En décembre 2025, des hackers ont déclenché une attaque coordonnée contre le réseau électrique polonais, ciblant simultanément des fermes éoliennes, des centrales solaires, des installations à cogénération et les systèmes de contrôle industriel qui les pilotent. En avril 2025, des acteurs pro-russes avaient pris la main à distance sur un barrage norvégien et manipulé ses vannes hydrauliques pendant plusieurs heures avant que des ingénieurs ne reprennent le contrôle. Ces deux incidents marquent une rupture stratégique : la Russie a franchi la ligne qui sépare la cyberperturbation de l’attaque physique contre des populations civiles européennes.
Les données sont sans équivoque. EclecticIQ recense plus de 150 incidents hybrides impliquant la Russie à travers l’Union européenne et l’OTAN, et les opérations de sabotage physique ont quadruplé depuis 2024. Microsoft confirme dans une analyse publiée en octobre 2025 une hausse de 25 % des cyberattaques russes, soutenues par l’État ou alignées avec lui, visant les pays membres de l’OTAN en un an. Le Royaume-Uni, l’Allemagne, la Belgique, l’Italie, l’Estonie, la France, les Pays-Bas et la Pologne figurent parmi les principales cibles identifiées.
Une vague sans précédent : les données du CSIS sur l’escalade russe
Le Centre d’études stratégiques et internationales (CSIS) a constitué une base de données exhaustive des attaques russes connues en Europe depuis 2022. Le bilan chiffré révèle une accélération brutale : 3 attaques en 2022, 12 en 2023, puis 34 en 2024. Le nombre a quadruplé entre 2022 et 2023, avant de presque tripler l’année suivante. À mi-parcours 2026, la trajectoire dépasse déjà le rythme de 2024.
Sur l’ensemble des incidents documentés par le CSIS, 27 % ciblaient les transports (trains, aéroports, navigation GPS), 27 % des cibles gouvernementales (bases militaires, fonctionnaires), 21 % des infrastructures critiques (pipelines, câbles sous-marins, réseaux électriques) et 21 % des industries comme les fabricants d’armement. Si les pays de l’est de l’OTAN concentrent encore l’essentiel des incidents, notamment l’Estonie, la Finlande, la Lettonie, la Lituanie et la Pologne, la France, l’Allemagne et les Pays-Bas voient leur exposition progresser de façon significative depuis 2025.
Carl-Oskar Bohlin, ministre suédois de la Défense civile, a résumé la situation lors d’une conférence de presse à Stockholm en avril 2026 : “Les groupes pro-russes qui se livraient autrefois à des attaques par déni de service tentent désormais des cyberattaques destructrices contre des organisations en Europe. Les méthodes russes ont radicalement changé au cours de l’année écoulée.”
Cette évolution n’est pas anodine. Les attaques par déni de service perturbent des sites web pendant quelques heures. Les attaques destructrices contre des systèmes industriels peuvent couper le chauffage de millions de foyers en plein hiver, paralyser des installations de traitement d’eau ou provoquer des pannes électriques prolongées. C’est précisément ce glissement qui préoccupe les experts européens de la sécurité des systèmes industriels.
Sandworm et DynoWiper : le réseau électrique polonais ciblé le 29 décembre 2025
Dans la nuit du 29 au 30 décembre 2025, des hackers ont frappé simultanément le réseau électrique polonais sur plusieurs fronts. L’attaque a ciblé des fermes éoliennes et photovoltaïques, des centrales à cogénération et les systèmes informatiques industriels (IT/OT) qui assurent leur supervision. CERT-FR a qualifié cet événement de “premier cas de haute intensité pour un État membre de l’UE”, soulignant qu’il s’agit du type d’opération habituellement réservé à l’Ukraine.
L’objectif était de provoquer des coupures d’électricité et de chauffage affectant une part substantielle de la population polonaise. Selon les autorités polonaises, les attaques ont été attribuées à des acteurs liés à la Russie. EclecticIQ confirme que le groupe Sandworm (unité 74455 du GRU, renseignement militaire russe) a déployé le malware DynoWiper contre l’infrastructure énergétique polonaise lors de cette vague d’attaques. Le pire a été évité grâce à une intervention rapide des équipes de réponse, mais l’incident a démontré que Sandworm avait la capacité opérationnelle de coordonner des vecteurs d’attaque IT et OT simultanément contre un pays de l’OTAN.
Simo Kohonen, fondateur et PDG de la société de cybersécurité Defused, a décrit l’ampleur de la menace lors de ses analyses de la campagne : “Nous détectons plus de 600 adresses IP individuelles exploitant les vulnérabilités des réseaux industriels européens. Les méthodes varient du simple fingerprinting jusqu’à l’établissement de reverse shells et de web shells. Pratiquement toutes les méthodes post-exploitation connues sont observées.” Ce volume et cette diversité témoignent d’une campagne structurée impliquant plusieurs groupes opérant en coordination.
Le choix de la Pologne fin décembre n’est pas fortuit. Quand les températures descendent sous zéro, une coupure prolongée du réseau de chaleur ou d’électricité représente une menace directe pour les populations vulnérables. La Russie a testé cette tactique pendant des années en Ukraine avec les malwares Industroyer (2016) et Industroyer2 (2022). La Pologne a servi de premier terrain d’application à l’ouest de l’OTAN.
NoName057 paralyse le Danemark, l’Allemagne et la Suisse
Tandis que Sandworm frappe les infrastructures industrielles lourdes, le groupe hacktiviste NoName057 concentre ses opérations sur les institutions politiques et les services publics à forte visibilité. En novembre 2025, lors des élections locales au Danemark, des attaques DDoS massives ont mis hors ligne les sites officiels de plusieurs partis politiques et du parlement danois, le Folketing. NoName057 a revendiqué l’ensemble de ces opérations, cherchant à perturber la couverture du scrutin à un moment de forte exposition médiatique.
En Suisse, en janvier 2025, des hackers russes ont lancé des attaques DDoS contre un ensemble d’institutions cantonales : le canton de Schaffhouse, la ville de Genève, les banques cantonales de Zurich et Vaud, et plusieurs municipalités de Lucerne. Les sites ont été mis hors ligne pendant plusieurs heures. Ces incidents illustrent la stratégie de NoName057 : multiplier les cibles à faible coût pour maximiser l’impact psychologique et médiatique, sans nécessiter la sophistication technique d’un groupe comme Sandworm.
En février 2026, l’opérateur ferroviaire national allemand a subi une attaque DDoS qui a perturbé son système de billetterie et ses outils d’information aux voyageurs, rendant le site web et l’application mobile Navigator inutilisables pendant plusieurs heures. Les autorités allemandes et les experts en cybersécurité soupçonnent fortement des hackers russes soutenant l’État ou des hacktivistes pro-russes. L’Allemagne, deuxième contributeur financier à l’aide à l’Ukraine parmi les membres de l’OTAN, reste une cible prioritaire de cette stratégie de déstabilisation.
La France dans le viseur : eau, postes et entités diplomatiques ciblées
La France n’est pas épargnée. CERT-EU a documenté plusieurs incidents touchant directement des entités françaises dans son rapport Cyber Brief 26-01 de janvier 2026. Des attaques perturbatives ont affecté les services postaux et les systèmes d’alimentation en eau. Le groupe Callisto (également connu sous le nom de Coldriver ou Star Blizzard), directement lié au FSB (service de sécurité intérieure russe), a ciblé une ONG française dans le cadre d’une campagne d’espionnage visant les organisations de la société civile européenne.
En décembre 2025, le ministre de l’Intérieur français a confirmé que le ministère avait été victime d’une cyberattaque ayant compromis des serveurs de messagerie, exposant potentiellement des données personnelles du personnel ministériel. En réponse, le ministère a renforcé ses protocoles de sécurité et les contrôles d’accès à ses systèmes d’information. L’enquête est toujours en cours.
En septembre 2025, l’ANSSI a observé une campagne attribuée au cluster RedDelta, lié à l’intrusion set Mustang Panda (groupe d’espionnage associé aux services de renseignement chinois), ciblant plusieurs entités diplomatiques européennes dont des organisations françaises. La simultanéité des menaces étatiques chinoises et russes que la France doit simultanément gérer illustre la complexité de l’environnement de la menace en 2026.
Le contexte géopolitique amplifie le risque. La France fournit du matériel militaire à l’Ukraine, accueille des décisions stratégiques de l’OTAN, et Paris abrite des représentations diplomatiques sensibles de l’ensemble des acteurs du conflit. Ces trois facteurs font de la France une cible naturelle pour les opérations d’espionnage, de déstabilisation et de renseignement sur les intentions occidentales.
Barrage norvégien : la première manipulation physique documentée d’infrastructure hydraulique en Europe
L’incident le plus alarmant de la période 2025-2026 reste l’attaque contre un barrage norvégien en avril 2025. Des acteurs pro-russes ont obtenu un accès à distance aux systèmes de contrôle de l’ouvrage et manipulé les vannes hydrauliques pendant plusieurs heures avant que des ingénieurs ne reprennent le contrôle. Les autorités norvégiennes ont confirmé l’attribution dans une communication officielle.
Cet incident marque un seuil opérationnel sans précédent en Europe occidentale. Il démontre que des hackers pro-russes avaient la capacité technique de prendre le contrôle de systèmes SCADA gérant des infrastructures hydrauliques et de provoquer des modifications physiques réelles des débits d’eau. Une manipulation prolongée ou plus agressive des vannes aurait pu inonder des vallées en aval ou priver des populations d’eau potable.
EclecticIQ note dans son rapport stratégique 2026 que “les acteurs alignés sur la Russie ont désormais démontré leur capacité à mener des cyberattaques contre les infrastructures hydrauliques susceptibles de causer des dommages physiques directs”. Tout au long de 2025, des groupes pro-russes ont montré un intérêt croissant pour le secteur de l’eau en Espagne, en Italie, en Pologne et en France. Le groupe TwoNet a accédé à un environnement de traitement d’eau simulé en septembre 2025 et tenté d’en perturber les opérations.
Suède : une centrale de chauffage urbain piratée par un groupe lié aux services russes
En 2025, une centrale de chauffage urbain dans l’ouest de la Suède a été victime d’une cyberattaque destructive. En avril 2026, le gouvernement suédois a officiellement conclu que l’attaque avait été menée par un groupe pro-russe entretenant des liens avec les services de sécurité et de renseignement russes. Carl-Oskar Bohlin a présenté ces conclusions à Stockholm, précisant que l’incident s’inscrit dans le contexte de plus de 150 incidents de sabotage, cyberattaques et opérations d’influence liés à la Russie en Europe depuis 2022.
Le choix d’une centrale de chauffage urbain comme cible n’est pas anodin. En Europe du Nord, ces systèmes de district heating alimentent en chaleur des milliers de foyers et de bâtiments publics pendant les longs mois d’hiver. Une attaque réussie en période hivernale pourrait priver des populations vulnérables de chauffage pendant plusieurs jours. La Suède a renforcé depuis lors ses capacités de détection sur les réseaux OT des opérateurs d’énergie et multiplié les exercices de préparation aux incidents cyber affectant les infrastructures critiques.
L’Italie et les Jeux Olympiques d’hiver de Cortina : attaques russes déjouées
L’Italie a bloqué en début d’année 2026 une série de cyberattaques d’origine russe ciblant les bureaux du Ministère des Affaires étrangères ainsi que des sites et installations liés aux Jeux Olympiques d’hiver 2026, notamment des hôtels de la station alpine de Cortina d’Ampezzo. Ces attaques visaient à perturber un événement de portée mondiale, maximisant ainsi l’impact médiatique potentiel de l’opération.
L’incident confirme une tendance systématique : les grands événements sportifs et politiques européens constituent des cibles de choix pour les hackers russes cherchant à maximiser l’impact de leurs opérations. Ce pattern avait été observé lors des élections européennes de 2024 et des Jeux Olympiques de Paris 2024, où l’ANSSI avait enregistré un volume record d’attaques DDoS contre des infrastructures françaises. Cibler les JO de Cortina s’inscrit dans cette logique de perturbation d’événements symboliques pour les démocraties occidentales.
Tableau des incidents majeurs par pays en 2025-2026
| Pays | Date | Cible | Groupe attaquant | Type | Impact |
|---|---|---|---|---|---|
| Pologne | 29-30 déc. 2025 | Réseau électrique (éolien, solaire, cogénération, OT) | Sandworm (GRU), DynoWiper | Destructif ICS/OT | Coupures menacées, pire évité |
| Norvège | Avril 2025 | Barrage hydraulique | Acteurs pro-russes | Contrôle SCADA, vannes manipulées | Vannes manipulées plusieurs heures |
| Suède | 2025 | Centrale de chauffage urbain | Groupe pro-russe lié aux services russes | Cyberattaque destructive | Réseau de chaleur perturbé |
| Allemagne | Fév. 2026 | Opérateur ferroviaire national (billetterie, info) | Soupçons hackers pro-russes | DDoS | Billetterie et application hors ligne |
| Danemark | Nov. 2025 | Parlement + sites partis politiques (élections) | NoName057 | DDoS | Sites hors ligne pendant les élections |
| France | Déc. 2025 + 2025 | Min. de l’Intérieur, services postaux, eau, ONG | Callisto (FSB) + acteurs divers | Intrusion + DDoS + espionnage | Serveurs mail compromis |
| Italie | Début 2026 | Ministère des AE + installations JO Cortina | Acteurs pro-russes | Cyberattaques | Attaques bloquées avant impact |
| Suisse | Jan. 2025 | Banques cantonales, mairies, administrations | NoName | DDoS | Sites hors ligne plusieurs heures |
| Pays-Bas | Sep. 2024 | Police nationale néerlandaise | Laundry Bear | Intrusion, vol de données | Données de contact des officiers volées |
Du DDoS au sabotage physique : l’escalade doctrinale russe
La trajectoire est lisible. Entre 2022 et 2024, la plupart des attaques russes contre l’Europe occidentale prenaient la forme de dénis de service : nuisibles, visibles médiatiquement, mais sans conséquences opérationnelles durables. Depuis fin 2024, la dynamique a basculé. Les opérations de sabotage physique, qu’elles soient cyber-physiques (manipulation de systèmes ICS/SCADA) ou cinétiques (ancres sabotant des câbles sous-marins, explosifs sur des infrastructures), ont quadruplé selon EclecticIQ.
Cette évolution correspond à une logique stratégique précise : fatiguer les défenses européennes, tester la résilience des infrastructures critiques, et démontrer une capacité de nuisance réelle sans franchir le seuil d’un acte de guerre formellement reconnaissable. Les opérations restent en zone grise. L’attribution est difficile à prouver devant des instances diplomatiques. Le déni plausible reste la règle, protégeant Moscou des conséquences formelles.
Les groupes impliqués reflètent cette stratégie en couches. On distingue trois niveaux d’acteurs : les unités militaires d’élite comme Sandworm (GRU) pour les opérations destructives à haute valeur stratégique, les hacktivistes structurés comme NoName057 pour les campagnes de déstabilisation politique à grande visibilité, et des groupes opportunistes comme SECT0R16, Z-Pentest et l’Infrastructure Destruction Squad pour les intrusions dans les réseaux industriels en Allemagne, en Italie et en Pologne.
Le rapport du CSIS conclut que cette campagne vise à “faire pression sur les États européens soutenant l’Ukraine, tester leur résilience, créer de l’incertitude et démontrer une portée d’action sans déclencher d’affrontement militaire direct”. C’est la définition même de la guerre hybride contemporaine, avec le cyber comme vecteur principal d’une stratégie de coercition sous le seuil des hostilités déclarées.
Comparatif des groupes pro-russes actifs contre les infrastructures européennes
| Groupe | Type | Affiliation présumée | Cibles en Europe | Méthodes |
|---|---|---|---|---|
| Sandworm (Unité 74455) | Étatique | GRU (renseignement militaire) | Énergie, OT/ICS, gouvernements | DynoWiper, Industroyer, attaques OT |
| NoName057 | Hacktiviste pro-russe | Aligné Kremlin | Institutions politiques, transports, banques | DDoS massif, campagnes coordonnées |
| Callisto (Coldriver) | Étatique | FSB (sécurité intérieure) | ONG, diplomates, organisations civiles | Spear-phishing, vol d’identifiants |
| Laundry Bear | Étatique | Russie | Forces de l’ordre (Pays-Bas 2024) | Intrusion, vol de données de contact |
| SECT0R16 | Hacktiviste pro-russe | Aligné Kremlin | Défense, industrie, agroalimentaire (DE, IT, PL) | Accès réseaux industriels, divulgation de preuves |
| Z-Pentest | Hacktiviste pro-russe | Aligné Kremlin | Énergie, industrie (Allemagne, Italie, Pologne) | Tests de pénétration offensifs, publications de vidéos |
| TwoNet | Hacktiviste pro-russe | Aligné Kremlin | Traitement de l’eau (ES, IT, PL, FR) | Accès SCADA, tentatives de perturbation |
| Infrastructure Destruction Squad | Hacktiviste pro-russe | Aligné Kremlin | Infrastructures critiques Europe | Intrusions OT, revendications de sabotage |
Secteurs eau et énergie : les nouvelles cibles prioritaires ICS/OT
La convergence des incidents 2025-2026 désigne les secteurs de l’eau et de l’énergie comme les cibles de choix des campagnes russes en Europe. La vulnérabilité de ces secteurs tient à plusieurs facteurs structurels. Nombre d’équipements ICS et SCADA fonctionnent sur des protocoles industriels conçus dans les années 1990 et 2000, avant que la cybersécurité devienne une contrainte opérationnelle. La mise à jour de ces systèmes est lente et coûteuse, souvent incompatible avec les exigences de disponibilité continue des installations de production d’énergie ou de traitement de l’eau.
L’interconnexion croissante entre les systèmes IT (bureautique) et OT (production) depuis la transformation numérique ouvre de nouvelles voies d’intrusion. Un attaquant compromettant d’abord le réseau IT d’une entreprise énergétique peut se déplacer latéralement vers les segments OT pour atteindre des automates programmables (PLC) et des superviseurs (HMI/SCADA), comme Sandworm l’a fait de manière répétée en Ukraine avant de projeter cette capacité sur la Pologne.
Un rapport de KnowBe4 établit qu’entre janvier 2023 et janvier 2024, les infrastructures critiques mondiales ont subi plus de 420 millions de cyberattaques, soit en moyenne 13 attaques par seconde. En 2025, 50 % des attaques ransomware ciblaient des infrastructures critiques, incluant la fabrication, la santé, l’énergie, le transport et la finance. L’Institut néerlandais de divulgation des vulnérabilités (DIVD) a par ailleurs découvert en 2026 6 failles zero-day critiques dans des onduleurs solaires Enphase IQ Gateway déployés dans plus de 150 pays, dont 3 auraient permis une prise de contrôle totale depuis internet sur potentiellement plus de 4 millions de systèmes.
Contexte historique : l’Ukraine comme laboratoire, l’Europe comme prochain terrain
Pour comprendre la trajectoire actuelle, il faut remonter à décembre 2015 et décembre 2016, quand Sandworm avait provoqué des pannes électriques massives en Ukraine, affectant respectivement 225 000 et 80 000 abonnés. Ces opérations, les premières cyberattaques documentées à avoir causé des coupures de courant physiques, utilisaient les malwares BlackEnergy et Industroyer. En 2017, NotPetya, également attribué à Sandworm, a causé plus de 10 milliards de dollars de dommages économiques mondiaux, touchant Maersk, Merck, FedEx et de nombreuses entreprises européennes.
L’Ukraine a servi de laboratoire opérationnel pendant une décennie. Sandworm y a perfectionné des techniques de sabotage des réseaux industriels, d’effacement de données et de manipulation d’OT. Ces capacités sont désormais projetées sur l’Europe de l’Ouest. EclecticIQ souligne que Sandworm “a démontré une décennie plus tard que cette capacité s’étendait désormais au territoire de l’OTAN”, marquant une rupture décisive dans la géographie des opérations offensives russes. La Pologne en décembre 2025 a joué le rôle que jouait l’Ukraine en 2015 : premier pays de l’OTAN à subir une attaque coordonnée destructive contre son réseau énergétique.
Réponses européennes : CERT-EU, CERT-FR et la stratégie de résilience NIS 2
Face à cette montée en puissance, les réponses institutionnelles s’organisent. CERT-EU a publié en janvier 2026 un rapport de synthèse (Cyber Brief 26-01) détaillant les menaces persistantes avancées (APT) actives contre les institutions européennes. Le rapport identifie nommément Sandworm, Callisto, Laundry Bear et RedDelta parmi les acteurs les plus actifs, et recommande le renforcement immédiat de la segmentation des réseaux OT/IT, le déploiement d’une surveillance comportementale sur les systèmes industriels et l’adoption de l’authentification multifacteur sur tous les accès privilégiés.
En France, l’ANSSI a intégré dans sa stratégie nationale de cybersécurité 2026 un volet spécifique dédié à la protection des opérateurs d’importance vitale (OIV) face aux menaces hybrides. La stratégie met l’accent sur le développement de la filière française et européenne de cybersécurité, l’expansion des formations spécialisées et la coopération avec les partenaires de l’OTAN pour le partage de renseignements sur les menaces.
La directive NIS 2, entrée en vigueur en 2024, soumet quelque 160 000 entités en Europe à des obligations renforcées de cybersécurité, dont les opérateurs d’eau, d’énergie, de transport et de santé. Elle impose le signalement d’incidents sous 24 heures, la gestion des risques liés à la chaîne d’approvisionnement et des tests de résilience réguliers. Les sanctions pour non-conformité peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. La transposition dans les droits nationaux reste incomplète dans plusieurs États membres, laissant des lacunes que les acteurs malveillants peuvent exploiter.
Pour approfondir les vulnérabilités des systèmes mobiles ciblés par les campagnes étatiques, voir notre analyse détaillée sur les failles Ivanti EPMM CVE-2026-1340 et CVE-2026-1281, qui ont touché la Commission européenne, l’Autorité de protection des données néerlandaise et le Conseil judiciaire néerlandais lors de la même vague d’attaques hybrides.
Cinq prédictions pour 2026-2027
1. Les attaques OT/ICS contre les réseaux d’énergie et d’eau européens vont doubler en fréquence. La cadence des incidents ciblant des systèmes industriels a déjà doublé entre 2024 et 2025. Avec la multiplication des groupes capables d’accéder à des réseaux OT (SECT0R16, Z-Pentest, TwoNet, Infrastructure Destruction Squad) et la sophistication croissante de Sandworm, la tendance ne montre aucun signe de ralentissement.
2. La France subira une cyberattaque perturbatrice majeure sur ses infrastructures critiques avant fin 2026. La combinaison des intérêts géopolitiques français (soutien à l’Ukraine, présence dans l’OTAN, hôte de décisions stratégiques de l’Alliance), des vulnérabilités documentées dans les systèmes postaux et hydrauliques, et de l’intérêt établi des acteurs russes pour les cibles françaises place la France en risque élevé d’incident de haute intensité.
3. NoName057 ciblera les grands événements politiques et sportifs européens de 2026 avec une précision accrue. Le groupe a systématiquement exploité les moments de forte exposition médiatique. Avec l’amélioration de ses capacités de coordination et la croissance de sa communauté de sympathisants fournissant de la puissance de feu DDoS, les prochaines élections nationales en Europe et les grands événements sportifs constitueront des cibles naturelles.
4. Les premiers audits NIS 2 révéleront que moins de 40 % des entités concernées respectent pleinement les exigences. De nombreux opérateurs d’eau et d’énergie de taille moyenne n’ont pas encore les capacités techniques et humaines pour satisfaire aux exigences de signalement d’incident et de gestion des risques. Le manque de personnel qualifié en sécurité OT constitue le principal goulot d’étranglement.
5. Un incident cyber-physique dans le secteur de l’eau européen causera des dommages tangibles à des populations civiles d’ici mi-2027. Les tentatives de manipulation de systèmes de traitement d’eau documentées en 2025 (TwoNet, acteurs pro-russes en Espagne et Italie) constituent un prélude. L’absence de patch management adapté aux environnements SCADA dans de nombreuses installations régionales représente un risque systémique documenté par CERT-EU et les autorités nationales.
Couverture connexe
Articles liés sur shattered.io
- Ivanti EPMM Zero-Day CVSS 9.8 : 5 secteurs ciblés en Europe [2026]
- ShinyHunters pirate Europa.eu : 350 Go de données volés à la Commission européenne [2026]
- Tchap piraté : 73 467 fonctionnaires français, 13,5 Go exposés [2026]
- MOVEit CVE-2026-4670 : CVSS 9.8, 3 000 entreprises en alerte [2026]
- FICOBA : 1,2 million de comptes bancaires français piratés [2026]
- Sécurité informatique : guides, analyses et alertes [2026]
FAQ
Quels groupes hackers russes ciblent l’Europe en 2026 ?
Les principaux acteurs documentés sont Sandworm (GRU, unité 74455) pour les attaques destructives sur les réseaux industriels, NoName057 pour les campagnes DDoS contre les institutions politiques et les transports, Callisto (FSB) pour l’espionnage ciblé, et des groupes hacktivistes comme SECT0R16, Z-Pentest, TwoNet et l’Infrastructure Destruction Squad pour les intrusions dans les réseaux OT. Laundry Bear a ciblé la police nationale néerlandaise en 2024.
Quelles infrastructures critiques ont été ciblées en Europe en 2025-2026 ?
Les cibles documentées incluent le réseau électrique polonais (éolien, solaire, cogénération, systèmes OT, décembre 2025), un barrage hydraulique en Norvège (vannes manipulées à distance, avril 2025), une centrale de chauffage urbain en Suède (2025), des systèmes ferroviaires en Allemagne (février 2026), des institutions politiques au Danemark (novembre 2025), des services postaux et hydrauliques en France (2025), et des installations liées aux Jeux Olympiques d’hiver en Italie (début 2026).
La France est-elle spécifiquement ciblée par des hackers russes ?
Oui. CERT-EU a documenté des attaques perturbatives sur des services postaux et hydrauliques français, une campagne de Callisto (FSB) ciblant une ONG française, et une intrusion dans les serveurs de messagerie du ministère de l’Intérieur en décembre 2025. Microsoft classe la France parmi les 8 pays de l’OTAN les plus ciblés par des cyberattaques russes. L’ANSSI a également observé des campagnes d’espionnage chinoises (RedDelta/Mustang Panda) ciblant des entités diplomatiques françaises en septembre 2025.
Qu’est-ce que la directive NIS 2 et que change-t-elle pour les opérateurs ?
La directive NIS 2, entrée en vigueur en 2024, soumet environ 160 000 entités européennes (eau, énergie, transport, santé, numérique) à des obligations renforcées de cybersécurité. Elle impose le signalement d’incidents sous 24 heures, la gestion des risques liés aux fournisseurs et des tests de résilience réguliers. Les sanctions pour non-conformité peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. La directive vise précisément à renforcer la résilience des secteurs les plus ciblés par les acteurs étatiques.
Comment les systèmes ICS et SCADA sont-ils compromis lors d’attaques russes ?
Les vecteurs les plus fréquents sont la compromission d’identifiants valides via phishing ou vol de credentials, l’exploitation de vulnérabilités dans les interfaces IT connectées aux réseaux OT, et l’abus d’accès à distance légitimes (VPN industriels, outils de maintenance). Une fois dans le réseau IT, les attaquants se déplacent latéralement vers les segments OT pour atteindre les automates (PLC) et les superviseurs (HMI/SCADA). Sandworm a perfectionné cette technique en Ukraine avant de la projeter sur la Pologne.
Quelles mesures immédiates les entreprises et opérateurs européens doivent-ils prendre ?
CERT-EU et CERT-FR recommandent en priorité : segmenter les réseaux IT et OT, mettre en place l’authentification multifacteur sur tous les accès privilégiés, auditer les comptes de service et désactiver les comptes inactifs, déployer une surveillance comportementale sur les systèmes industriels, mettre à jour les plans de continuité d’activité avec des scénarios de cyberattaque destructive OT, et signaler tout incident à l’ANSSI dans les délais imposés par NIS 2.
Sandworm est-il capable de provoquer une panne électrique en France ?
Sandworm a prouvé cette capacité en Ukraine en 2015 (225 000 abonnés privés d’électricité) et 2016 (80 000 abonnés), puis contre la Pologne en décembre 2025. La France dispose de défenses cybernétiques plus matures grâce à l’ANSSI et aux exigences imposées aux Opérateurs d’Importance Vitale (OIV). Cependant, aucun réseau connecté n’est invulnérable. L’ANSSI conduit des audits de sécurité réguliers auprès des OIV du secteur de l’énergie pour identifier et corriger les vulnérabilités résiduelles dans les systèmes OT.
