Actualites

Cyberéco 2025 fait le constat de la montée en puissance des menaces hybrides

La menace numérique n’est plus uniquement cyber. Les attaquants exploitent divers moyens pour déstabiliser leurs cibles. Portées par les tensions géopolitiques croissantes, ces techniques bénéficient à plein des apports de l’IA générative.

Alain Clapaud
par
Publié le: 22 oct. 2025

Les chiffres avancés Jérôme Marilly, adjoint du général Christophe Husson en charge du ComCyber-MI, le Commandement du ministère de l’Intérieur dans le cyberespace, quant à l’état de la menace cyber font froid dans le dos : en France, 17 000 cyberattaques ont été judiciarisées au cours de l'année 2024, soit une augmentation de plus de 75 % en 5 ans. 

La dernière actualisation des chiffres du ministère de l'Intérieur laisse présager une augmentation de 85 % en 5 ans… « La menace est massive, protéiforme et il n'y a pas une journée sans qu’une cyberattaque soit revendiquée sur les forums du Dark Web », relève-t-il.

Le ministère de l'Intérieur définit 3 types de cyberattaquants : d’une part, les groupes criminels organisés et industrialisés dont les motivations sont crapuleuses, dont les attaques sont menées par rançongiciel. Là, « nous notons une baisse des attaques par rançongiciel au cours de l'année 2024, mais malheureusement compensée par une hausse, de plus en plus préoccupante, des vols de données ».

Le deuxième groupe d’attaquants est constitué de cyber-hackivistes, un phénomène lié, selon Jérôme Marilly, à la montée des radicalités : « si l'on pense aux conflits en Ukraine, on voit que le groupe des cyberattaquants russes s'est restructuré et a visé l'Ukraine avec des attaques par déni de service distribué massive. Le groupe NoName057(16) est l’un des groupes qui structurent l'écosystème russophone. Il attaque régulièrement, quasiment tous les jours, les sites français, officiels, que ce soit des sites de l'État, des sites d'administration ou des sites d'entreprise ».

Enfin, un troisième type d’attaques hybrides est mené par des Etats hostiles qui ont recours à des proxys, des groupes cybercriminels au départ crapuleux qui vont mener des actions pour leur compte. Le responsable évoque l’exemple d’APT28, un groupe initialement crapuleux, puis piloté par le GRU russe et qui s’est illustré dans l’attaque contre TV5 Monde en 2015.

Jérôme Marilly a aussi évoqué la multiplication d’attaques contre les hôpitaux français, avec 30 cyberattaques recensées entre 2021 et 2023, avec des conséquences gravissimes, puisque l’activité du centre hospitalier de Corbeil-Essonnes est toujours en partie perturbée par cette cyberattaque qui remonte à 2022.

Le responsable a aussi abordé une attaque radicalement différente, celle dont Naval Group a été victime au mois de juillet 2025 : « nous avons aussi une nouvelle forme d'attaque hybride, qui est une attaque qu’il ne faut pas sous-estimer, c'est la cyberattaque, dont a été victime le groupe Naval Group. La presse s’est fait écho d'une fuite massive de données, avec notamment les plans des frégates de dernière génération, des sous-marins nucléaires, des données volées et mises en ligne sur des sites du Dark Web […] Très rapidement, les investigations démontrent d’une part que le groupe qui a lancé cette cyberattaque n'est pas connu, ce qui apparaît assez étonnant. Ensuite, ces données sont publiées sur les forums du Clear Web, et non pas du Dark Web, ce qui est, là aussi, une manœuvre assez étonnante ».

Les enquêteurs découvrent ensuite que les données qui ont été publiées ne sont pas des données stratégiques, ne sont pas confidentielles et qu’il s’agit de données qui ont déjà été volées : « on comprend qu'en fait, Naval Group n'est pas victime d'une cyberattaque classique, mais d'une cyberattaque réputationnelle destinée à le déstabiliser à un moment où il participe à des appels d'offres internationaux pour la construction de sous-marins ».

Naval Group va démentir que son système d'information a été pénétré et que des données confidentielles ont été volées, mais le mal est fait. Pour le ministère, ce type d'attaque à vocation à se multiplier.

Gustave Gauquelin est chef du service de l'information stratégique et de la sécurité économique (Sisse) du ministère de l'Economie. Ce service, explique-t-il, « a pour mission de lutter contre les menaces étrangères sur les actifs stratégiques de l'économie française, donc détecter et traiter toute manœuvre d'un acteur étranger qui se traduirait par une déstabilisation, perturbation, perte d'avantage ou perte de contrôle d’une entreprise, une technologie ou un laboratoire de recherche que nous considérons comme critique pour notre souveraineté ».

Cette année, ce service va caractériser entre 750 et 800 alertes de sécurité économique, soit près trois fois plus qu'il y a trois ans : « cette hausse est liée à la fois à la montée en puissance de nos capteurs, mais aussi à un contexte géopolitique qui s’est durci ».

Le Sisse a constaté que ces attaques sont plus nombreuses, mais aussi plus étendues : elles ne touchent pas uniquement des grands groupes stratégiques de la base industrielle de technologies de défense, mais des entreprises de toute taille qui opèrent dans des secteurs très variés et qui sont situées sur l'ensemble du territoire national.

Gustave Gauquelin souligne aussi que ces attaques ne proviennent pas uniquement de pays qu'on attendrait spontanément. Certaines proviennent de pays plus ou moins proches, plus ou moins puissants, y compris de grands pays, relève-t-il, évasif.

Le spécialiste souligne que les modes opératoires sont de plus en plus variés. Outre les prises de participation hostiles ou non-souhaitables sur des actifs stratégiques, la captation des secrets d'affaires peut prendre des formes très diverses, que ce soit des moyens judiciaires, para-judiciaires, voire totalement crapuleux, y compris des cambriolages.

« Nous assistons aussi à une montée en puissance des attaques qui peuvent concerner la réputation des entreprises, voire la réputation individuelle des dirigeants », indique Gustave Gauquelin. Et d'évoquer également le risque RH, c'est-à-dire le recrutement de personnels non fiables ou des débauchages de personnels clés au profit de concurrents étrangers.

Les ingérences numériques pas uniquement issues de puissances hostiles

Marc-Antoine Brillant, chef du service Viginum, le service de vigilance et protection contre les ingérences numériques étrangères, souligne qu’une ingérence numérique étrangère n’est pas une cyberattaque : « nous travaillons sur les formes de manipulation d'information sur les plateformes en ligne, les médias, les réseaux sociaux, le web de manière générale, les blogs et les forums et qui impliquent des acteurs étrangers et qui visent à porter atteinte aux intérêts fondamentaux de la nation ».

Le responsable souligne que la manipulation d'information ne concerne plus seulement les États et les périodes électorales. Toutes les entreprises françaises sont potentiellement des cibles, notamment face à des concurrents désinhibés, avec parfois des moyens déloyaux.

Le chef de Viginum point également des conséquences bien réelles de ces attaques menées dans le monde virtuel : « en 2023, de très grandes entreprises de l’agroalimentaire, de l'industrie ou de la grande distribution ont été visées par, par exemple, des appels au boycott du produit vendu, des raids numériques pour dénigrer une marque. Certaines ont eu à déplorer des chutes assez importantes de chiffres d'affaires, notamment une grande entreprise de l’agroalimentaire dont le chiffre d’affaires a chuté de 55 % dans certaines régions du monde car elle était victime d'une campagne qui appelait au boycott de ses produits ».

Cette menace est devenue permanente et persistante, avec des dispositifs en place pour exploiter le débat public français et l’instrumentaliser : « on pense aux étoiles de David peintes dans Paris, aux mains rouges taguées sur le Mémorial de la Shoah, mais parfois, vous avez l'instrumentalisation de la colère des agriculteurs. Vous allez avoir des sujets très divers, comme, par exemple, une jeune française malheureusement assassinée par un OQTF. Le sujet de l'immigration est un sujet extrêmement instrumentalisé ».

Cette persistance est assurée par des centaines de milliers de faux comptes, d’avatars et de trolls qui ont une activité en langue française, mais qui sont administrés par des puissances étrangères : « tout cet écosystème produit une activité quotidienne. Viginum suit et documente de l’ordre de 60 opérateurs étrangers qui interviennent dans le débat public français, de 12 nationalités différentes. Dans ces 12 nationalités, il n'y a pas que la Chine et la Russie. Loin de là, avec parfois, des pays dont nous sommes très proches ».

Tout comme le Sisse, Viginum pointe la sophistication des modes opératoires mis en œuvre par les attaquants. Pour fausser l'élection présidentielle en Roumanie, ce ne sont pas moins de 25 000 faux comptes qui ont été créés sur TikTok pour influer sur les électeurs dans une démarche d’astroturfing.

Selon Marc-Antoine Brillant, les attaquants deviennent de plus en plus performants dans la coordination de leur mode opératoire et savent agir simultanément sur plusieurs plateformes différentes, que ce soit X, Facebook, TikTok, une chaîne Telegram, avec des contenus de mieux en mieux réalisés pour cibler certaines audiences. Une campagne de manipulation de l'information est désormais conçue comme une campagne de publicité en ligne, avec des spécialistes qui savent comment toucher des segments d'opinion, des catégories de citoyens, et travaillent leurs narratifs pour parvenir à leurs fins.

Ces modes d’actions vont de pair avec un recours accru à l'intermédiation, le recours à des entreprises privées à l'étranger qui ne sont que des prestataires, une galaxie nébuleuse de médias, de sociétés marketing digital, d'entreprises d'intelligence économique, de sociétés de développement qui viennent en proxy et masquent l’Etat qui est le véritable commanditaire de ces campagnes.

Le champ d’action pour Viginum est étroit car à partir du moment où une information manipulée est diffusée dans la population et devient un sujet de débat d'opinion, cela devient un débat démocratique dans lequel Viginum ne peut s’immiscer : « c'est un défi qui est plus sociétal que technique. En fait, la question, c'est la résilience démocratique et l'éducation des gens par la détection par soi-même dans un contenu d'aller vérifier, de penser par soi-même ».

Le défi de l’IA générative

« Le deuxième défi est technique. Demain, avec l'IA générative, le défi sera de distinguer dans un débat ce qui est authentique de ce qui ne l’est pas. C’est de plus en plus complexe techniquement et les technologies évoluent vite », relève-t-il. Et d'évoquer notamment la responsabilité des plateformes d’IA générative qui devront, espère-t-il, se mettre en conformité vis-à-vis des obligations édictées par les Etats.

Il souligne : « à ce stade, l’IA est une évolution, ce n'est pas une révolution dans la menace. Cela permet trois choses aux acteurs étrangers. La première, c'est la capacité à créer des faux comptes, mais surtout, de leur donner un comportement quasiment humain. Aujourd'hui, un bot et un troll, c'est avant tout un programme informatique avec une fréquence qui se calcule, donc qui se détecte. Avec l'IA, vous êtes capables de randomiser, par rapport au nom, l'activité d'un faux compte, faire passer le bot sous le seuil de détection des plateformes ». Et puis « les attaquants ont la capacité de générer des faux contenus crédibles ». Mais, « la troisième chose que nous, on craint, et qu'on ne voit pas encore, en termes d'usage malveillant de l'IA générative, c'est la capacité à saturer un débat public avec du contenu ».

L’IA apporte aux attaquants la capacité de massifier leurs actions et Gustave Gauquelin du Sisse estime que cette massification est alarmante, de même que la démocratisation de l’accès à ces technologies : « ces technologies étaient autrefois réservées à un petit nombre d’Etats ou de grandes entreprises, aujourd'hui, tout le monde peut générer un Deepfake de qualité. C'est par ailleurs un progrès technologique dont il faut se féliciter, mais ça donne aussi accès à un spectre beaucoup plus large d'acteurs malveillants ».

Selon Jérôme Marilly, l’IA est déjà mise en œuvre dans les campagnes d'hameçonnage, dans la génération de code malveillant et pour détecter des vulnérabilités. Elle a aussi remis d’actualité l'escroquerie au Président grâce au Deepfake et le recours aux avatars lors de visioconférences.

Ces Deepfakes posent aussi problème au législateur dans le cadre d’affaires de pédopornographie et l’échange d’images ou de vidéos de mineurs de moins de 15 ans, mais qui ne tombent pas sous le coup de la loi car générées par des IA : « l’IA générative a ouvert tout un champ des possibles aux groupes criminels organisés qui ont bien compris les enjeux et l'utilité de l'IA. Nous analysons l'IA générative comme une des quatre menaces majeures pour le futur ».

La montée en puissance de menaces hybrides alliant des actions cyber, un volet informationnel et économique va complexifier encore plus l’analyse et la compréhension des forces à l’œuvre. Une bataille sur plusieurs fronts que devront de plus en plus livrer les équipes de gestion de crise à l’avenir.

Pour approfondir sur Cyberdéfense