Archives de catégorie : Entreprise

Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.

La FCC bloque les routeurs étrangers aux États-Unis

Washington durcit sa doctrine cyber en visant les routeurs fabriqués hors des États-Unis, jugés trop risqués pour les réseaux domestiques, les infrastructures critiques et la sécurité nationale.

La Federal Communications Commission, la FCC, interdit l’importation future de tous les routeurs grand public fabriqués en dehors des États-Unis, sauf exemption explicite accordée après examen sécuritaire. La mesure ne vise pas les appareils déjà installés chez les particuliers, mais elle pourrait bouleverser tout le marché américain, largement dépendant d’une production étrangère. L’agence invoque un « risque inacceptable » pour la sécurité nationale, la sûreté publique et la cybersécurité.

Une rupture réglementaire au nom de la sécurité nationale

La FCC franchit un seuil important dans sa politique de sécurité. L’agence interdit désormais l’importation de futurs routeurs grand public produits hors des États-Unis, à moins que leurs fabricants n’obtiennent une dérogation. Pour être exemptées, les entreprises devront décrocher une « détermination spécifique » du Department of Homeland Security ou du Department of War attestant que leurs produits ne présentent aucun danger sécuritaire.

Le signal envoyé est considérable. La plupart des routeurs utilisés par les consommateurs américains sont fabriqués à l’étranger. En visant l’origine industrielle des équipements, et non une seule marque ou une seule technologie, la FCC expose potentiellement l’ensemble du secteur à un choc réglementaire. Cette décision prolonge une logique déjà engagée en décembre, lorsque l’agence avait adopté une interdiction comparable concernant les drones produits hors des États-Unis.

L’interdiction reste toutefois circonscrite aux importations à venir. Les particuliers qui possèdent déjà chez eux des routeurs fabriqués à l’étranger peuvent continuer à les utiliser. Cette précision limite l’effet immédiat pour les consommateurs, mais elle ne réduit pas la portée stratégique de la mesure. Elle déplace l’effort sur le renouvellement du parc et sur l’accès au marché américain pour les nouveaux équipements.

La justification de la FCC repose sur un diagnostic de chaîne d’approvisionnement. Selon la décision de sécurité nationale, publiée le 20 mars 2026, la dépendance des ménages américains à l’égard de routeurs fabriqués à l’étranger introduit des vulnérabilités susceptibles de menacer l’économie, les infrastructures critiques et la posture de défense du pays. L’agence parle même d’un « grave risque de cybersécurité ». La formule n’est pas anodine. Elle inscrit les équipements domestiques dans le périmètre de la sécurité nationale, au même titre que des composants plus directement liés aux réseaux stratégiques.

Dans son texte, la FCC détaille les usages offensifs associés à des routeurs compromis. Ces appareils peuvent faciliter la surveillance du trafic, l’exfiltration de données, les attaques par botnet et l’accès non autorisé à des réseaux. L’agence ajoute que des routeurs non sécurisés, fabriqués hors des États-Unis, ont déjà servi dans plusieurs cyberattaques récentes comme points d’appui pour pénétrer d’autres systèmes et comme relais vers des infrastructures critiques. Dans cette lecture, le routeur domestique n’est plus un simple boîtier technique. Il devient un point d’entrée, un capteur, un pivot et parfois une plateforme d’espionnage.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

 

Le routeur domestique, nouvel enjeu de la guerre des accès

La décision de la FCC met en lumière une réalité connue du monde cyber : l’attaque passe souvent par les marges. Un routeur compromis permet non seulement d’observer le trafic, mais aussi de se fondre dans le décor, de conserver un accès durable et d’utiliser un réseau déjà légitime comme tremplin. C’est précisément ce que l’agence associe ici à plusieurs campagnes attribuées à des acteurs étatiques ou à des groupes offensifs.

Selon la décision de sécurité nationale, les opérateurs parrainés par un État derrière les attaques Salt Typhoon ont utilisé des routeurs étrangers compromis pour s’intégrer à certains réseaux, y maintenir un accès dans la durée et pivoter vers d’autres cibles. Cette description est importante. Elle souligne que la menace ne tient pas uniquement au sabotage ou au vol immédiat de données. Elle tient aussi à la persistance, à la discrétion et à la capacité de mouvement latéral, trois dimensions essentielles dans les opérations de renseignement.

La CISA, l’Agence de cybersécurité et de sécurité des infrastructures, a elle aussi qualifié les routeurs de « vecteur d’attaque de choix », rappelle la FCC, en citant un avis de septembre 2025. L’agence fédérale s’appuie également sur une évaluation conjointe publiée en septembre 2024 par le FBI, la Cyber National Mission Force et la National Security Agency. Ce document indiquait que des pirates avaient exploité des routeurs de fabrication étrangère pour constituer des botnets employés dans des activités malveillantes, notamment des attaques par déni de service distribué. La FCC mentionne encore une annonce de Microsoft, datée d’octobre 2024, selon laquelle des routeurs compromis fabriqués à l’étranger avaient été utilisés pour mener des attaques par pulvérisation de mots de passe contre ses clients.

TP-Link illustre choqué !

La réaction de TP-Link illustre l’onde de choc provoquée par cette décision. Dans un communiqué, l’entreprise, fondée en Chine et désormais basée en Californie, affirme que presque tous les routeurs sont fabriqués hors des États-Unis, y compris ceux d’entreprises américaines, et précise produire au Vietnam. Selon son porte-parole, l’ensemble du marché des routeurs pourrait être affecté par l’annonce de la FCC concernant les nouveaux appareils qui n’avaient pas encore été autorisés. La société dit néanmoins avoir confiance dans la sécurité de sa chaîne d’approvisionnement et se déclare favorable à cette évaluation sectorielle.

Le climat politique s’est encore tendu en février, lorsque le Texas a attaqué TP-Link Systems en justice, l’accusant d’avoir facilité le piratage d’appareils de consommateurs par le Parti communiste chinois tout en affirmant offrir un haut niveau de sécurité et de protection de la vie privée. Cette procédure ajoute une dimension contentieuse à un débat déjà dominé par les questions d’influence, d’ingérence et de dépendance technologique.

Un point mérite toutefois d’être relevé : les routeurs fabriqués aux États-Unis ne sont pas présentés comme immunisés. Le département de la Justice a indiqué en janvier 2024 que les acteurs de Volt Typhoon avaient utilisé des routeurs Cisco et Netgear arrivés en fin de support, donc privés de correctifs et de mises à jour. Autrement dit, l’origine industrielle ne résout pas à elle seule la vulnérabilité. Elle s’ajoute à un autre problème majeur, celui du cycle de vie, de la maintenance logicielle et de l’abandon de produits encore déployés sur le terrain.

En visant les routeurs étrangers, la FCC traite l’équipement domestique comme une surface de renseignement, preuve que la bataille cyber se joue désormais jusque dans les boîtiers les plus ordinaires des foyers.

 

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Intesa Sanpaolo sanctionnée pour faille interne

En Italie, un accès illicite aux données de 3 573 clients vaut à Intesa Sanpaolo une lourde sanction, révélatrice d’un angle mort critique dans la surveillance interne.

L’autorité italienne de protection des données a infligé à Intesa Sanpaolo SpA une amende de 36 millions $ (31,8 millions d’euros) après la découverte d’accès injustifiés aux informations bancaires de 3 573 clients entre février 2022 et avril 2024. Le régulateur évoque de graves insuffisances dans la sécurité des données personnelles, liées à des mesures techniques et organisationnelles inadaptées. L’affaire, déclenchée après une fuite de données signalée en juillet 2024, met en lumière un défaut de détection interne, des contrôles jugés trop faibles et une gestion contestée des notifications adressées aux personnes concernées. Plusieurs clients visés étaient en outre considérés comme sensibles ou à haut risque.

Une fuite interne qui expose les failles de contrôle

L’affaire frappe l’une des plus grandes institutions financières italiennes au cœur de sa fonction la plus sensible : la protection des données bancaires. Lundi, l’Autorité italienne de protection des données a annoncé une sanction de 36 millions $ (31,8 millions d’euros) contre Intesa Sanpaolo SpA. En cause, des consultations indues d’informations bancaires concernant plus de 3 500 clients, sur une période de plus de deux ans.

Le dossier a débuté avec une fuite de données rendue publique par la banque en juillet 2024. L’enquête ouverte dans la foulée a permis d’établir qu’un salarié avait accédé, sans motif légitime, aux données de 3 573 clients entre février 2022 et avril 2024. Ce seul calendrier suffit à montrer l’ampleur du problème : il ne s’agit pas d’un incident ponctuel, ni d’une erreur isolée détectée rapidement, mais d’un accès prolongé, répété, et resté invisible durant une période exceptionnellement longue.

Le régulateur décrit des « graves lacunes en matière de sécurité des données personnelles, dues à l’inadéquation des mesures techniques et organisationnelles adoptées ». La formule est lourde de sens. Elle vise à la fois l’architecture de sécurité, les procédures de contrôle, et la gouvernance qui encadre l’accès aux informations les plus sensibles. Dans le secteur bancaire, cet empilement de protections est censé empêcher qu’un employé puisse consulter librement des comptes sans alerte immédiate. Or, selon l’autorité, ce garde-fou n’a pas tenu.

Le communiqué du régulateur insiste sur un point déterminant pour toute analyse cyber : les accès non autorisés n’ont pas été repérés par les systèmes de contrôle interne. Autrement dit, le risque ne vient pas seulement de l’acte fautif d’un employé. Il découle aussi d’une incapacité structurelle à voir, qualifier et interrompre un comportement anormal. Dans une logique de sécurité, l’échec est donc double : la prévention n’a pas suffi, la détection non plus.

Le modèle opérationnel de la banque est lui aussi explicitement mis en cause. Selon l’autorité, les opérateurs pouvaient interroger de manière exhaustive l’ensemble de la clientèle, sans que ce pouvoir soit compensé par des mécanismes aptes à prévenir ou identifier les abus. Cette remarque dépasse le cas individuel. Elle révèle un problème de conception, où l’accessibilité interne aux données l’emporte sur le cloisonnement, alors même que ce type d’exposition crée un risque évident d’espionnage économique, de surveillance ciblée ou d’exploitation de renseignements sensibles.

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Des clients sensibles et une réponse jugée insuffisante

Le régulateur souligne un autre aspect particulièrement sensible : parmi les personnes concernées figuraient des clients considérés comme « à haut risque », dont des personnalités publiques bien connues. Ce détail change la portée du dossier. Lorsqu’une banque gère des profils exposés, la protection attendue ne relève plus seulement de la conformité de base. Elle touche à la prévention de scénarios plus critiques, où les données financières peuvent alimenter des pressions, des atteintes à la vie privée, des campagnes d’influence ou des opérations de ciblage.

L’autorité estime justement qu’Intesa Sanpaolo aurait dû appliquer à ces comptes des contrôles renforcés. Cette appréciation est centrale. Elle montre que le régulateur ne raisonne pas seulement en nombre de victimes, mais aussi en niveau de sensibilité des informations compromises. Dans une lecture renseignement, la valeur d’une donnée dépend du profil qu’elle concerne, du contexte dans lequel elle est consultée, et de l’usage potentiel qui peut en être fait. L’absence de vigilance supplémentaire pour des clients à risque alourdit donc mécaniquement la gravité du dossier.

L’enquête ne s’est pas arrêtée aux seuls accès illicites. D’autres irrégularités ont été constatées dans la manière dont la banque a géré l’incident après sa découverte. Selon le communiqué, les notifications adressées aux clients concernés étaient incomplètes et envoyées hors des délais prévus par la loi. Là encore, le sujet va au-delà d’un manquement procédural. Dans une crise de données, la qualité de l’information transmise aux victimes est un indicateur direct de maturité. Prévenir tard, ou prévenir partiellement, laisse les personnes exposées sans capacité immédiate d’évaluation ou de réaction.

Intesa Sanpaolo n’a pas souhaité commenter, son porte-parole ayant refusé toute déclaration. Le silence public de l’établissement ne modifie pas les éléments retenus par l’autorité, qui précise avoir calibré l’amende selon plusieurs critères : la gravité des faits, leur durée, le nombre de clients touchés et la manière dont le problème a été traité après sa découverte. Cette méthode de calcul ancre la sanction dans une logique cumulative, où chaque défaillance renforce l’autre.

Au total, cette affaire montre qu’en matière bancaire, la menace interne reste l’un des angles morts les plus dangereux lorsque les droits d’accès sont trop larges et les contrôles trop faibles.

Chantage au faux VPN : comment l’iPhone se retrouve piégé

Une appli VPN gratuite, installée en quelques minutes, puis un message qui tombe comme une menace, payez ou votre iPhone sera bloqué. En coulisses, tout se joue ailleurs, sur l’identifiant Apple.

Une escroquerie prend appui sur des applications VPN gratuites téléchargées depuis l’App Store, avant de basculer en chantage. Les victimes reçoivent un message réclamant un transfert d’argent, souvent autour de 10 000 €, sous peine de rendre l’iPhone inutilable. Un VPN ne peut pourtant pas bloquer un iPhone à distance. Le mécanisme réel vise l’identifiant Apple, récupéré par pression, ou via la manipulation qui pousse l’utilisateur à se connecter à un autre compte. Parfois, l’attaque passe aussi par l’installation d’un profil de gestion d’appareil déguisé. Une fois l’accès obtenu, le mode Perdu est activé via Localiser et le verrouillage d’activation se déclenche.

Ce que le VPN ne peut pas faire, et ce que les escrocs exploitent

Tout commence comme une routine numérique. Une personne télécharge un VPN gratuit « pratique » depuis l’App Store, l’utilise tranquillement, puis reçoit un message qui change l’ambiance : transférez de l’argent ou l’iPhone sera bloqué. La somme exigée vise à couper le souffle, souvent autour de 10 000 €. Le scénario laisse croire à un pouvoir direct de l’application sur le téléphone.

Cette idée est trompeuse. Un VPN ne dispose pas d’un bouton secret capable de rendre un iPhone inutilisable à distance. Il ne peut pas, seul, déclencher un verrouillage système. La bascule se produit ailleurs : dans l’identité numérique attachée à l’appareil. Le point crucial est l’accès au compte Apple, obtenu par compromission ou par une manœuvre qui pousse la victime à se connecter à un autre identifiant dans les réglages.

Le VPN sert alors surtout de prétexte et de mise en scène. Il crédibilise un discours d’assistance improvisée, de « restriction » à lever, de configuration à finaliser. L’attaque ne repose pas sur une magie technique, mais sur une capture d’autorisations, par précipitation et par pression, jusqu’à faire entrer l’utilisateur dans un couloir où il donne lui-même la clé.

La mécanique du chantage : compte Apple, profils iOS, verrouillage

Le schéma le plus fréquent repose sur des messages qui promettent un contournement rapide, puis exigent le mot de passe de l’identifiant Apple au nom d’une « vérification », d’une « activation », d’une « synchronisation » ou d’une « configuration ». L’objectif est simple : prendre le contrôle du compte, pas du VPN. Parfois, les escrocs vont jusqu’à convaincre l’utilisateur de saisir l’identifiant Apple d’une autre personne dans les réglages de l’iPhone. Une fois ce pas franchi, l’appareil est lié à une identité qui n’est plus celle du propriétaire.

Dans d’autres histoires, une étape additionnelle aggrave le risque : l’installation d’un profil de gestion d’appareil. Ce type de profil modifie les règles de sécurité de l’iPhone et donne à l’administrateur le pouvoir d’imposer des politiques, y compris un blocage. Les escrocs le camouflent derrière des intitulés rassurants, « configuration réseau » ou « certificat de service ». Là encore, le ressort n’est pas un tour de passe-passe : c’est une autorisation accordée volontairement, souvent sous contrainte psychologique.

Une fois l’accès au compte Apple acquis, le verrou se referme. Les attaquants activent le mode Perdu via Localiser mon iPhone. Le verrouillage d’activation se déclenche alors : l’appareil exige des identifiants, mais ceux-ci restent entre les mains des escrocs. Côté victime, la sensation est celle d’un blocage soudain et inexplicable, alors que la cause est presque toujours la même : un identifiant Apple compromis, ou un appareil rattaché à un compte qui n’est plus maîtrisé.

La protection tient pourtant à quelques réflexes simples. Ne partagez jamais le mot de passe de votre identifiant Apple, y compris avec un « support » par chat ou un prétendu configurateur VPN. Saisissez votre identifiant Apple uniquement dans les réglages système, et uniquement le vôtre. Avant d’installer un profil iOS, il est conseillé de vérifier qui vous le demande et pour quel motif. En cas de doute, fermez la page et n’installez rien.

Si des escrocs ont déjà accédé à votre compte Apple, il faut agir vite. Changez le mot de passe de l’identifiant Apple, contrôlez la liste des appareils associés, activez l’authentification à deux facteurs et supprimez les appareils inconnus. Si l’iPhone est bloqué par le verrouillage d’activation, la voie de sortie consiste à rétablir l’accès au compte Apple ou à contacter l’assistance officielle en fournissant une preuve de propriété. Le transfert d’argent ne permet généralement pas de reprendre le contrôle et ouvre souvent la porte à de nouvelles demandes.

Dans cette affaire, le signal cyber à retenir est net : l’attaque vise d’abord l’identité et les permissions, puis transforme l’écosystème en levier d’extorsion.

L’IA au service d’un piratage éclair de FortiGate

Entre automatisation et négligence, une campagne récente montre comment des interfaces d’administration exposées et des mots de passe faibles suffisent à ouvrir des réseaux entiers, à grande échelle.

Une analyse d’Amazon décrit une campagne menée entre le 11 janvier et le 18 février 2026, où un cybercriminel motivé par le profit a compromis plus de 600 équipements FortiGate dans 55 pays. L’attaque ne reposait pas sur des failles logicielles, mais sur des consoles de gestion laissées accessibles depuis Internet et protégées par une authentification simple avec des mots de passe faciles à deviner. En s’appuyant sur plusieurs services commerciaux d’IA générative, l’attaquant a industrialisé la méthode, récupérant configurations, identifiants, plans réseau et paramètres VPN. Objectif final, pénétrer l’interne, viser Active Directory et sonder les sauvegardes, un signal souvent associé aux préparatifs d’un rançongiciel.

Une intrusion sans vulnérabilité, portée par l’automatisation

Le scénario a quelque chose d’inconfortable, parce qu’il n’exige ni exploit sophistiqué ni compétence rare. D’après Amazon, du 11 janvier au 18 février 2026, soit 38 jours si l’on compte du premier au dernier jour, un acteur cybercriminel a pris pied sur plus de 600 équipements FortiGate répartis dans 55 pays. Le volume et la dispersion géographique donnent l’impression d’une opération structurée, pourtant l’analyse conclut à un profil non étatique, plutôt un loup solitaire ou un petit noyau opportuniste.

Le point d’entrée n’est pas une vulnérabilité du produit. L’attaquant a cherché des interfaces de gestion directement exposées sur Internet, puis a tenté de deviner ou de forcer des mots de passe trop faibles, avec une authentification à facteur unique. Le cœur du problème est donc une erreur de configuration élémentaire, que l’on retrouve encore dans des entreprises de toutes tailles, parfois par héritage de choix anciens, parfois par manque de contrôle, souvent parce que l’accès distant “temporaire” finit par devenir permanent.

Ce qui change, selon Amazon, c’est la cadence. Plusieurs services commerciaux d’IA générative auraient servi à mettre en place une chaîne d’actions quasi automatique. L’IA ne « pirate » pas à elle seule, mais elle peut accélérer la préparation, l’enchaînement des étapes, la normalisation des commandes, l’adaptation des scripts et la production de variations lorsque l’environnement diffère légèrement. À l’échelle d’Internet, ce gain de temps transforme une routine d’attaquant en moisson industrielle. Quand la barrière technique baisse, le véritable facteur limitant devient la discipline d’hygiène numérique du côté des défenseurs.

De la configuration au cœur du réseau, la trajectoire classique

Une fois l’équipement compromis, l’attaquant a téléchargé les configurations complètes. C’est un trésor opérationnel, parce qu’il peut y trouver des identifiants, des informations de topologie, des indices sur la segmentation, ainsi que des paramètres de réseau privé virtuel. À partir de là, le basculement est logique, l’objectif n’est pas l’équipement lui-même, mais la porte qu’il ouvre sur l’infrastructure interne des organisations.

L’analyse décrit ensuite une progression vers les domaines Active Directory. Cette étape est un pivot, car Active Directory concentre l’identité, les droits et souvent les clés d’accès aux ressources critiques. L’attaquant a extrait des bases de données de comptes et, dans certains cas, a obtenu des ensembles complets de hachages de mots de passe. Même sans casser immédiatement ces hachages, leur possession facilite la réutilisation d’identifiants, les tentatives hors ligne et la cartographie des privilèges.

Un autre détail pèse lourd, l’intérêt marqué pour les serveurs de sauvegarde. Dans la pratique des intrusions à but lucratif, les sauvegardes sont la bouée de secours des victimes, donc une cible prioritaire pour qui veut monétiser l’accès. L’analyse souligne que cette curiosité pour les systèmes de backup intervient fréquemment avant le déploiement d’un rançongiciel. Autrement dit, la compromission du périmètre n’est qu’un début, le vrai risque se situe dans la capacité à rendre la restauration impossible ou douloureuse.

Enfin, la campagne semble guidée par un pragmatisme froid. Lorsque l’environnement imposait des opérations plus complexes, l’attaquant ne s’acharnait pas et passait à une autre cible. Cette discipline révèle une logique de rendement, maximiser les gains en minimisant le temps passé par victime. C’est précisément là que l’IA générative, utilisée comme accélérateur, renforce le modèle, elle aide à standardiser l’approche et à éliminer les frictions, sans nécessairement augmenter la profondeur technique de l’attaque.

Au bout du compte, cette affaire rappelle une vérité de cyber-renseignement, l’avantage revient à celui qui transforme de petites failles d’hygiène en informations actionnables, vite, à grande échelle.

Cybersécurité en entreprise, le vrai risque est cognitif

Quand la sécurité ressemble à une contrainte, elle perd. Sous stress, même des équipes volontaires contournent les règles, et le fossé entre opérationnels et RSSI devient, lui-même, une faille.

En entreprise, les directives de sécurité informatique échouent souvent pour une raison discrète mais massive : elles sont vécues comme un frein, donc contournées. Une expérience de deux jours montre un basculement progressif, malgré une attitude initialement favorable, lorsque la pression du travail augmente : les mesures deviennent des obstacles et les écarts se multiplient. Le problème n’est pas seulement la connaissance des risques, mais l’arbitrage quotidien entre objectifs, temps, collaboration et règles abstraites. Pour sortir de l’opposition « sécurité contre business », une stratégie à deux volets s’impose : concevoir des politiques centrées sur l’humain et communiquer avec respect, afin de passer de la conformité subie à la co-construction.

Sécurité informatique, le stress fabrique des contournements

Le malentendu commence souvent doucement, presque poliment. Une consigne arrive, « pour protéger l’entreprise« , et personne ne s’y oppose frontalement. Puis la journée accélère, les délais se resserrent, la coordination devient urgente. La règle, elle, ne bouge pas. Dans une expérience menée sur deux jours, des participants pourtant bien disposés au départ finissent par regarder les mesures de sécurité comme des cailloux dans la chaussure. Plus la pression professionnelle monte, plus la sécurité est requalifiée en obstacle, et plus les violations deviennent fréquentes. Le signal est clair : les comportements ne se résument ni à la bonne volonté ni à la formation, ils dépendent fortement du contexte.

C’est ici que naît le risque le plus insidieux. L’utilisateur ne « refuse » pas nécessairement de se protéger, il hiérarchise. Il choisit ce qui lui semble prioritaire sur le moment : atteindre un objectif ambitieux, répondre vite, travailler sans friction avec un collègue, un fournisseur, un client. Quand les exigences de sécurité restent abstraites, elles entrent en collision avec des impératifs concrets. La cybersécurité se transforme alors en force de ralentissement, donc en adversaire. Et cette perception, plus que la technique, dégrade la collaboration entre équipes sécurité, informatique et métiers, jusqu’à fissurer la culture commune.

Pour un RSSI, le défi n’est plus seulement de « définir la règle correcte« , mais de comprendre pourquoi elle est vécue comme impraticable. Plusieurs mécanismes se combinent : méconnaissance des menaces, bénéfice mal compris, conflit d’objectifs, manque de temps, mais aussi déficit de moyens. On peut exiger des échanges de données sécurisés, sans fournir l’outil qui permet de le faire simplement.

On peut imposer une procédure, sans donner d’exemples ni de modèles à suivre. À ce stade, sanctionner et répéter une formation standardisée peut produire l’effet inverse : la sécurité devient un rituel administratif, puis une gêne, puis une routine de contournement.

Les pirates exploitent cette routine. La référence cybersécurité ZATAZ propose d’ailleur un outil dédié au Social Engineering, et plus précisément une application web qui permet de s’entrainer à contrer un S.E. lors d’un appel téléphonique ou d’une « rencontre ».

Politiques centrées humain, communication respectueuse

La sortie d’impasse passe par une approche à deux faces, conçue pour restaurer l’alliance entre protection et efficacité. Première face : regarder l’entreprise comme un réseau de parties prenantes, avec des priorités parfois incompatibles. Avant d’imposer une mesure, il faut cartographier qui dépend de qui, qui est évalué sur quoi, où sont les goulots d’étranglement, et à quel moment la règle se heurte au réel. Plus la compréhension du travail quotidien est fine, plus la mesure peut être ciblée, donc acceptée. La sécurité cesse d’être une surcouche, elle devient un réglage.

Deuxième face : admettre que le problème vient souvent de la mesure elle-même. Il existe fréquemment plusieurs réponses possibles à une même menace, mais les choix se font trop vite sur des critères techniques, en oubliant la difficulté d’exécution, la compatibilité avec les outils, la complexité ressentie. Une politique efficace doit rester robuste, mais aussi lisible et faisable. Cela suppose d’impliquer les employés dès la conception, pas à la fin du processus. Cette implication n’est pas un “cadeau”, c’est un test de réalité : elle révèle les contradictions, les besoins, les points de friction invisibles depuis la tour de contrôle.

Les projets pilotes jouent ici un rôle de renseignement interne. On démarre avec des utilisateurs pionniers, capables d’expérimenter, de remonter des irritants, de proposer des ajustements. On apprend vite, on corrige tôt, on évite de déployer une règle qui sera massivement contournée dès la première semaine. Cette logique transforme la conformité passive en co-construction proactive, et elle installe la sécurité dans les gestes du quotidien plutôt que dans un document.

Reste la manière de parler de sécurité. Trop souvent, la communication se résume à des injonctions, des notifications descendantes, des modules en ligne interchangeables, parfois des formats jugés infantilisants. À l’inverse, une communication respectueuse mise sur un dialogue d’égal à égal, où l’employé est traité comme un professionnel responsable.

 



News & Réseaux Sociaux ZATAZ

Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

Elle commence par une empathie stratégique, non pour renoncer à l’objectif, mais pour comprendre la contrainte métier. Elle privilégie l’écoute active, en cherchant le « comment on fait » plutôt que le « c’est interdit« . Elle valorise enfin l’expérience, car vivre un scénario de phishing, de ransomware ou d’intrusion via clé USB, dans un environnement simulé, ancre mieux les réflexes qu’une théorie aride.

Au fond, le RSSI devient garant d’une culture opérationnelle de la sécurité : architecte de politiques centrées sur l’humain, et chef d’orchestre d’un dialogue qui réconcilie protection et performance.

Les Émirats bloquent une offensive cyber dite terroriste

En pleine montée des usages numériques du Ramadan, les Émirats arabes unis disent avoir stoppé une campagne coordonnée mêlant infiltration, rançongiciels et hameçonnage, avant toute rupture de services essentiels.

Le Conseil de cybersécurité des Émirats arabes unis a annoncé samedi que les défenses nationales ont déjoué des cyberattaques terroristes organisées visant l’infrastructure numérique et des secteurs vitaux. Selon l’autorité, la campagne combinait intrusion réseau, déploiement de rançongiciels et hameçonnage systématique contre des plateformes nationales. Le Conseil met en avant un tournant tactique, avec l’usage d’outils offensifs dopés à l’intelligence artificielle.

Un récit de riposte, peu de traces exploitables

les Émirats arabes unis veulent peser dans le monde de la cybersécurité. Depuis quelques années, petit à petit, ils montent en puissance. Le communiqué que vient de diffuser le CERT UEA pose un décor de crise, une attaque pensée pour déstabiliser et perturber des services essentiels, mais laisse le lecteur face à une zone grise. Le Conseil de cybersécurité décrit une opération coordonnée, avec trois briques classiques d’une campagne moderne, l’accès initial par infiltration, la pression par rançongiciel, l’industrialisation du leurre par hameçonnage. L’élément mis en avant est l’intelligence artificielle, présentée comme un accélérateur de sophistication, et comme la preuve que des organisations extrémistes s’approprient des technologies autrefois réservées à des États ou à des réseaux cybercriminels structurés.

Dans ce type d’annonce, la formulation compte autant que le contenu. Qualifier l’attaque d’« acte terroriste » rehausse le niveau politique du signal, surtout lorsqu’aucun groupe n’est nommé. Le Conseil ne précise ni secteurs touchés, ni fenêtre temporelle, ni méthode de détection, ni vecteur d’entrée, ni infrastructure réellement ciblée. Cette absence verrouille l’analyse, impossible de distinguer une action d’un groupe idéologique, un montage de faux drapeau, ou un opportunisme criminel profitant d’un contexte régional tendu. Elle empêche aussi de relier les faits à une famille de rançongiciels, à une chaîne d’hameçonnage, ou à un mode opératoire récurrent.

Le Conseil insiste, en revanche, sur la mécanique défensive, surveillance continue, blocage précoce, coopération entre fournisseurs, entités nationales et internationales, organisations spécialisées, appui sur des partenariats stratégiques et une expertise technique internationale. Derrière cette liste, un enjeu de renseignement affleure, réduire le temps entre le signal faible et la neutralisation, partager des indicateurs, couper les relais, et éviter qu’un incident technique ne se transforme en crise d’État. La priorité affichée, sécurité des personnes, protection des données personnelles, continuité des services critiques, vise autant à rassurer qu’à rappeler que la surface d’attaque d’un pays moderne est désormais indissociable de sa vie quotidienne.

 



News & Réseaux Sociaux ZATAZ

Chaque vendredi midi, recevez gratuitement les actualités de la semaine.

Ramadan, IA et pression psychologique sur les victimes

Le calendrier n’est pas neutre. L’annonce coïncide avec le début du Ramadan, période de hausse des dons et des transactions en ligne aux Émirats arabes unis et plus largement dans le monde musulman. Le Conseil appelle les résidents à redoubler de prudence, notamment lorsqu’il s’agit de dons, de partage d’informations personnelles, ou de mouvements financiers. C’est un rappel d’hygiène numérique, mais aussi une lecture de la menace, les attaquants aiment les pics saisonniers, car l’émotion et l’urgence accélèrent les clics, et réduisent la vérification.

Le texte élargit d’ailleurs le cadre, en rappelant que les périodes de célébrations religieuses sont des fenêtres propices à la fraude et à l’ingénierie sociale. Le Conseil avait déjà diffusé des recommandations sur la protection des données et la prévention de la fraude, en alertant sur le risque de vol d’identifiants et d’informations financières lorsque les paiements numériques augmentent. Dans cette logique, l’intelligence artificielle change l’échelle, elle permet de produire des messages crédibles, d’adapter les scénarios culturels, de tester rapidement des variantes, et de cibler plus finement, jusqu’à simuler un ton institutionnel ou caritatif.

L’arrière-plan régional est posé, les pays du Moyen-Orient feraient face à des attaques persistantes mêlant organisations terroristes, acteurs étatiques et cybercriminalité motivée par le profit. Les secteurs critiques cités comme à forte valeur, énergie, télécommunications, transports, services financiers, sont ceux où un incident peut créer des effets en cascade. Le Conseil souligne aussi une volumétrie déjà alarmante, « entre 90 000 et 200 000 tentatives d’intrusion ciblent chaque jour l’infrastructure des Émirats arabes unis ». La fourchette est large, mais le message est clair, l’attaque est devenue un bruit de fond permanent, automatisé, accessible, et donc plus difficile à contenir sans industrialiser la défense.

CTI • Service de veille ZATAZ
Vos données circulent peut-être déjà. Détecter. Prioriser. Corriger
  • Veille exposition / fuite / usurpation / Alertes et synthèses actionnables
  • Risque, impacts, recommandations

Le pays met en avant des orientations de long terme, dont la cryptographie post-quantique et la coopération avec QuantumGate, plateforme nationale axée sur une cybersécurité résiliente aux attaques quantiques. Le Dr Mohammed Al Kuwaiti, responsable de la cybersécurité au sein du gouvernement des Émirats arabes unis, résume la doctrine, anticiper plutôt que subir.

Au final, l’annonce revendique une victoire défensive, mais elle laisse volontairement peu d’éléments vérifiables, signe que la bataille se joue aussi dans la maîtrise de l’information, autant que dans les journaux d’événements.

Pare-feux, la porte d’entrée de 90 % des ransomwares

Barracuda affirme que la majorité des ransomwares de 2025 a contourné la défense par l’endroit le plus attendu, le pare-feu, et parfois en seulement trois heures.

Selon le Barracuda Managed XDR Global Threat Report, 90 % des incidents de ransomware observés en 2025 ont exploité des pare-feux, via des logiciels non corrigés ou des comptes fragiles. Le rapport s’appuie sur l’ensemble de données Barracuda Managed XDR, plus de deux mille milliards d’événements informatiques collectés en 2025, près de 600 000 alertes, et plus de 300 000 actifs protégés, dont points de terminaison, pare-feu, serveurs et ressources cloud. L’étude décrit les chemins privilégiés par les attaquants, l’usage d’outils légitimes comme l’accès à distance, et les angles morts récurrents, chiffrement obsolète, protections désactivées, configurations dégradées. Un cas attribué à Akira illustre l’accélération, trois heures entre intrusion et chiffrement.

Quand le pare-feu devient le meilleur relais de l’attaquant

Le chiffre, 90 %, raconte une réalité opérationnelle plus qu’une surprise stratégique. Le pare-feu concentre les accès, les règles, et souvent la confiance implicite, ce qui en fait un pivot idéal dès qu’une CVE ou un compte vulnérable ouvre une brèche. Barracuda décrit un scénario classique, l’attaquant obtient un point d’appui, prend le contrôle du réseau, contourne les contrôles attendus, puis masque du trafic ou des actions malveillantes derrière des flux qui ressemblent au quotidien. Dans cette logique, l’attaque ne “force” pas la porte, elle se glisse dans le passage déjà prévu.

Le rapport insiste sur l’exploitation d’outils informatiques légitimes, notamment des solutions d’accès à distance. Le détail compte, car ces utilitaires, omniprésents, peuvent devenir un accélérateur, ils fournissent une interaction stable, une persistance discrète, et un moyen de se déplacer sans déclencher immédiatement des soupçons. Barracuda signale aussi des failles plus prosaïques, mais déterminantes, comme un appareil non autorisé apparu sans contrôle, un compte laissé actif après un départ, une application “endormie” non mise à jour, ou une fonction de sécurité mal paramétrée. La mécanique est toujours la même, une seule faiblesse suffit, et la défense découvre trop tard qu’elle gardait une façade, pas l’ensemble de la surface d’attaque.

L’exemple le plus brutal, cité dans l’étude, concerne Akira. Entre l’intrusion et le chiffrement, il n’aurait fallu que trois heures. Cette compression du temps bouleverse les habitudes, les équipes disposent de moins de marge pour qualifier une alerte, recouper des journaux, isoler une machine, ou même lancer une investigation complète. Ce qui relevait hier d’un sprint devient une course de vitesse. Pour les attaquants, chaque minute gagnée réduit la probabilité d’un arrêt net avant le point de non-retour.

Des failles anciennes, des exploits prêts, et le signal du mouvement latéral

Autre enseignement, 11 % des vulnérabilités détectées disposaient d’un exploit connu. Le message est direct, une part significative des failles repérées n’est pas seulement théorique, elle est déjà “outillée”. Barracuda y voit un encouragement involontaire pour les opérateurs, qui privilégient les chemins éprouvés et industrialisés, y compris via la chaîne d’approvisionnement. La hausse rapportée est nette, 66 % des incidents impliquaient un tiers ou un volet supply chain, contre 45 % en 2024. Dit autrement, l’attaque cherche la faille la moins défendue, parfois chez un prestataire, parfois dans une dépendance logicielle, puis remonte vers la cible principale.

Le rapport met aussi en avant un paradoxe inquiétant, la CVE la plus fréquemment détectée remonte à 2013. CVE-2013-2566 concerne un algorithme de chiffrement devenu obsolète, encore présent dans des environnements anciens, vieux serveurs, équipements embarqués, applications héritées. Le risque ne vient pas seulement de la vulnérabilité elle-même, mais de ce qu’elle révèle, l’existence de morceaux d’infrastructure difficiles à inventorier, compliqués à mettre à jour, parfois invisibles aux processus standards. Dans une lecture cyber et renseignement, ces reliques technologiques deviennent des points d’ancrage, stables, prévisibles, et donc exploitables.

Le signal d’alerte le plus clair, selon Barracuda, reste le mouvement latéral. Dans 96 % des incidents où cette étape était observée, l’histoire se terminait par un déploiement de ransomware. Le moment est décisif, l’attaquant, souvent dissimulé sur un point de terminaison insuffisamment protégé, cesse d’explorer et commence à agir. Le rapport cite des indicateurs qui doivent alerter, comportements de connexion atypiques, accès privilégiés inhabituels, désactivation d’une protection endpoint, ou encore usage anormal d’outils d’administration. L’enjeu n’est pas seulement de détecter, mais d’interrompre avant que la propagation ne se transforme en chiffrement généralisé.

Au fond, Barracuda décrit une bataille d’hygiène numérique et de visibilité, où l’ennemi gagne quand l’organisation ignore ses propres zones grises, et où le renseignement de sécurité naît d’une surveillance capable de relier signaux faibles et actions concrètes.

Flickr alerte sur une fuite via un prestataire d’e-mails

Une faille chez un fournisseur tiers a pu exposer des données d’abonnés Flickr. L’entreprise bloque l’accès en quelques heures et redoute surtout une vague d’hameçonnage ciblant ses 35 millions d’utilisateurs mensuels.

Flickr a averti ses utilisateurs d’une possible fuite de données liée à une faille dans les systèmes d’un prestataire de messagerie tiers. L’entreprise dit avoir découvert l’incident le 5 février 2026 et avoir bloqué l’accès au système compromis quelques heures plus tard. Selon Flickr, les identifiants de connexion et les informations financières ne sont pas concernés. En revanche, des données pourraient avoir été exposées, notamment noms d’utilisateur, adresses e-mail, surnoms Flickr, types de comptes, adresses IP, données de géolocalisation et informations d’activité. Les utilisateurs sont invités à vérifier leurs paramètres et à se méfier du phishing. Flickr enquête et renforce ses contrôles fournisseurs.

Une brèche indirecte, et le risque de phishing à grande échelle

L’alerte ne vient pas d’un piratage frontal de Flickr, mais d’un angle souvent sous-estimé : la dépendance à un prestataire. Le service d’hébergement de photos indique qu’une faille de sécurité dans les systèmes d’un fournisseur de messagerie tiers a pu permettre à des pirates d’accéder à des informations d’abonnés. L’entreprise dit avoir eu connaissance du problème le 5 février 2026, puis avoir bloqué l’accès au système compromis quelques heures plus tard.

Flickr précise que les identifiants des utilisateurs et les informations financières n’ont pas été affectés. Cette ligne de défense est essentielle, mais elle ne supprime pas le principal danger opérationnel : l’attaquant n’a pas forcément besoin de mots de passe pour provoquer des dégâts. Des données comme les noms, les adresses e-mail, les surnoms Flickr, les types de comptes, les adresses IP, la géolocalisation et des informations d’activité suffisent à fabriquer des messages de fraude crédibles, personnalisés et difficiles à distinguer d’une communication légitime.

Le contexte donne la mesure du risque. Fondé en 2004, Flickr reste un acteur majeur, revendiquant plus de 28 milliards de photos et de vidéos. La plateforme est utilisée par 35 millions de personnes chaque mois et totalise 800 millions de pages vues. Une exposition même partielle peut donc fournir une base de ciblage massive pour des campagnes de hameçonnage, de prise de compte par tromperie, ou de collecte secondaire via de faux formulaires de support.

Flickr ne communique pas le nom du prestataire touché ni le nombre d’utilisateurs concernés. Ce silence complique l’évaluation externe, mais il ne change pas la logique de menace : dès que des coordonnées et des signaux d’usage circulent, les fraudeurs peuvent orchestrer des attaques “à la bonne adresse”, au bon moment, avec un récit cohérent.

Ce que Flickr demande aux utilisateurs, et ce que l’incident révèle

Dans les notifications par courriel, les utilisateurs potentiellement concernés sont invités à vérifier les paramètres de leur compte pour détecter toute modification suspecte. L’entreprise leur demande aussi de redoubler de prudence face aux messages d’hameçonnage, car des pirates pourraient exploiter des données volées pour usurper l’identité de Flickr. Elle rappelle un point de repère simple : Flickr ne demande jamais un mot de passe par e-mail.

L’entreprise indique enquêter sur l’incident, renforcer son architecture et resserrer ses contrôles sur les fournisseurs tiers. L’aveu implicite est celui d’une surface d’attaque élargie : même si le cœur du service n’est pas touché, un maillon périphérique peut exposer des informations suffisamment riches pour alimenter une fraude rentable. Dans ce schéma, le renseignement utile pour l’attaquant n’est pas le contenu des comptes, mais les métadonnées permettant de choisir une victime, de la profiler et de la convaincre.

À l’échelle cyber, l’épisode illustre une règle constante : les compromis “indirects” via prestataires transforment des données de contact en armes, et déplacent la bataille vers la détection de faux messages et la discipline des accès.

New York veut traquer la fraude au métro avec l’IA

La MTA teste des portiques dotés de caméras et d’IA pour décrire les fraudeurs présumés. Dans une ville déjà saturée de biométrie, l’initiative ranime un débat explosif sur la surveillance.

L’Autorité des transports métropolitains de New York (MTA) expérimente des portiques de métro équipés de caméras et d’intelligence artificielle pour collecter des données sur les usagers soupçonnés de ne pas payer leur titre. Selon Cubic, fabricant des portillons, les caméras enregistrent cinq secondes lorsqu’une fraude est détectée, puis l’IA produit une description physique transmise à la MTA. La démarche s’inscrit dans un appel lancé en décembre, visant des solutions de vision par ordinateur pour repérer des comportements inhabituels ou dangereux. Des défenseurs des libertés, dont STOP, alertent sur l’extension d’un écosystème de surveillance biométrique à New York.

Des portiques qui regardent, et des corps transformés en données

Dans le métro new-yorkais, la lutte contre la fraude prend un tournant technologique. La MTA teste des portiques équipés de caméras alimentées par l’intelligence artificielle, avec un objectif clair : documenter les personnes soupçonnées de passer sans payer. L’argument est opérationnel, limiter les pertes, fluidifier les contrôles, décourager les resquilleurs. Mais la méthode, elle, touche à une frontière plus délicate : convertir un comportement, franchir un portillon, en signal exploitable.

Selon des responsables de Cubic, fabricant des portillons, le dispositif embarque des caméras qui se déclenchent pendant cinq secondes lorsqu’un usager est suspecté de ne pas régler son titre de transport. Sur cette courte séquence, l’IA génère une description physique de la personne, puis transmet cette description à la MTA. Le point central n’est pas seulement l’enregistrement. C’est l’automatisation du tri : une machine décide qu’un événement mérite capture, produit un profil descriptif, et l’envoie à une autorité publique.

En décembre, la MTA a renforcé ce cap en lançant un appel aux fournisseurs, à la recherche de produits capables « d’exploiter des technologies avancées de vision par ordinateur et d’intelligence artificielle (IA) » pour détecter des « comportements inhabituels ou dangereux ». Le cadrage élargit d’emblée l’usage potentiel. On ne parle plus uniquement de fraude tarifaire, mais d’une catégorie souple, “inhabituel”, qui peut vite devenir un filet large si les paramètres ne sont pas strictement bornés.

Pour les New-Yorkais, l’essai de la MTA s’inscrit dans un paysage déjà dense. Les agences publiques et les acteurs privés multiplient les capteurs, et la normalisation se fait souvent par petites touches. Un portillon qui filme cinq secondes aujourd’hui, une généralisation demain, puis une extension des finalités après-demain. C’est précisément ce glissement progressif que redoutent les défenseurs de la vie privée, parce qu’il change la ville sans vote explicite, au rythme des mises à jour et des contrats.

Commerces, police, et l’ombre d’un État de surveillance

Le débat new-yorkais ne se limite pas aux transports. Début janvier, l’enseigne Wegmans a commencé à afficher des panneaux informant les clients qu’elle avait déployé des caméras intégrant la reconnaissance faciale dans certains magasins. Le groupe affirme que « le système collecte des données de reconnaissance faciale et ne les utilise que pour identifier les personnes qui ont déjà été signalées pour mauvaise conduite ». Wegmans ajoute ne collecter ni scans rétiniens ni empreintes vocales, mais l’entreprise ne précise pas la durée de conservation des données, un détail qui, en matière de biométrie, fait toute la différence entre un contrôle ponctuel et un fichier durable.

La loi de la ville de New York impose aux magasins d’informer leurs clients lorsqu’ils utilisent la reconnaissance faciale. Michelle Dahl, directrice générale du Surveillance Technology Oversight Project (STOP), cite d’autres enseignes recourant à ces outils : T-Mobile, Madison Square Garden, Walmart, Home Depot, Fairway et Macy’s. Dans ce décor, la MTA apparaît moins comme une exception que comme un nouveau maillon, public, d’un réseau de surveillance hybride où l’espace commercial et l’espace urbain finissent par se ressembler.

Dahl avertit que la surveillance biométrique, par les commerçants comme par la MTA, a fortement augmenté récemment, tout en passant sous le radar d’une partie des habitants. « Les New-Yorkais, dans leur ensemble, s’enfoncent sans s’en rendre compte dans cet État de surveillance, et il est temps pour nous de nous réveiller et d’agir », dit-elle. La phrase agit comme un rappel politique : la technique avance vite, mais l’attention citoyenne, elle, est intermittente.

Une autre inquiétude pèse sur ces systèmes : la précision inégale selon les populations. La reconnaissance faciale est décrite comme moins fiable pour identifier les minorités, et en particulier les personnes noires. Appliquée à la fraude dans le métro, cette limite ouvre un risque concret : que des caméras signalent les mauvaises personnes et que ces signalements, par ricochet, alimentent des interventions policières. Même lorsque l’outil ne “nomme” pas, une description physique automatisée peut devenir un vecteur de ciblage.

Le texte rappelle enfin que le NYPD utilise depuis longtemps des technologies biométriques, dont la reconnaissance faciale, pour profiler et suivre des habitants. En novembre, STOP et Amnesty International ont publié des documents montrant l’ampleur de ce programme après une procédure judiciaire de cinq ans. Selon ces organisations, les documents indiquent qu’en avril 2020, la police de New York avait dépensé plus de 5 million $ (4,6 millions d’euros) en technologie de reconnaissance faciale et qu’elle dépensait au moins 100 000 $ (92 000 euros) supplémentaires chaque année.

Dans ce contexte, les portiques intelligents de la MTA ne sont pas qu’un test technique. Ils deviennent un point de bascule : la fraude comme justification, la biométrie comme outil, et la ville comme terrain d’expérimentation, où l’IA transforme les passants en profils actionnables.

L’UE durcit la 5G face aux fournisseurs à haut risque

Bruxelles remet la chaîne d’approvisionnement au centre du jeu. Une loi cybersécurité révisée vise les télécoms et 17 secteurs, avec la Chine en ligne de mire.

Depuis janvier 2026, la Commission européenne pousse un paquet cybersécurité pour muscler la résilience de l’UE face aux menaces cyber et hybrides. Le cœur du texte, une loi révisée sur la cybersécurité, étend la logique de la boîte à outils 5G à 18 secteurs critiques, dont les télécommunications. L’objectif est de réduire les dépendances jugées à haut risque dans les chaînes d’approvisionnement TIC, notamment vis-à-vis de fournisseurs de pays tiers. Le périmètre annoncé couvre les 27 États membres, l’EEE (Islande, Liechtenstein, Norvège) et la Suisse. Les opérateurs auraient moins de cinq ans, adoption comprise, pour remplacer des équipements sensibles, avec un coût estimé autour de 7 € par abonné mobile.

Une loi pensée pour la menace hybride

Le texte proposé s’inscrit dans une décennie de crispations, où la cybersécurité n’est plus traitée comme un sujet technique isolé. La Commission place désormais les attaques numériques, la coercition économique et la pression géopolitique dans un même tableau, avec des acteurs étatiques étrangers régulièrement cités, dont ceux associés à la Chine. En arrière-plan, la guerre d’agression de la Russie contre l’Ukraine, entrée dans sa quatrième année, a durci la lecture du risque, en particulier l’idée d’actions coordonnées ou convergentes entre Moscou et Pékin.

Le projet vise la chaîne d’approvisionnement des technologies de l’information et de la communication. Il cherche à empêcher des dépendances considérées comme dangereuses, en imposant une sélection plus stricte des technologies et des fournisseurs critiques. La proposition couvre 18 secteurs, calés sur NIS 2, répartis entre 11 domaines à haute criticité, énergie, transports, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructure numérique, administration publique, spatial et télécommunications, et 7 autres secteurs critiques, services postaux et messagerie, déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs de services numériques et recherche.

Strand Consult, très présent dans le débat depuis 2018, explique avoir vu venir l’extension du sujet au-delà de la 5G. Le cabinet rappelle l’effet d’entraînement de la boîte à outils 5G lancée en 2020, d’abord centrée sur les réseaux mobiles, puis appelée à toucher le fixe, le satellite, et, désormais, d’autres industries. La proposition, volumineuse, environ 270 pages, prévoit une procédure accélérée pour les réseaux mobiles, fixes et satellitaires, car les télécoms sont déjà encadrés par la 5G Toolbox. Les 17 autres secteurs entreraient, eux, dans un schéma d’évaluation comparable, incluant le risque supply chain et des applications sectorielles.

Le calendrier donne la mesure de la tension. L’adoption pourrait prendre un an à un an et demi. Ensuite, les opérateurs disposeraient de trois ans pour appliquer les règles sur les infrastructures critiques. Ceux qui utilisent encore des fournisseurs à haut risque auraient donc moins de cinq ans pour sortir des équipements concernés, souvent déjà en milieu ou fin de vie. C’est là que le cyber devient renseignement, une dépendance matérielle se transforme en variable stratégique.

Le vrai coût du remplacement et la carte des dépendances

L’argument le plus répété, ces dernières années, affirme que restreindre Huawei ou ZTE ralentit la 5G et renchérit le déploiement. Strand Consult conteste cette narration, en décrivant trois familles d’opérateurs : ceux qui ont basculé vers des fournisseurs chinois en migrerant de la 4G vers la 5G, ceux qui ont corrigé tôt leur trajectoire, ou opèrent dans des pays appliquant la 5G Toolbox, et ceux qui continuent à s’appuyer sur des fournisseurs chinois là où la boîte à outils est absente ou partielle. Le cabinet insiste sur un point, de nombreux opérateurs ont choisi des fournisseurs jugés fiables sans explosion des coûts, ni retard visible.

Le Danemark sert d’exemple narratif. Deux réseaux mobiles 4G sur trois y avaient été construits avec Huawei, mais la bascule vers la 5G s’est faite avec des fournisseurs reconnus. Le pays a lancé la 5G très tôt et affiche aujourd’hui, selon Strand Consult, la meilleure couverture 5G de l’UE. Copenhague applique une approche fondée sur le risque, via une loi imposant le retrait des équipements de fournisseurs à haut risque. En 2023, TDC a reçu l’ordre de remplacer son réseau WDM Huawei avant 2027, dans un cadre où l’évaluation est portée par l’Agence danoise de la résilience.

À l’échelle européenne, Strand Consult décrit une photographie contrastée. Sur environ cent réseaux mobiles dans l’UE, une soixantaine seraient déjà assurés comme « réseaux propres ». Sur les quarante restants, une dizaine auraient une exposition limitée, entre 10 et 30 %, et ne seraient pas forcément ciblés par l’analyse de connectivité des fournisseurs. Reste une trentaine d’opérateurs, avec un RAN composé à 35 % jusqu’à 100 % de composants issus de fournisseurs à haut risque, surtout dans des pays où la 5G Toolbox n’est pas pleinement appliquée. Au début de 2026, l’estimation avancée est claire, environ 30 % des équipements installés dans l’UE, l’EEE et la Suisse proviendraient de fournisseurs à haut risque.

La géographie du remplacement concentre le risque, et donc la bataille politique. L’Allemagne, l’Italie et l’Espagne compteraient, à elles trois, plus de 55 % des équipements à remplacer sur cinq ans. Vodafone et Deutsche Telekom apparaissent comme nœuds critiques. DT serait fournie par Huawei à 58 % en Allemagne, et à 100 % en Grèce, Autriche et République tchèque, avec des niveaux élevés en Croatie et Pologne, tandis que sa filiale T-Systems revend des solutions cloud conçues et opérées par Huawei. Vodafone, de son côté, dépendrait entièrement de Huawei en République tchèque, Grèce, Hongrie et Roumanie, avec 67 % en Espagne et 53 % en Allemagne. Le sujet bascule alors du régulateur vers la défense, les forces armées européennes utiliseront la 5G des opérateurs, et l’exposition à des équipements chinois devient un paramètre de résilience collective.

Reste la facture, nerf de la guerre et angle d’influence. Strand Consult rappelait qu’en 2020, avec 86 % de la population européenne abonnée au mobile, le remplacement des équipements évolutifs représentait 3,5 milliards d’euros, soit 7,40 € par abonné, en investissement unique. La Commission, sur la base de données de l’Observatoire 5G et d’une transition de trois ans, estime 3,4 à 4,3 milliards d’euros pour les équipements non évolutifs, et un maximum de 6,5 à 8,3 € par abonné si la charge est répercutée. La Commission affirme aussi que la simplification des obligations pourrait générer jusqu’à 15,3 milliards d’euros d’économies sur cinq ans, de quoi neutraliser une partie du choc initial.

Dans le récit de Strand Consult, les opérateurs les plus exposés pourraient tenter d’amplifier les coûts, comme au Royaume-Uni en 2019, mais les échanges investisseurs cités contredisent l’idée d’un blocage automatique. BT évoquait 100 millions de livres sterling par an pendant cinq ans, et Vodafone parlait d’environ 200 millions d’euros pour une trajectoire de retrait du cœur de réseau, en alertant surtout sur le risque d’accélérations irréalistes. Au final, la proposition européenne impose une question de renseignement économique autant que de cyber, qui paie, le contribuable ou l’actionnaire, quand une dépendance technique devient un risque stratégique.

La bataille se jouera sur un terrain discret, cartographie des dépendances, arbitrages d’investissement, et capacité des États à traduire le risque cyber en décisions industrielles.