Pendant des années, on a séparé le monde cyber en deux catégories bien distinctes : d'un côté les États et leurs opérations d'espionnage sophistiquées, de l'autre les groupes criminels motivés par l'argent. Cette classification rassurante permettait aux analystes de modéliser les menaces, aux RSSI de prioriser leurs défenses, et aux gouvernements de calibrer leurs réponses diplomatiques. Le problème, c'est que cette frontière n'existe plus. L'affaire Storm-1175, révélée par Microsoft début avril 2026, en est l'illustration la plus frappante à ce jour : un groupe lié à la Chine qui déploie du ransomware Medusa en exploitant des zero-days avec une efficacité opérationnelle digne d'un service de renseignement. Et ce n'est pas un cas isolé. De la Corée du Nord à la Russie en passant par l'Iran, les acteurs étatiques adoptent massivement les outils et les méthodes du cybercrime. Il est temps d'en tirer les conséquences pour nos stratégies de défense.

Le mythe de la séparation APT / cybercriminalité

Le modèle classique était simple : les APT étatiques visent le renseignement, opèrent discrètement, et ne chiffrent pas vos données. Les groupes ransomware veulent de l'argent, font du bruit, et n'ont pas de patron étatique. Cette distinction a guidé des années de politiques de sécurité, de threat modeling et de réponse aux incidents.

Mais les faits racontent une autre histoire. La Corée du Nord finance son programme nucléaire via des opérations de ransomware et de vol de cryptomonnaies depuis au moins 2017. L'Iran a utilisé des wipers déguisés en ransomware pour masquer des opérations de sabotage. Et maintenant, la Chine — historiquement associée à l'espionnage industriel patient et discret — déploie du Medusa en moins de 24 heures via des zero-days. Le modèle binaire est mort.

Pourquoi les États adoptent le ransomware

Plusieurs facteurs expliquent cette convergence. D'abord, le ransomware offre une couverture parfaite : si une opération d'espionnage est détectée, le chiffrement des données brouille les pistes et l'attribution devient un casse-tête. L'analyste hésite — est-ce du cybercrime ou du renseignement ? Ce doute est une arme en soi.

Ensuite, les sanctions économiques poussent certains États vers des sources de revenus alternatives. La Corée du Nord en est l'exemple extrême, mais d'autres pays suivent le même chemin de manière plus discrète. Enfin, les outils ransomware sont devenus des commodités — des plateformes RaaS (Ransomware-as-a-Service) accessibles, documentées, avec support technique. Pourquoi développer ses propres outils quand on peut utiliser une plateforme éprouvée et mutualisée qui complique encore davantage l'attribution ?

Les conséquences pour la défense

Si votre threat model distingue encore « menaces étatiques » et « menaces criminelles » comme deux colonnes séparées, il est obsolète. Un hôpital ciblé par un ransomware peut en réalité faire face à un acteur étatique. Un vol de propriété intellectuelle peut se terminer par du chiffrement de données. Les cartographies de menaces traditionnelles doivent évoluer.

Concrètement, cela signifie que la défense contre le ransomware ne peut plus être traitée comme un problème « basique » de sauvegarde et de sensibilisation. Quand l'attaquant utilise des zero-days et opère avec le tempo d'un service de renseignement, les défenses classiques ne suffisent plus. Il faut investir dans la détection comportementale, la segmentation réseau agressive, et surtout la réduction de la surface d'attaque — en particulier sur les services exposés sur internet qui sont la porte d'entrée privilégiée de ces acteurs hybrides.

L'attribution n'est plus un luxe diplomatique

Dans ce contexte de convergence, l'attribution technique devient un enjeu opérationnel, pas seulement géopolitique. Savoir si l'attaquant est un groupe criminel ou un service de renseignement change la nature de la réponse : durée de la campagne, probabilité de récidive, ressources mobilisables pour la réponse, et cadre légal applicable. Les campagnes comme FrostArmada d'APT28 montrent que les acteurs étatiques combinent désormais des techniques d'espionnage (DNS hijacking) avec des infrastructures criminelles (routeurs compromis). L'attribution exige des capacités que seules les grandes organisations et les agences gouvernementales possèdent — mais ses conclusions impactent tout le monde.

Mon avis d'expert

La convergence entre espionnage étatique et cybercriminalité est la mutation la plus importante du paysage des menaces depuis l'émergence du ransomware lui-même. Arrêtons de traiter le ransomware comme un problème de « petits criminels » et l'APT comme un truc réservé aux ministères. Chaque organisation, quelle que soit sa taille, doit se préparer à affronter des attaquants qui combinent les ressources d'un État avec les méthodes du cybercrime. Cela commence par une chose simple : patcher vite, surveiller tout, et ne jamais supposer que « ça n'arrive qu'aux autres ».

Conclusion

L'affaire Storm-1175 n'est pas une anomalie — c'est l'avenir de la menace cyber. Les catégories rassurantes d'hier ne tiennent plus. La seule réponse adaptée est une posture de défense en profondeur qui ne fait pas de distinction entre l'origine supposée de la menace, mais se concentre sur la réduction de l'exposition et la capacité de détection rapide. Le luxe de choisir contre qui on se défend n'existe plus.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact