Le front ne s’arrête plus aux lignes de combat. Il traverse désormais les serveurs, les chaînes logistiques et les processus RH des industriels de défense. Dans une analyse approfondie, le Google Threat Intelligence Group (GTIG) dresse le portrait d’un écosystème sous siège continu : espionnage étatique, infiltration humaine, exploitation des équipements en périphérie et campagnes de “hack-and-leak” s’entremêlent dans un paysage de menaces.
Ukraine : les technologies de nouvelle génération dans le viseur
Le rapport Beyond the Battlefield documente un ciblage constant des entreprises développant des technologies déployées sur le terrain, en particulier les systèmes d’aéronefs sans pilote (UAS) utilisés dans la guerre entre la Russie et l’Ukraine.
Des acteurs liés à la Russie s’attaquent directement aux industriels concernés et usurpent l’identité de produits de défense pour compromettre des personnels militaires. En Europe, un cluster suspecté, UNC5976, mène depuis janvier 2025 des campagnes de phishing s’appuyant sur des infrastructures imitant des sous-traitants de la défense et des fournisseurs télécoms au Royaume-Uni, en Allemagne, en France, en Suède et en Norvège.
En parallèle, des hacktivistes pro-russes ont concentré une partie de leurs actions sur l’usage des drones par l’Ukraine, avec des opérations observées fin 2025 autour des UAS. Une focalisation qui reflète à la fois l’importance stratégique de ces technologies et la volonté de certains groupes de revendiquer un impact opérationnel.
Recrutement, messageries, télétravail : la surface d’attaque s’élargit
Le GTIG identifie un déplacement du front vers la “couche humaine”. Les employés deviennent une surface d’attaque centrale, via l’exploitation des processus de recrutement, des messageries personnelles et des environnements de travail à distance.
Cette approche permet de contourner les contrôles de sécurité traditionnels des entreprises et d’opérer en dehors des périmètres les plus surveillés. L’exploitation de la confiance associée aux démarches professionnelles devient un vecteur privilégié d’accès initial.
Chine : l’offensive furtive par les équipements en périphérie
En volume, l’espionnage lié à la Chine constitue la menace étatique la plus active contre la base industrielle de défense. Le rapport souligne un accent croissant sur l’exploitation des équipements et appareils en périphérie du réseau afin d’obtenir un accès discret et de long terme aux organisations ciblées.
Cette stratégie vise à contourner les dispositifs de détection traditionnels et à maintenir une présence durable dans les environnements compromis, dans une logique de collecte stratégique.
Chaîne d’approvisionnement : une vulnérabilité structurelle
Enfin, le risque lié à la supply chain demeure critique. Si les entreprises strictement classées “défense” représentent une part plus limitée des activités de ransomware, le secteur industriel au sens large, notamment les fournisseurs à double usage, est fortement ciblé. Cette pression sur l’industrie manufacturière menace indirectement la capacité à augmenter la production de défense en période de crise.
Comme le résume Luke McNamara, Deputy Chief Analyst du GTIG : « L’industrie de la défense demeure une cible prioritaire pour des opérations cyber sophistiquées. (…) Alors que les investissements mondiaux dans la défense continuent de croître, l’éventail toujours plus large des tactiques adverses rend la construction de la résilience de l’ensemble de l’écosystème plus urgente que jamais. »
