Par Benoit Grunemwald, Expert en cybersécurité
Une frontière devenue poreuse
Longtemps, la distinction paraissait claire : d’un côté, la cybercriminalité motivée par l’argent ; de l’autre, le cyberespionnage piloté par des intérêts géopolitiques. Cette séparation est aujourd’hui largement dépassée. Des groupes alignés avec des États adoptent désormais des méthodes issues du crime organisé, notamment le rançongiciel, pour atteindre des objectifs stratégiques.
Ce basculement change profondément la nature du risque. Les organisations ne font plus seulement face à des campagnes d’espionnage ciblées, mais à des attaques hybrides mêlant sabotage, extorsion et collecte de renseignements. Résultat : une augmentation du volume d’incidents et une complexification de la gestion des risques pour les directions IT et sécurité.
Des précédents révélateurs
Les attaques attribuées à des acteurs étatiques utilisant des rançongiciels ne datent pas d’hier.
En 2017, WannaCry a frappé à l’échelle mondiale. L’attaque n’a été stoppée qu’après la découverte d’un “kill switch” par un chercheur en sécurité. La même année, NotPetya visait principalement l’Ukraine. Présenté comme un rançongiciel, il s’agissait en réalité d’un malware destructeur conçu pour provoquer des dommages massifs tout en brouillant les pistes.
Plus récemment, en 2022, le groupe Sandworm a utilisé un rançongiciel comme outil de sabotage, dans le but d’effacer des données plutôt que d’obtenir une rançon.
Ces exemples illustrent une évolution stratégique : le rançongiciel devient un instrument polyvalent — financier, politique et opérationnel.
Pourquoi les États adoptent-ils les rançongiciels ?
- Financer des régimes sous pression
Certains groupes affiliés à des États utilisent l’extorsion numérique pour générer des revenus. La Corée du Nord est régulièrement citée pour ses attaques sophistiquées contre des plateformes de cryptomonnaies et des institutions financières. Entre 2017 et 2023, ces opérations auraient permis d’amasser environ 3 milliards de dollars de profits illicites.
En mai 2024, une campagne visant des organisations des secteurs aérospatial et défense a révélé une stratégie en deux temps : vol d’informations sensibles, puis déploiement d’un rançongiciel personnalisé baptisé « FakePenny ». L’objectif est double : espionner et monétiser l’accès obtenu.
- Enrichissement personnel de cyberopérateurs
Certains membres de groupes étatiques exploitent leurs compétences à des fins personnelles. Le groupe Pioneer Kitten a collaboré avec plusieurs groupes de rançongiciel, dont NoEscape, RansomHouse et ALPHV. En échange d’un partage des rançons, ces acteurs ont fourni des accès initiaux aux réseaux compromis et participé au chiffrement des systèmes.
Cette hybridation brouille encore davantage les lignes entre cybercriminalité classique et opérations étatiques.
- Dissimuler des opérations d’espionnage
L’utilisation d’un rançongiciel peut aussi servir d’écran de fumée. Le groupe ChamelGang a mené des campagnes contre des infrastructures critiques en Asie de l’Est, en Inde, aux États-Unis, en Russie, à Taïwan et au Japon. En déployant le rançongiciel CatB, il a pu masquer des opérations d’espionnage et détruire des traces compromettantes.
Comment les entreprises peuvent-elles se protéger ?
Face à ces menaces hybrides, l’identité exacte de l’attaquant importe moins que la capacité à limiter l’impact.
Les organisations doivent :
- Former les employés aux techniques d’ingénierie sociale
- Imposer des mots de passe robustes et l’authentification multifactorielle
- Segmenter les réseaux pour limiter les mouvements latéraux
- Mettre en place une surveillance continue (EDR, XDR, MDR)
- Tester régulièrement les dispositifs de sécurité
- Déployer des outils avancés de gestion des vulnérabilités
- Adopter une approche multicouche de protection des actifs
- Investir dans la threat intelligence
- Effectuer des sauvegardes régulières et isolées
- Élaborer et tester un plan de réponse aux incidents
La détection précoce et la rapidité de décision restent déterminantes pour contenir l’attaque.
Quels impacts pour les organisations ?
Ces attaques hybrides compliquent considérablement l’attribution et la compréhension des intentions adverses. Elles exposent les entreprises à un double risque : perte financière immédiate et atteinte stratégique à long terme.
Paradoxalement, lorsque des groupes APT adoptent des techniques criminelles standardisées, leurs méthodes peuvent devenir plus détectables que les outils sur mesure utilisés dans des campagnes d’espionnage traditionnelles. Cette convergence ouvre donc aussi des opportunités pour les défenseurs — à condition d’investir dans la visibilité, l’anticipation et la résilience.
Dans un contexte où rançongiciel, espionnage et sabotage s’entremêlent, la cybersécurité ne relève plus uniquement de la protection technique : elle devient un enjeu stratégique majeur pour la souveraineté numérique et la continuité des activités.
