Parilov - stock.adobe.com
« Cyberconflits » ou pas ? Une réalité diffuse complexe à appréhender
La “cyberguerre” est moins spectaculaire qu’on l’imagine : derrière les tensions géopolitiques, des attaques souvent opportunistes et difficiles à attribuer.
Il est souvent tentant de rapprocher l’activité de ces groupes de l’évolution des tensions géopolitiques mondiales, voire, pour certains observateurs, de parler, parfois hâtivement, de « cyberguerres ». La tentation est logique. Il faut toutefois se garder de tout approche trop rapide sur un sujet aussi sensible… et mouvant.
Rappelons qu’un des premiers « faits » même si il n’a jamais été officiellement attribué, ni revendiqué, d’un acte cyber hostile envers un État souverain a été, en 2010, l’attaque informatique des systèmes automates de l’usine d’enrichissement d’uranium iranienne de Natanz, via un virus introduit par une clé USB et baptisé Stuxnet.
Stuxnet, attribué sans qu'aucun démenti officiel ne survienne lieu aux États-Unis, avait fait couler beaucoup d’encre. Il a été considéré, à tort ou à raison, comme le fait générateur d’un acte de « cyberguerre » et a motivé depuis, notamment en Europe et aux États Unis, la prise en compte de la dimension « cyber » d’un conflit et la naissance d’une doctrine « cyber » dans les forces armées, le « cyberespace » devenant un terrain d’affrontement au même titre que l’espace terrestre, aérien ou maritime.
Le contexte actuel, avec le déclenchement de la guerre entre les États-Unis, Israel et l’Iran, le Proche Orient redevenu une zone de conflits ainsi qu'une guerre sur le sol européen en Ukraine, ravive évidemment la menace d’attaques informatiques et cyber plus ou moins organisées, et fait planer pour un public en mal de sensations fortes le spectre d’une « cyberguerre », qui a fait les beaux jours de certains scenarii d'anticipation.
La réalité est moins spectaculaire et infiniment plus complexe que Hollywood ne le laisse entendre. Dans ce type d’analyse, la prudence reste donc de mise, comme le souligne avec justesse et humilité Olivier Jacq, spécialiste de la cybersécurité maritime et des tensions qui y sont associées.
« Si Stuxnet a été un bon exemple de cyberarme, ce n’est sans doute pas le seul », explique Olivier Jacq. « Il faut toujours être prudent avec les chiffres. Lors de l'invasion de l’Ukraine, on craignait une cyberguerre menée par les Russes… Si on regarde les rapports des autorités étatiques, comme l’Anssi à l époque, ce n’est pas vraiment ce qui s’est passé. En revanche », reprend-il, « les escalades des interférences électromagnétiques sont réelles et rapides, et peuvent avoir des impacts sur les navires, les aéronefs, et les systèmes de télécommunications, notamment. Donc, et tout particulièrement dans les zones de tensions comme le droit d’Ormuz en ce moment ou la Mer Baltique, on peut redouter des interférences sur les signaux GPS ».
L'attribution, un exercice sensible
Les rapports donnés par le site Cybermaretique.fr montrait aussi, parfois, sans que cela soit vraiment significatif, des « incidents » ponctuels sur des zones de tensions, comme le port d’Odessa. Mais rien de significatif ne pouvait en être dégagé.
Benoît Grunemwald, responsable des affaires publiques chez l'éditeur d’antivirus slovaque Eset, se garde lui aussi de toute corrélation trop systématique entre cyberattaques et dégradation de la situation internationale.
« C’est évidemment très difficile a établir », explique-t-il : « depuis les attaques sur l’Ukraine, on note effectivement des incidents isolés, des "escarmouches" cyber, derrière lesquelles il est difficile de voir une logique étatique et organisée. Ils sont le fait de "groupes" dont l’autorité, la logique de fonctionnement et les buts apparaissent plus lucratifs que géopolitiques ».
Ce qui ne veut pas dire que cette logique essentiellement lucrative ne cache pas « un positionnement souterrain et larvé de tensions géopolitiques avérées », précise Benoît Grunemwald.
Les différents rapports et analyses pointent souvent du doigt une certaine « porosité » entre l’activité de ces groupes et l 'évolution des tensions géopolitiques. En clair, si le mobile premier de ces organisations reste financier et demeure l’extorsion d’argent, certaines peuvent « coopérer », souvent de manière souterraine et en sous-main, avec les forces armées de leur pays pour déstabiliser et attaquer les pays dits « ennemis ». Ils agissent en cela comme des « mercenaires » rétribués ou bien par patriotisme avéré. Voire à leur insu. Retracer ces schémas est très complexe, vu les circuits financiers et la chaîne de commandement et de transmission décidée.
« L’imputation d’une attaque cyber est avant tout une analyse géopolitique », explique sans détour Olivier Jacq. « C’est pour cela que l’on parle plutôt de tactiques, techniques et procédures (TTP), pour qualifier une attaque qui ressemble a un mode opératoire donné, réputé être associé à tel pays. On considère souvent qu’une destruction de données (wiper) est une attaque avec une approche étatique, là où une attaque par ransomware est du ressort de la cybercriminalité et des mafias organisées ». Mais il est indéniable que des contacts, voire des passerelles, existent.
La menace du pré-positionnement
Tomàš Foltўn, chercheur chez Eset et auteur d’un article sur les conséquences cybernétiques de la guerre au Proche Orient publié le 12 mars 2026 fait remarquer : « quelques heures après le lancement, le 28 février, de l’opération "Epic Fury", menée conjointement par les États-Unis et Israël, des cyberacteurs liés a l’Iran se sont mobilisés en grand nombre : l’unité 42 de Palo Alto a recensé plus de 60 groupes hacktivistes pro Iraniens actifs […]. Les groupes liés à l’Iran figurent parmi les groupes étatiques les plus actifs et les plus dotés en ressources au monde, et leur capacités et outils offensifs en matière de cyberdéfense ont récemment gagné en maturité. La menace est particulièrement aiguë pour les organisations ayant des relations d’approvisionnement au Moyen-Orient. […] Les chercheurs d’Eset ont déjà documenté des liens etroits entre plusieurs acteurs APT alignés sur l’Iran ». Et d'illustrer : « notamment MuddyWater acollaboré étroitement avec Lyceum, un sous groupe d'OilRig, et a probablement joué le rôle d’intermédiaire d'accès initial (IAB) pour d’autres groupes alliés sur l’Iran ».
« L’attaque avec un mode opératoire de type Wiper de mars 2026 sur le groupe médical Stryker, par le groupe Handala affilié à l’Iran, et qui a impacté toute sa chaîne de production et de livraison s’inscrit aussi dans cette logique », précise Benoît Grunemwald.
Pour Olivier Jacq, « le fait que tel ou tel groupe soit soutenu ou directement financé voire fasse partie intégrante des forces militaires d’un pays est en revanche connu. Les États peuvent financer, donner des capacités techniques à ces groupes pour éviter en temps qu’États d’être en première ligne ou démasqués ». Ces cyberattaques ne sont, même si elles paraissent isolées, jamais anodines dans le cadre des tensions internationales.
Benoît Grünemwald parle de « pré-positionnement » sur un conflit qui se durcit ou a du mal a évoluer, et qui vise en général principalement les infrastructures, pour attaquer la chaîne logistique et les approvisionnements d'un des pays engagés dans le conflit, ce afin de l’user et de l’affaiblir à long terme. Las, « le pré-positionnement, c’est par nature difficile à détecter », reprend Olivier Jacq : « ce n’est pas un sport de masse. Mais il est sûr que les États qui sont pré-positionnés ont un avantage stratégique certain ».
Pour approfondir sur Cyberdéfense
-
![]()
Moyen-Orient : la guerre comme accélérateur de menaces étatiques
Par: Valéry Rieß-Marchive
-
![]()
Olivier Jacq : itinéraire d’un cybermarin
Par: Sylvaine Luckx
-
![]()
Cybersécurité : les alliances occidentales risquent de se fragmenter dans le nouvel ordre mondial
Par: Alex Scroxton
-
![]()
GenAI : comment des acteurs avancés persistants la détournent
Par: Valéry Rieß-Marchive
