie ces profils, leurs cibles privilégiées et leurs méthodes.
| Profil | Origine présumée | Cibles privilégiées | Méthode dominante | Objectif |
|---|---|---|---|---|
| Hacktivistes pro-russes (type NoName) | Russie / sphère pro-russe | Portails publics, énergie, banques, rail | DDoS | Nuisance, message politique |
| Acteurs étatiques | États hostiles | ICS/OT, ministères, événements | Intrusion, pré-positionnement | Sabotage, espionnage |
| Groupes de rançongiciel | Réseaux cybercriminels | Énergie, santé, industrie | Chiffrement, double extorsion | Gain financier |
| Compromission de la chaîne d’approvisionnement | Variable | Fournisseurs technologiques | Attaque indirecte | Effet de cascade |
| Intrusions via objets connectés exposés | Opportuniste | Capteurs, automates, ports ouverts | Exploitation de failles | Accès initial |
Cette diversité complique la défense. Un opérateur ne peut pas se concentrer sur une seule signature ou un seul vecteur. Il doit résister simultanément à des vagues de DDoS bruyantes et à des intrusions silencieuses qui peuvent rester invisibles pendant des mois. La réponse exige une combinaison de filtrage du trafic, de segmentation réseau et de surveillance continue des systèmes industriels.
Pourquoi les systèmes OT sont la cible idéale
Les technologies opérationnelles (OT) qui pilotent les turbines, les vannes et les automates ont été conçues à une époque où la sécurité informatique n’était pas une priorité. Beaucoup de ces systèmes fonctionnent sans interruption depuis quinze ou vingt ans, sur des logiciels que l’on ne peut pas corriger sans arrêter la production. Cette dette technique constitue une surface d’attaque que les adversaires connaissent parfaitement.
La convergence entre informatique de gestion (IT) et technologies opérationnelles (OT) a aggravé le risque. Pour gagner en efficacité, les opérateurs ont connecté leurs automates aux réseaux d’entreprise, puis à Internet. Chaque passerelle ajoutée crée un chemin potentiel pour un attaquant. Selon une donnée attribuée à l’ENISA, 18,2 % des cyberattaques en Europe visaient les technologies opérationnelles, une proportion qui aurait été marginale il y a dix ans.
Une visibilité limitée sur le terrain industriel
Le problème ne se limite pas aux failles. Beaucoup d’opérateurs n’ont qu’une visibilité partielle sur leur propre parc industriel. Ils ignorent parfois combien d’automates sont connectés, quelles versions de logiciel tournent et quels ports restent ouverts. Or on ne défend pas ce que l’on ne voit pas. La première étape de toute stratégie de résilience consiste à dresser un inventaire complet des actifs OT, un exercice plus difficile qu’il n’y paraît dans des installations décennales.
La vitesse d’exfiltration, nouveau facteur de risque
Au-delà du volume, la rapidité des attaquants a explosé. Selon le rapport 2026 de l’unité de réponse à incident Unit 42 de Palo Alto Networks, le quart le plus rapide des intrusions atteignait l’exfiltration de données en 72 minutes en 2025, contre 285 minutes en 2024. La part des incidents parvenant à l’exfiltration en moins d’une heure est passée de 19 % en 2024 à 22 % en 2025. Le temps médian d’exfiltration s’établissait à deux jours en 2025.
Ces chiffres changent l’équation défensive. Quand un attaquant peut atteindre ses objectifs en un peu plus d’une heure, la fenêtre de réaction d’une équipe de sécurité se réduit à presque rien. Les processus manuels d’analyse et d’escalade, qui prennent souvent plusieurs heures, deviennent inopérants. La détection et la réponse doivent s’automatiser, sous peine d’arriver toujours après la bataille.
Pour les infrastructures critiques, cette accélération est doublement préoccupante. Un incident OT mal contenu peut basculer du vol de données vers la perturbation physique. La compression du temps disponible signifie qu’un opérateur dispose de moins de marge pour distinguer une fausse alerte d’une attaque réelle avant qu’un dommage matériel ne survienne.
L’impact économique et opérationnel
Le coût d’une attaque contre une infrastructure critique dépasse de loin la moyenne mondiale d’environ 5 millions de dollars par violation observée en 2024. Pour un opérateur d’énergie ou d’eau, il faut additionner la remise en état des systèmes, les pertes d’exploitation, les éventuelles sanctions réglementaires et le coût réputationnel. Les données du FBI font état de 54 incidents de rançongiciel dans le seul secteur de l’énergie sur le jeu de données cité pour 2025.
L’impact opérationnel se mesure différemment. Une coupure d’eau ou d’électricité de quelques heures peut déstabiliser des hôpitaux, des chaînes de production et des systèmes de chauffage en hiver. Le préjudice ne se chiffre pas seulement en euros, mais en risques sanitaires et en perte de confiance. C’est cette dimension systémique qui justifie l’intervention massive des régulateurs européens.
Le secteur de l’assurance le constate déjà. Les primes pour la couverture cyber des opérateurs d’infrastructures critiques augmentent, et les conditions se durcissent. Certains assureurs exigent désormais la preuve d’une segmentation réseau et d’un plan de réponse à incident avant d’accorder une couverture. La cybersécurité devient une condition d’assurabilité, donc de viabilité économique.
La réponse réglementaire européenne : NIS2, CER et code réseau
L’Union européenne a construit un arsenal réglementaire dense pour répondre à cette menace. Plusieurs textes forment l’ossature de la riposte, complétés par une stratégie de préparation adoptée en mars 2025. Le tableau suivant les récapitule.
| Texte | Objet | Repère temporel | Portée |
|---|---|---|---|
| Directive NIS2 | Cybersécurité des entités essentielles et importantes | Transposition 2024-2026 | Élargit fortement le nombre de secteurs et d’entités couverts |
| Directive CER (UE/2022/2557) | Résilience des entités critiques | En application | Énergie, eau, transport, santé, infrastructures numériques |
| Code réseau cybersécurité électricité | Exigences minimales pour les flux électriques transfrontaliers | Publié en mai 2024 | Planification, surveillance, signalement, gestion de crise |
| Stratégie de l’Union de la préparation | Prévention et réponse aux menaces hybrides et cyber | Mars 2025 | Inclut explicitement le système énergétique |
| Cyber Resilience Act | Sécurité des produits numériques connectés | Calendrier d’application progressif | Fabricants et éditeurs de produits avec composants numériques |
La directive NIS2 constitue la pièce maîtresse. Elle impose des obligations de gestion des risques, de signalement rapide des incidents et de responsabilité des dirigeants, sous peine de sanctions financières lourdes pour les entités essentielles. La directive CER se concentre sur la résilience physique et organisationnelle, tandis que le code réseau électricité descend au niveau opérationnel des flux transfrontaliers d’énergie.
Le défi n’est plus l’absence de règles, mais leur mise en œuvre. La transposition de NIS2 a pris du retard dans plusieurs États membres, créant une mosaïque d’exigences. Pour un opérateur transfrontalier, cette fragmentation complique la conformité et laisse subsister des angles morts que les attaquants peuvent exploiter.
La France face à la menace : ANSSI et souveraineté
La France a placé la protection des infrastructures critiques au cœur de sa doctrine de cybersécurité. L’ANSSI, agence nationale de référence, coordonne la défense des opérateurs d’importance vitale et publie via le CERT-FR un flux continu d’alertes. À titre d’illustration de l’intensité de cette activité, le CERT-FR a publié le 12 juin 2026 des avis portant sur une vulnérabilité dans Oracle PeopleSoft et sur de multiples failles dans des produits IBM, le même jour.
La transposition de NIS2 en France élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Des milliers d’organisations, des grandes régies d’énergie aux collectivités locales, doivent désormais relever leur niveau de protection. Cette montée en charge se heurte à une pénurie persistante de compétences en cybersécurité, un goulet d’étranglement partagé par toute l’Europe.
La souveraineté numérique structure le discours français. L’idée consiste à réduire la dépendance aux fournisseurs technologiques non européens pour les systèmes les plus sensibles, et à développer des capacités industrielles locales. Le débat reste ouvert entre les partisans d’un cloud souverain strict et ceux d’une approche pragmatique mêlant solutions européennes et étrangères certifiées.
Comparaison régionale et contexte historique
La menace contre les infrastructures n’est pas propre à l’Europe, mais elle y prend une coloration géopolitique particulière en raison de la proximité du conflit en Ukraine. Aux États-Unis, le FBI évalue les pertes liées à la cybercriminalité à environ 21 milliards de dollars pour la période récente, et recense des centaines d’incidents touchant les seize secteurs d’infrastructures critiques. La pression est mondiale, mais les vecteurs diffèrent selon les régions.
Historiquement, l’attaque de référence reste la coupure électrique provoquée en Ukraine, citée par les experts comme la démonstration la plus aboutie de ce qu’une cyberattaque peut infliger à un réseau d’énergie. Cet événement a servi de signal d’alarme pour l’ensemble du secteur, en prouvant que la perturbation physique d’un réseau par voie numérique n’était pas théorique. La vague 2025-2026 s’inscrit dans cette continuité, avec des moyens élargis et des cibles plus nombreuses.
La différence majeure entre 2024 et 2026 tient à l’industrialisation des attaques. L’automatisation assistée par intelligence artificielle, identifiée par plusieurs éditeurs comme la tendance dominante de 2025, permet aux adversaires de multiplier la vitesse, l’ampleur et l’efficacité de leurs opérations. Ce qui demandait une équipe spécialisée peut désormais s’industrialiser, abaissant le coût d’entrée pour les attaquants.
Ce que disent les experts
Le Forum économique mondial, dans son Global Cybersecurity Outlook 2026, établit que 64 % des organisations intègrent désormais le risque d’attaques à motivation géopolitique, dont la perturbation d’infrastructures critiques et l’espionnage. Cette donnée traduit une bascule dans la perception du risque par les dirigeants, longtemps focalisés sur la fraude et le vol de données.
Les services de renseignement lettons (SAB) résument la nature de la menace dans leur évaluation publique : la Russie prépare des attaques contre les systèmes de contrôle industriel afin de répandre l’incertitude et de saper la confiance dans les services essentiels. Cette analyse, partagée par plusieurs agences baltes et nordiques, place le sabotage informationnel au même rang que le dommage technique.
Du côté des éditeurs, l’analyse de Proofpoint relayée dans les prévisions 2026 souligne que les attaquants visent désormais le socle même de la sécurité, à savoir l’authentification, en cherchant à ramener les victimes vers des méthodes moins sûres. L’unité Unit 42 de Palo Alto Networks insiste de son côté sur la compression du temps d’exfiltration, qui rend caduques les procédures de réponse manuelles. Ces voix convergent vers un même diagnostic : la rapidité et l’automatisation des adversaires imposent une refonte des défenses.
Les spécialistes de la cybersécurité industrielle, à l’image des équipes de Dragos dédiées aux environnements OT, rappellent enfin que la défense des automates exige des compétences distinctes de l’informatique classique. Un pare-feu d’entreprise ne protège pas une turbine. La maturité du secteur progresse, mais reste inégale d’un opérateur à l’autre.
Cinq prédictions pour 2026-2027
À partir des tendances observées, cinq évolutions paraissent probables sur les dix-huit prochains mois.
- Multiplication des campagnes DDoS coordonnées autour des échéances politiques et des grands événements, le rapport coût-impact restant imbattable pour les hacktivistes.
- Hausse des intrusions OT silencieuses avec pré-positionnement, à mesure que les acteurs étatiques investissent dans la cartographie discrète des réseaux d’énergie et d’eau.
- Durcissement des sanctions NIS2 et premières amendes significatives, les régulateurs cherchant à crédibiliser un cadre jusqu’ici peu appliqué.
- Adoption accélérée de la détection automatisée et de l’IA défensive, en réponse directe à la chute du temps d’exfiltration sous l’heure.
- Renforcement des exigences d’assurance cyber, la preuve d’une segmentation et d’un plan de réponse devenant une condition d’assurabilité pour les opérateurs critiques.
Ces prévisions ne relèvent pas de la fatalité. Elles décrivent une trajectoire que des investissements ciblés et une coopération européenne renforcée peuvent infléchir. La question n’est pas de savoir si les attaques continueront, mais quelle proportion d’entre elles atteindra réellement son objectif.
Comment les opérateurs peuvent se préparer
La défense d’une infrastructure critique repose sur quelques principes éprouvés, adaptés au contexte industriel. La segmentation réseau isole les systèmes OT du reste de l’entreprise, de sorte qu’une compromission de l’informatique de gestion ne se propage pas vers les automates. L’inventaire exhaustif des actifs constitue le préalable indispensable, suivi d’une gestion rigoureuse des correctifs là où l’arrêt de production le permet.
La protection contre le DDoS, première menace en volume, passe par des services de filtrage capables d’absorber des pics de trafic massifs. Pour les intrusions discrètes, la surveillance continue du trafic OT et la détection d’anomalies comportementales offrent la meilleure chance de repérer un attaquant avant qu’il n’agisse. L’authentification forte sur tous les accès distants ferme l’une des portes les plus exploitées.
Enfin, la préparation à la crise fait la différence le jour de l’incident. Un plan de réponse testé par des exercices réguliers, des sauvegardes hors ligne et une chaîne de décision claire permettent de contenir l’attaque et de rétablir le service plus vite. La résilience ne se décrète pas, elle s’entraîne.
Related Coverage
- Cyberattaque infrastructures critiques : 5 aéroports paralysés [2026]
- NIS2 France : 15 000 entités concernées, la CJUE saisie [2026]
- Faille Ivanti CVSS 9.8 : l’UE frappée en 9 heures [2026]
- Cyber Resilience Act : jusqu’à 15 M€ d’amende [2026]
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents [2026]
- Stratégie cyber France 2026-2030 : 1 Md€, 5 piliers
- Sécurité en ligne : protéger ses données et ses connexions
Questions fréquentes
Quelles infrastructures critiques sont les plus visées en Europe ?
L’énergie, l’eau, le transport ferroviaire et aérien, ainsi que les administrations publiques concentrent l’essentiel des attaques. Sur le premier semestre 2025, les chercheurs ont recensé 3 018 cyberattaques visant en priorité ces secteurs, avec l’énergie et le gouvernement en tête de liste.
Qui est derrière ces cyberattaques ?
Trois grandes familles d’acteurs coexistent : des hacktivistes pro-russes comme le groupe NoName qui privilégient le DDoS, des acteurs étatiques pratiquant l’intrusion discrète et le sabotage, et des groupes de rançongiciel motivés par l’argent. Plusieurs agences de renseignement européennes attribuent une part importante de la menace à la Russie.
Qu’est-ce qu’une attaque sur les systèmes OT ?
Les technologies opérationnelles (OT) sont les systèmes informatiques qui pilotent les équipements physiques : turbines, vannes, automates industriels. Une attaque OT vise à perturber ou prendre le contrôle de ces équipements. Selon un chiffre attribué à l’ENISA, 18,2 % des cyberattaques en Europe ciblaient l’OT, contre une proportion marginale il y a dix ans.
Que change la directive NIS2 pour les opérateurs ?
NIS2 élargit fortement le nombre de secteurs et d’entités soumis à des obligations de cybersécurité, impose un signalement rapide des incidents, engage la responsabilité des dirigeants et prévoit des sanctions financières lourdes. Sa transposition s’est échelonnée de 2024 à 2026 selon les États membres.
Pourquoi la vitesse des attaques inquiète-t-elle autant ?
D’après le rapport 2026 d’Unit 42, le quart le plus rapide des intrusions atteignait l’exfiltration en 72 minutes en 2025, contre 285 minutes un an plus tôt. Cette compression réduit la fenêtre de réaction des défenseurs à presque rien et impose l’automatisation de la détection et de la réponse.
Comment un opérateur peut-il réduire son exposition ?
Les mesures prioritaires sont la segmentation entre réseaux IT et OT, l’inventaire complet des actifs industriels, la protection anti-DDoS, l’authentification forte des accès distants, la surveillance continue du trafic et un plan de réponse à incident testé par des exercices réguliers. Aucune mesure isolée ne suffit, c’est leur combinaison qui crée la résilience.
Sources et ressources : Directive NIS2 (Commission européenne), Énergie et cybersécurité (Commission européenne), ANSSI, CERT-FR, Dragos (cybersécurité industrielle), TechCrunch.
