En d\u00e9cembre 2025, des hackers ont d\u00e9clench\u00e9 une attaque coordonn\u00e9e contre le r\u00e9seau \u00e9lectrique polonais, ciblant simultan\u00e9ment des fermes \u00e9oliennes, des centrales solaires, des installations \u00e0 cog\u00e9n\u00e9ration et les syst\u00e8mes de contr\u00f4le industriel qui les pilotent. En avril 2025, des acteurs pro-russes avaient pris la main \u00e0 distance sur un barrage norv\u00e9gien et manipul\u00e9 ses vannes hydrauliques pendant plusieurs heures avant que des ing\u00e9nieurs ne reprennent le contr\u00f4le. Ces deux incidents marquent une rupture strat\u00e9gique : la Russie a franchi la ligne qui s\u00e9pare la cyberperturbation de l’attaque physique contre des populations civiles europ\u00e9ennes.<\/p>\n\n\n\n
Les donn\u00e9es sont sans \u00e9quivoque. EclecticIQ recense plus de 150 incidents hybrides<\/strong> impliquant la Russie \u00e0 travers l’Union europ\u00e9enne et l’OTAN, et les op\u00e9rations de sabotage physique ont quadrupl\u00e9 depuis 2024. Microsoft confirme dans une analyse publi\u00e9e en octobre 2025 une hausse de 25 %<\/strong> des cyberattaques russes, soutenues par l’\u00c9tat ou align\u00e9es avec lui, visant les pays membres de l’OTAN en un an. Le Royaume-Uni, l’Allemagne, la Belgique, l’Italie, l’Estonie, la France, les Pays-Bas et la Pologne figurent parmi les principales cibles identifi\u00e9es.<\/p>\n\n\n\n Le Centre d’\u00e9tudes strat\u00e9giques et internationales (CSIS) a constitu\u00e9 une base de donn\u00e9es exhaustive des attaques russes connues en Europe depuis 2022. Le bilan chiffr\u00e9 r\u00e9v\u00e8le une acc\u00e9l\u00e9ration brutale : 3 attaques en 2022<\/strong>, 12 en 2023<\/strong>, puis 34 en 2024<\/strong>. Le nombre a quadrupl\u00e9 entre 2022 et 2023, avant de presque tripler l’ann\u00e9e suivante. \u00c0 mi-parcours 2026, la trajectoire d\u00e9passe d\u00e9j\u00e0 le rythme de 2024.<\/p>\n\n\n\n Sur l’ensemble des incidents document\u00e9s par le CSIS, 27 %<\/strong> ciblaient les transports (trains, a\u00e9roports, navigation GPS), 27 %<\/strong> des cibles gouvernementales (bases militaires, fonctionnaires), 21 %<\/strong> des infrastructures critiques (pipelines, c\u00e2bles sous-marins, r\u00e9seaux \u00e9lectriques) et 21 %<\/strong> des industries comme les fabricants d’armement. Si les pays de l’est de l’OTAN concentrent encore l’essentiel des incidents, notamment l’Estonie, la Finlande, la Lettonie, la Lituanie et la Pologne, la France, l’Allemagne et les Pays-Bas voient leur exposition progresser de fa\u00e7on significative depuis 2025.<\/p>\n\n\n\n Carl-Oskar Bohlin, ministre su\u00e9dois de la D\u00e9fense civile, a r\u00e9sum\u00e9 la situation lors d’une conf\u00e9rence de presse \u00e0 Stockholm en avril 2026 : “Les groupes pro-russes qui se livraient autrefois \u00e0 des attaques par d\u00e9ni de service tentent d\u00e9sormais des cyberattaques destructrices contre des organisations en Europe. Les m\u00e9thodes russes ont radicalement chang\u00e9 au cours de l’ann\u00e9e \u00e9coul\u00e9e.”<\/strong><\/p>\n\n\n\n Cette \u00e9volution n’est pas anodine. Les attaques par d\u00e9ni de service perturbent des sites web pendant quelques heures. Les attaques destructrices contre des syst\u00e8mes industriels peuvent couper le chauffage de millions de foyers en plein hiver, paralyser des installations de traitement d’eau ou provoquer des pannes \u00e9lectriques prolong\u00e9es. C’est pr\u00e9cis\u00e9ment ce glissement qui pr\u00e9occupe les experts europ\u00e9ens de la s\u00e9curit\u00e9 des syst\u00e8mes industriels.<\/p>\n\n\n\n Dans la nuit du 29 au 30 d\u00e9cembre 2025, des hackers ont frapp\u00e9 simultan\u00e9ment le r\u00e9seau \u00e9lectrique polonais sur plusieurs fronts. L’attaque a cibl\u00e9 des fermes \u00e9oliennes et photovolta\u00efques, des centrales \u00e0 cog\u00e9n\u00e9ration et les syst\u00e8mes informatiques industriels (IT\/OT) qui assurent leur supervision. CERT-FR a qualifi\u00e9 cet \u00e9v\u00e9nement de “premier cas de haute intensit\u00e9 pour un \u00c9tat membre de l’UE”<\/strong>, soulignant qu’il s’agit du type d’op\u00e9ration habituellement r\u00e9serv\u00e9 \u00e0 l’Ukraine.<\/p>\n\n\n\n L’objectif \u00e9tait de provoquer des coupures d’\u00e9lectricit\u00e9 et de chauffage affectant une part substantielle de la population polonaise. Selon les autorit\u00e9s polonaises, les attaques ont \u00e9t\u00e9 attribu\u00e9es \u00e0 des acteurs li\u00e9s \u00e0 la Russie. EclecticIQ confirme que le groupe Sandworm<\/strong> (unit\u00e9 74455 du GRU, renseignement militaire russe) a d\u00e9ploy\u00e9 le malware DynoWiper<\/strong> contre l’infrastructure \u00e9nerg\u00e9tique polonaise lors de cette vague d’attaques. Le pire a \u00e9t\u00e9 \u00e9vit\u00e9 gr\u00e2ce \u00e0 une intervention rapide des \u00e9quipes de r\u00e9ponse, mais l’incident a d\u00e9montr\u00e9 que Sandworm avait la capacit\u00e9 op\u00e9rationnelle de coordonner des vecteurs d’attaque IT et OT simultan\u00e9ment contre un pays de l’OTAN.<\/p>\n\n\n\n Simo Kohonen, fondateur et PDG de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Defused, a d\u00e9crit l’ampleur de la menace lors de ses analyses de la campagne : “Nous d\u00e9tectons plus de 600 adresses IP individuelles exploitant les vuln\u00e9rabilit\u00e9s des r\u00e9seaux industriels europ\u00e9ens. Les m\u00e9thodes varient du simple fingerprinting jusqu’\u00e0 l’\u00e9tablissement de reverse shells et de web shells. Pratiquement toutes les m\u00e9thodes post-exploitation connues sont observ\u00e9es.”<\/strong> Ce volume et cette diversit\u00e9 t\u00e9moignent d’une campagne structur\u00e9e impliquant plusieurs groupes op\u00e9rant en coordination.<\/p>\n\n\n\n Le choix de la Pologne fin d\u00e9cembre n’est pas fortuit. Quand les temp\u00e9ratures descendent sous z\u00e9ro, une coupure prolong\u00e9e du r\u00e9seau de chaleur ou d’\u00e9lectricit\u00e9 repr\u00e9sente une menace directe pour les populations vuln\u00e9rables. La Russie a test\u00e9 cette tactique pendant des ann\u00e9es en Ukraine avec les malwares Industroyer (2016) et Industroyer2 (2022). La Pologne a servi de premier terrain d’application \u00e0 l’ouest de l’OTAN.<\/p>\n\n\n\n Tandis que Sandworm frappe les infrastructures industrielles lourdes, le groupe hacktiviste NoName057<\/strong> concentre ses op\u00e9rations sur les institutions politiques et les services publics \u00e0 forte visibilit\u00e9. En novembre 2025, lors des \u00e9lections locales au Danemark, des attaques DDoS massives ont mis hors ligne les sites officiels de plusieurs partis politiques et du parlement danois, le Folketing. NoName057 a revendiqu\u00e9 l’ensemble de ces op\u00e9rations, cherchant \u00e0 perturber la couverture du scrutin \u00e0 un moment de forte exposition m\u00e9diatique.<\/p>\n\n\n\n En Suisse, en janvier 2025, des hackers russes ont lanc\u00e9 des attaques DDoS contre un ensemble d’institutions cantonales : le canton de Schaffhouse, la ville de Gen\u00e8ve, les banques cantonales de Zurich et Vaud, et plusieurs municipalit\u00e9s de Lucerne. Les sites ont \u00e9t\u00e9 mis hors ligne pendant plusieurs heures. Ces incidents illustrent la strat\u00e9gie de NoName057 : multiplier les cibles \u00e0 faible co\u00fbt pour maximiser l’impact psychologique et m\u00e9diatique, sans n\u00e9cessiter la sophistication technique d’un groupe comme Sandworm.<\/p>\n\n\n\n En f\u00e9vrier 2026, l’op\u00e9rateur ferroviaire national allemand a subi une attaque DDoS qui a perturb\u00e9 son syst\u00e8me de billetterie et ses outils d’information aux voyageurs, rendant le site web et l’application mobile Navigator inutilisables pendant plusieurs heures. Les autorit\u00e9s allemandes et les experts en cybers\u00e9curit\u00e9 soup\u00e7onnent fortement des hackers russes soutenant l’\u00c9tat ou des hacktivistes pro-russes. L’Allemagne, deuxi\u00e8me contributeur financier \u00e0 l’aide \u00e0 l’Ukraine parmi les membres de l’OTAN, reste une cible prioritaire de cette strat\u00e9gie de d\u00e9stabilisation.<\/p>\n\n\n\n La France n’est pas \u00e9pargn\u00e9e. CERT-EU a document\u00e9 plusieurs incidents touchant directement des entit\u00e9s fran\u00e7aises dans son rapport Cyber Brief 26-01 de janvier 2026. Des attaques perturbatives<\/strong> ont affect\u00e9 les services postaux et les syst\u00e8mes d’alimentation en eau. Le groupe Callisto<\/strong> (\u00e9galement connu sous le nom de Coldriver ou Star Blizzard), directement li\u00e9 au FSB (service de s\u00e9curit\u00e9 int\u00e9rieure russe), a cibl\u00e9 une ONG fran\u00e7aise dans le cadre d’une campagne d’espionnage visant les organisations de la soci\u00e9t\u00e9 civile europ\u00e9enne.<\/p>\n\n\n\n En d\u00e9cembre 2025, le ministre de l’Int\u00e9rieur fran\u00e7ais a confirm\u00e9 que le minist\u00e8re avait \u00e9t\u00e9 victime d’une cyberattaque ayant compromis des serveurs de messagerie, exposant potentiellement des donn\u00e9es personnelles du personnel minist\u00e9riel. En r\u00e9ponse, le minist\u00e8re a renforc\u00e9 ses protocoles de s\u00e9curit\u00e9 et les contr\u00f4les d’acc\u00e8s \u00e0 ses syst\u00e8mes d’information. L’enqu\u00eate est toujours en cours.<\/p>\n\n\n\n En septembre 2025, l’ANSSI a observ\u00e9 une campagne attribu\u00e9e au cluster RedDelta<\/strong>, li\u00e9 \u00e0 l’intrusion set Mustang Panda (groupe d’espionnage associ\u00e9 aux services de renseignement chinois), ciblant plusieurs entit\u00e9s diplomatiques europ\u00e9ennes dont des organisations fran\u00e7aises. La simultan\u00e9it\u00e9 des menaces \u00e9tatiques chinoises et russes que la France doit simultan\u00e9ment g\u00e9rer illustre la complexit\u00e9 de l’environnement de la menace en 2026.<\/p>\n\n\n\n Le contexte g\u00e9opolitique amplifie le risque. La France fournit du mat\u00e9riel militaire \u00e0 l’Ukraine, accueille des d\u00e9cisions strat\u00e9giques de l’OTAN, et Paris abrite des repr\u00e9sentations diplomatiques sensibles de l’ensemble des acteurs du conflit. Ces trois facteurs font de la France une cible naturelle pour les op\u00e9rations d’espionnage, de d\u00e9stabilisation et de renseignement sur les intentions occidentales.<\/p>\n\n\n\n L’incident le plus alarmant de la p\u00e9riode 2025-2026 reste l’attaque contre un barrage norv\u00e9gien en avril 2025. Des acteurs pro-russes ont obtenu un acc\u00e8s \u00e0 distance aux syst\u00e8mes de contr\u00f4le de l’ouvrage et manipul\u00e9 les vannes hydrauliques pendant plusieurs heures<\/strong> avant que des ing\u00e9nieurs ne reprennent le contr\u00f4le. Les autorit\u00e9s norv\u00e9giennes ont confirm\u00e9 l’attribution dans une communication officielle.<\/p>\n\n\n\n Cet incident marque un seuil op\u00e9rationnel sans pr\u00e9c\u00e9dent en Europe occidentale. Il d\u00e9montre que des hackers pro-russes avaient la capacit\u00e9 technique de prendre le contr\u00f4le de syst\u00e8mes SCADA g\u00e9rant des infrastructures hydrauliques et de provoquer des modifications physiques r\u00e9elles des d\u00e9bits d’eau. Une manipulation prolong\u00e9e ou plus agressive des vannes aurait pu inonder des vall\u00e9es en aval ou priver des populations d’eau potable.<\/p>\n\n\n\n EclecticIQ note dans son rapport strat\u00e9gique 2026 que “les acteurs align\u00e9s sur la Russie ont d\u00e9sormais d\u00e9montr\u00e9 leur capacit\u00e9 \u00e0 mener des cyberattaques contre les infrastructures hydrauliques susceptibles de causer des dommages physiques directs”<\/strong>. Tout au long de 2025, des groupes pro-russes ont montr\u00e9 un int\u00e9r\u00eat croissant pour le secteur de l’eau en Espagne, en Italie, en Pologne et en France. Le groupe TwoNet<\/strong> a acc\u00e9d\u00e9 \u00e0 un environnement de traitement d’eau simul\u00e9 en septembre 2025 et tent\u00e9 d’en perturber les op\u00e9rations.<\/p>\n\n\n\n En 2025, une centrale de chauffage urbain dans l’ouest de la Su\u00e8de a \u00e9t\u00e9 victime d’une cyberattaque destructive. En avril 2026, le gouvernement su\u00e9dois a officiellement conclu que l’attaque avait \u00e9t\u00e9 men\u00e9e par un groupe pro-russe entretenant des liens avec les services de s\u00e9curit\u00e9 et de renseignement russes. Carl-Oskar Bohlin a pr\u00e9sent\u00e9 ces conclusions \u00e0 Stockholm, pr\u00e9cisant que l’incident s’inscrit dans le contexte de plus de 150 incidents de sabotage, cyberattaques et op\u00e9rations d’influence<\/strong> li\u00e9s \u00e0 la Russie en Europe depuis 2022.<\/p>\n\n\n\n Le choix d’une centrale de chauffage urbain comme cible n’est pas anodin. En Europe du Nord, ces syst\u00e8mes de district heating alimentent en chaleur des milliers de foyers et de b\u00e2timents publics pendant les longs mois d’hiver. Une attaque r\u00e9ussie en p\u00e9riode hivernale pourrait priver des populations vuln\u00e9rables de chauffage pendant plusieurs jours. La Su\u00e8de a renforc\u00e9 depuis lors ses capacit\u00e9s de d\u00e9tection sur les r\u00e9seaux OT des op\u00e9rateurs d’\u00e9nergie et multipli\u00e9 les exercices de pr\u00e9paration aux incidents cyber affectant les infrastructures critiques.<\/p>\n\n\n\n L’Italie a bloqu\u00e9 en d\u00e9but d’ann\u00e9e 2026 une s\u00e9rie de cyberattaques d’origine russe<\/strong> ciblant les bureaux du Minist\u00e8re des Affaires \u00e9trang\u00e8res ainsi que des sites et installations li\u00e9s aux Jeux Olympiques d’hiver 2026<\/strong>, notamment des h\u00f4tels de la station alpine de Cortina d’Ampezzo. Ces attaques visaient \u00e0 perturber un \u00e9v\u00e9nement de port\u00e9e mondiale, maximisant ainsi l’impact m\u00e9diatique potentiel de l’op\u00e9ration.<\/p>\n\n\n\n L’incident confirme une tendance syst\u00e9matique : les grands \u00e9v\u00e9nements sportifs et politiques europ\u00e9ens constituent des cibles de choix pour les hackers russes cherchant \u00e0 maximiser l’impact de leurs op\u00e9rations. Ce pattern avait \u00e9t\u00e9 observ\u00e9 lors des \u00e9lections europ\u00e9ennes de 2024 et des Jeux Olympiques de Paris 2024, o\u00f9 l’ANSSI avait enregistr\u00e9 un volume record d’attaques DDoS contre des infrastructures fran\u00e7aises. Cibler les JO de Cortina s’inscrit dans cette logique de perturbation d’\u00e9v\u00e9nements symboliques pour les d\u00e9mocraties occidentales.<\/p>\n\n\n\nUne vague sans pr\u00e9c\u00e9dent : les donn\u00e9es du CSIS sur l’escalade russe<\/h2>\n\n\n\n
Sandworm et DynoWiper : le r\u00e9seau \u00e9lectrique polonais cibl\u00e9 le 29 d\u00e9cembre 2025<\/h2>\n\n\n\n
NoName057 paralyse le Danemark, l’Allemagne et la Suisse<\/h2>\n\n\n\n
La France dans le viseur : eau, postes et entit\u00e9s diplomatiques cibl\u00e9es<\/h2>\n\n\n\n
Barrage norv\u00e9gien : la premi\u00e8re manipulation physique document\u00e9e d’infrastructure hydraulique en Europe<\/h2>\n\n\n\n
Su\u00e8de : une centrale de chauffage urbain pirat\u00e9e par un groupe li\u00e9 aux services russes<\/h2>\n\n\n\n
L’Italie et les Jeux Olympiques d’hiver de Cortina : attaques russes d\u00e9jou\u00e9es<\/h2>\n\n\n\n
Tableau des incidents majeurs par pays en 2025-2026<\/h2>\n\n\n\n