Le pied-à-terre silencieux : pré-positionnement, infrastructures critiques et la nouvelle géométrie du conflit cyber

I. De l'espionnage au pré-positionnement

Le 7 février 2024, l'agence américaine de cybersécurité CISA, conjointement avec la NSA, le FBI et une coalition d'agences alliées, a publié l'avis AA24-038A.^[1] Son évaluation était d'une netteté inhabituelle. L'acteur étatique chinois suivi sous le nom de Volt Typhoon avait compromis les environnements informatiques de multiples organisations d'infrastructures critiques, « principalement dans les secteurs des communications, de l'énergie, des transports, de l'eau et de l'assainissement », et les agences signataires jugeaient « avec un haut degré de confiance » que ces intrusions visaient à permettre une progression latérale vers les systèmes industriels afin d'en perturber le fonctionnement.^[1]

L'avis posait une distinction qui mérite d'être citée : le choix des cibles et le mode opératoire de Volt Typhoon « ne sont pas cohérents avec des opérations traditionnelles d'espionnage ou de renseignement ».^[1] L'acteur ne lisait pas le réseau ; il apprenait à le briser. CISA rapportait par ailleurs des indices d'un accès maintenu dans certains environnements « depuis au moins cinq ans ».^[1]

Deux traits font de cette campagne un changement de nature, et non un simple degré supplémentaire. Le premier est la patience. Cinq ans de présence à l'intérieur d'un opérateur d'électricité ou d'eau ne relèvent d'aucune reconnaissance ordinaire ; c'est la construction d'une option, une capacité délibérément forgée et conservée pour une contingence future. Le second est la méthode. La signature de Volt Typhoon est le recours aux techniques dites « living off the land » : plutôt que de déployer un maliciel sur mesure qu'un défenseur pourrait intercepter, l'acteur opère au moyen des outils d'administration légitimes déjà présents sur le réseau, se fondant dans l'activité de routine.^[1]

L'unité de compte a changé. Ce n'est plus le document dérobé, mais la capacité pré-placée, un pied-à-terre qui ne produit aucune valeur jusqu'au jour où quelqu'un décide de s'en servir.

II. La dorsale des télécommunications comme cible en soi

Si Volt Typhoon a révélé l'ambition contre l'énergie et l'eau, la campagne suivie sous le nom de Salt Typhoon en a révélé l'ampleur contre la couche des communications. À partir de signalements apparus en 2024, les autorités américaines ont divulgué qu'un acteur affilié à Pékin avait pénétré les réseaux des principaux opérateurs télécoms américains.^[2]^[3] Fin 2024, la Maison-Blanche confirmait qu'au moins huit entreprises de télécommunications américaines étaient touchées et que l'opération avait atteint « plusieurs dizaines » de pays.^[3]

Le détail qui confère à cette campagne son poids stratégique tient à ce que les intrus ont atteint. Selon les autorités américaines, Salt Typhoon a accédé aux systèmes par lesquels les opérateurs répondent aux réquisitions d'interception légale au titre de la loi CALEA, soit l'appareil même des écoutes judiciaires.^[2]^[4] La conseillère adjointe à la sécurité nationale Anne Neuberger a indiqué qu'un « grand nombre » de personnes avaient vu leurs métadonnées de géolocalisation et d'appels consultées, et que les communications d'un ensemble plus restreint, dont des figures liées à la présidentielle américaine de 2024, avaient été directement collectées.^[3]^[4] En réponse, CISA et ses partenaires américains, australiens, canadiens et néo-zélandais ont publié en décembre 2024 des recommandations de durcissement des infrastructures de communication.^[2]

Les chiffres relatifs à la portée totale de la campagne ont continué de croître et doivent être maniés avec la prudence qu'impose un bilan d'incident encore évolutif : en août 2025, le FBI et ses partenaires décrivaient Salt Typhoon comme ayant compromis des entités dans quelque 80 pays.^[4] Quel que soit le décompte final, la leçon est structurelle. La dorsale des télécommunications n'est plus seulement le canal par lequel d'autres cibles sont atteintes. Elle est la cible, car qui la tient tient les systèmes d'interception légale, les métadonnées d'une société, et un interrupteur que l'on peut actionner en temps de crise.

ENCADRÉ MÉTHODE : Lire les attributions.

Cette Note privilégie les avis gouvernementaux primaires (CISA, NSA, FBI, ANSSI) et les déclarations d'officiels nommés plutôt que les synthèses de presse secondaires. L'attribution cyber est un jugement probabiliste, non une certitude forensique ; lorsque les agences énoncent un niveau de confiance, nous le reproduisons, et lorsque des chiffres sont encore révisés au fil des divulgations successives, comme le nombre de pays touchés par Salt Typhoon, nous signalons l'affirmation comme provisoire. Le lecteur tiendra « compromis » et « pré-positionné » pour des évaluations des agences signataires, fondées sur des éléments classifiés que nous ne pouvons auditer.

III. Les fonds marins et la couche physique

Le conflit cyber ne s'arrête pas à la couche logique. La mer Baltique est devenue le théâtre où la dépendance numérique rencontre le sabotage physique. Le 25 décembre 2024, le câble électrique Estlink 2 reliant la Finlande à l'Estonie, ainsi que plusieurs câbles de télécommunications, ont été sectionnés ; les enquêteurs finlandais ont conclu que le pétrolier Eagle S avait traîné son ancre sur des dizaines de kilomètres de fond marin, et une équipe armée finlandaise a arraisonné le navire.^[5]^[6] Le bâtiment était associé à la « flotte fantôme » servant à écouler le pétrole russe en contournement des sanctions occidentales.^[5]

L'incident s'inscrit dans un schéma plus large de dommages aux câbles qui a conduit les gouvernements européens à traiter les infrastructures sous-marines comme un domaine disputé. Le 14 janvier 2025, l'OTAN a lancé l'activité « Baltic Sentry », déployant frégates, avions de patrouille maritime et drones navals pour renforcer la protection des infrastructures sous-marines critiques.^[7] Savoir si chaque rupture de câble relève du sabotage délibéré ou de la négligence maritime demeure, dans plusieurs cas, authentiquement contesté, un tribunal finlandais a ultérieurement jugé qu'il ne pouvait poursuivre les officiers de l'Eagle S pour des faits commis hors des eaux territoriales.^[6] Mais l'effet stratégique ne dépend pas de la résolution de chaque cas. L'ambiguïté est elle-même l'arme : une campagne qu'on ne peut jamais attribuer proprement impose un coût, une inquiétude et le fardeau d'une patrouille permanente tout en préservant le déni.

Le génie des opérations en zone grise est qu'elles n'ont pas besoin d'être prouvées pour réussir. Le doute, réparti sur toute une alliance, est le produit livré.

IV. Capacité criminelle, effet étatique

La frontière nette entre pré-positionnement étatique et extorsion criminelle ne tient plus. L'affaire Colonial Pipeline de mai 2021, une attaque par rançongiciel attribuée par le FBI au groupe criminel DarkSide, qui a conduit l'opérateur à suspendre la distribution de carburant six jours durant sur une large part de la côte est américaine, a démontré qu'une intrusion à motivation financière peut produire un effet de sécurité nationale indiscernable d'un sabotage.^[8] En novembre 2023, le groupe lié à l'Iran CyberAv3ngers a compromis un automate programmable Unitronics exposé sur Internet à la Municipal Water Authority d'Aliquippa (Pennsylvanie) ; CISA a ensuite documenté l'exploitation du même équipement dans plusieurs États.^[9] L'approvisionnement en eau n'a jamais été menacé, mais c'est la valeur de démonstration qui importait.

L'agence française a nommé cette convergence sans détour. Dans son Panorama de la cybermenace 2025, l'ANSSI observe que des techniques jadis réservées aux groupes étatiques, exploitation de vulnérabilités « zero-day », détournement de services légitimes, pré-positionnement durable, apparaissent désormais dans l'écosystème criminel, et que des acteurs traditionnellement associés à l'espionnage, dont la Chine et la Corée du Nord, ont été observés en 2025 en train de déployer des rançongiciels à des fins lucratives.^[10] L'ANSSI relève en outre que le ciblage des infrastructures critiques des secteurs des télécommunications et de l'énergie, y compris par des tentatives de sabotage, reste très prisé de ces acteurs, et décrit une fin d'année 2025 alarmante, marquée par des attaques coordonnées et à visée destructive contre les infrastructures électriques polonaises.^[10] L'Institut lit cette convergence comme la tendance la plus dangereuse de la période : elle effondre les catégories analytiques dont dépend la dissuasion. Si un État peut louer un proxy criminel, et un criminel manier une capacité de niveau étatique, la question « qui a fait cela, et était-ce un acte de guerre ? » devient structurellement sans réponse dans les heures qui comptent.

V. Le front cognitif

Le second front est informationnel. Le Service européen pour l'action extérieure (SEAE), dans ses rapports successifs sur la manipulation de l'information et l'ingérence étrangères (FIMI), a documenté une infrastructure industrialisée de manipulation. Ses travaux ont analysé des centaines d'incidents FIMI et des dizaines de milliers de canaux, attribuant l'essentiel de l'activité à la Russie et, de plus en plus, à la Chine, et cartographiant des réseaux clandestins persistants tels que Doppelgänger, qui reproduit l'apparence de médias européens légitimes pour blanchir des contenus hostiles.^[11]^[12] Le SEAE relève que les incidents FIMI de 2024 ont couvert quelque 90 pays et visé des centaines d'organisations.^[11]

Le lien avec les infrastructures n'a rien d'accessoire. La confiance d'une société dans la sûreté de son réseau électrique, dans la potabilité de son eau, dans le fait qu'une coupure soit un accident et non une attaque, est elle-même une cible. Le pré-positionnement dans les systèmes physiques et la manipulation de l'environnement informationnel sont les deux moitiés d'une même stratégie : la première crée la capacité d'infliger la perturbation, la seconde façonne la manière dont une population l'interprétera lorsqu'elle surviendra, ou dont elle la redoutera.

VI. Les cadres européen et suisse

La réponse réglementaire a été substantielle mais inégale. La directive NIS2 de l'Union européenne, en vigueur depuis janvier 2023, a étendu des obligations contraignantes de cybersécurité à dix-huit secteurs critiques et fixé une échéance de transposition au 17 octobre 2024.^[13] La mise en œuvre est restée en deçà de l'ambition : seule une poignée d'États membres a respecté l'échéance, et fin novembre 2024 la Commission européenne a ouvert des procédures d'infraction contre vingt-trois d'entre eux.^[13] Une directive qui existe sur le papier mais non en droit national ne protège personne.

Un cadre calibré pour « détecter et notifier » est mal armé face à un adversaire dont l'objectif est d'être présent, patient et inaperçu.

L'évaluation de l'Institut est que l'architecture dominante, bâtie autour du signalement d'incident, de la notification de violation et de la protection des données, reste organisée autour du paradigme du vol. Le pré-positionnement en inverse les présupposés : le succès de l'adversaire réside précisément dans l'absence d'incident à signaler. Se défendre contre un pied-à-terre exige une traque continue des menaces au sein des réseaux industriels, la capacité de faire fonctionner les services essentiels pendant une cyberattaque plutôt que de seulement s'en relever ensuite, et l'acceptation de cette vérité inconfortable : les intrusions les plus dangereuses ne génèrent aucune alerte. Pour la Suisse, dont l'interconnexion avec les marchés européens de l'énergie et des télécommunications est profonde et dont la neutralité n'offre aucune exemption à la physique de la dépendance, la conséquence est directe : la résilience ne se mesure pas à la vitesse de divulgation d'une violation, mais à la durée pendant laquelle un service essentiel peut continuer de fonctionner tout en étant compromis.

VII. Conclusion : Se défendre contre la patience

La compétition cyber de cette décennie n'est pas d'abord une affaire de vol, et la traiter comme telle est une erreur de catégorie aux conséquences opérationnelles. Les gestes décisifs sont le pied-à-terre silencieux maintenu des années dans un opérateur de services, l'accès à la dorsale qui transforme un opérateur télécoms en instrument, l'ancre ambiguë sur un fond marin obscurci, et le doute fabriqué qui érode la capacité d'une société à distinguer l'accident de l'attaque. Chacun est conçu pour ne mûrir en effet qu'à l'instant choisi par l'adversaire.

Se défendre contre la patience exige une patience symétrique, et une franchise que la plupart des institutions évitent encore. La mesure honnête de la sécurité n'est plus la rapidité de la détection, mais la robustesse du fonctionnement sous hypothèse de compromission. C'est un étalon inconfortable, car il concède que le pied-à-terre est peut-être déjà en place. C'est aussi le seul à la hauteur de la menace telle que les faits, aujourd'hui, la décrivent.

Références

[1] "PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure," Advisory AA24-038A, CISA / NSA / FBI, 7 February 2024. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
[2] "Salt Typhoon Hacks of Telecommunications Companies and Federal Response Implications," Congressional Research Service (In Focus IF12798), 2024–2025. https://www.congress.gov/crs-product/IF12798
[3] "At least 8 US telcos, dozens of countries impacted by Salt Typhoon breaches, White House says," The Record (Recorded Future News), December 2024. https://therecord.media/eight-telcos-breached-salt-typhoon-nsc
[4] "Salt Typhoon," Wikipedia (citing U.S. official statements, FBI/NSA reporting; consulted June 2026). https://en.wikipedia.org/wiki/Salt_Typhoon
[5] "Authorities investigate possible Russian 'hybrid warfare' after oil tanker cuts undersea cables," CBS News, 2025. https://www.cbsnews.com/news/eagle-s-baltic-cut-cable-investigation-russia-ties-60-minutes/
[6] "Miles-long anchor drag mark found on Baltic seabed after suspicious cable damage, Finnish investigators say," CNN, 30 December 2024. https://www.cnn.com/2024/12/30/europe/baltic-sea-cable-anchor-drag-russia-intl-latam
[7] "NATO launches 'Baltic Sentry' to increase critical infrastructure security," NATO, 14 January 2025. https://www.nato.int/en/news-and-events/articles/news/2025/01/14/nato-launches-baltic-sentry-to-increase-critical-infrastructure-security
[8] "Colonial Pipeline ransomware attack," Wikipedia (citing FBI attribution and DOJ recovery announcement; consulted June 2026). https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
[9] "Pennsylvania water facility hit by Iran-linked hackers," CyberScoop, November 2023. https://cyberscoop.com/pennsylvania-water-facility-hack-iran/
[10] "Panorama de la cybermenace 2025," ANSSI (CERT-FR), 2026. https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
[11] "2024 Report on EEAS Activities to Counter Foreign Information Manipulation and Interference (FIMI)," European External Action Service, 2024. https://www.eeas.europa.eu/eeas/2024-report-eeas-activities-counter-foreign-information-manipulation-and-interference-fimi_en
[12] "3rd EEAS Report on Foreign Information Manipulation and Interference Threats," European External Action Service, March 2025. https://www.eeas.europa.eu/eeas/3rd-eeas-report-foreign-information-manipulation-and-interference-threats-0_en
[13] "NIS2 Directive: securing network and information systems," European Commission, Shaping Europe's digital future, 2024. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

Citer cette note

Benalla A. (2026). « Le pied-à-terre silencieux : pré-positionnement, infrastructures critiques et la nouvelle géométrie du conflit cyber ». Note IV·NOTE·005, Institut Vidocq.