Institutions - Souveraineté

Cyberattaques : Bruxelles sanctionne trois acteurs et gèle leurs avoirs

Photo of Olivier Gouin Olivier Gouin Follow on Twitter il y a 12 heures
0 306 8 minutes de lecture
Bruxelles, analystes cybersécurité devant un bâtiment européen moderne
Des sanctions européennes ciblent des acteurs accusés d’opérations cyber offensives. Crédit : photo d’illustration

Gel des avoirs, interdictions d’entrée dans l’Union, et noms clairement pointés du doigt, le Conseil de l’UE a durci son régime de sanctions cyber en visant trois acteurs liés à des opérations offensives menées depuis la Chine et l’Iran. Les entités désignées, Integrity Technology Group, Anxun Information Technology (i-Soon) et Emennet Pasargad, sont accusées d’avoir soutenu des campagnes d’espionnage et de déstabilisation visant des États membres.

Le message est simple, imposer un coût à ceux qui industrialisent le piratage, sans se limiter aux exécutants. Derrière la décision, il y a des éléments techniques, des volumes d’infections, des opérations de manipulation de l’information, et une volonté politique d’améliorer l’attribution. Mais il y a aussi une limite, ces sanctions ne stoppent pas une attaque en cours, elles cherchent à réduire l’espace économique et opérationnel de ceux qui l’organisent.

Le Conseil de l’UE ajoute cinq désignations le 16 mars 2026

La décision est prise lors du Conseil des Affaires étrangères à Bruxelles, le 16 mars 2026, avec une annonce publique le lendemain. Le Conseil ajoute trois entreprises et deux individus à la liste noire du régime de sanctions cyber de l’Union. Concrètement, cela déclenche un gel des avoirs dans l’UE et une interdiction d’entrée sur le territoire européen pour les personnes visées, un outil déjà utilisé contre d’autres acteurs depuis la mise en place du dispositif.

Le choix des cibles n’est pas anodin, il vise l’ écosystème cyber-offensif privé qui outille des services étatiques. C’est une nuance importante, Bruxelles ne parle pas seulement de groupes informels, mais d’entités structurées, capables de vendre des services, de louer une infrastructure, ou de monétiser des données volées. Dans le langage diplomatique, c’est une façon d’indiquer que la frontière entre prestataire privé et opération d’État devient plus difficile à nier.

Le ministère français des Affaires étrangères rappelle que ces nouvelles désignations s’ajoutent à 21 entités et individus déjà sanctionnés dans ce cadre. L’UE met donc en avant une montée en puissance progressive, plus qu’un coup isolé. Un diplomate européen, cité dans des échanges de couloir rapportés par un consultant en cybersécurité, résume la logique, on ne peut pas arrêter chaque intrusion, mais on peut rendre le modèle économique plus risqué.

Il faut aussi comprendre le contexte réglementaire, l’UE pousse les États et les entreprises à élever leur niveau de défense, notamment via des textes comme NIS2 et DORA, cités dans le débat public sur la gouvernance du risque. Les sanctions s’inscrivent dans le même mouvement, tu renforces la défense d’un côté, et de l’autre tu cherches à réduire l’impunité. La critique qu’on entend souvent, c’est que l’outil reste lent face à des attaques qui se comptent en heures, mais le politique assume le temps long.

Integrity Technology Group liée à 65 000 terminaux compromis en Europe

Premier acteur visé, la société chinoise Integrity Technology Group est associée à une campagne attribuée au groupe Flax Typhoon. Le chiffre mis en avant frappe, plus de 65 000 terminaux compromis dans six pays de l’Union. Ce volume n’évoque pas une opération artisanale, mais une exploitation systématique d’infrastructures, souvent via des équipements exposés ou mal maintenus, avec une capacité à durer sans se faire détecter rapidement.

Dans les enquêtes de ce type, le point clé n’est pas seulement le nombre de machines, mais ce que ces machines permettent. Un parc de terminaux compromis sert à rebondir, à masquer l’origine, à héberger des outils, ou à exfiltrer des données par petites touches. Un analyste SOC, Marc D., décrit une réalité opérationnelle, quand tu vois des dizaines de milliers d’hôtes, tu comprends que l’objectif n’est pas un coup unique, c’est une présence, une logistique.

Le Conseil de l’UE explique que l’infrastructure de cette entreprise a été utilisée dans l’opération. Cela renvoie à une question classique, jusqu’où va la responsabilité d’un prestataire quand ses services facilitent des attaques? Dans le cas présent, l’UE retient une logique de soutien actif à des opérations offensives, pas une simple négligence. C’est un signal adressé à un marché où certains acteurs vendent des capacités de piratage comme on vendrait de l’hébergement cloud.

Sur le terrain, les conséquences sont très concrètes pour les organisations touchées, coûts de remédiation, audits, et parfois des semaines d’investigation. Le monde de l’entreprise chiffre souvent l’impact, une étude citée dans la presse professionnelle évoque 4,23 millions d’euros de coût moyen par incident. Même si toutes les compromissions ne se transforment pas en crise majeure, la multiplication des intrusions crée une fatigue organisationnelle, et c’est là que les attaquants gagnent du temps.

Anxun Information Technology, i-Soon et la vente de données classifiées

Deuxième entité, la société chinoise Anxun Information Technology, connue sous le nom i-Soon. Les éléments mis en avant par l’UE et relayés dans la presse spécialisée décrivent des services de piratage clé en main pour des services de sécurité chinois, avec un volet particulièrement sensible, la vente d’informations classifiées européennes. Ce point change la lecture, on n’est plus seulement sur de l’espionnage, mais sur une logique de marché et de revente.

Les États-Unis suivent aussi le dossier. Un document du Département de la Justice américain, évoqué dans la couverture médiatique, mentionne l’inculpation de 12 personnes liées à i-Soon pour des cyberattaques menées à la demande de services de sécurité chinois, avec rémunération en échange des données volées. Même si la procédure américaine n’est pas un jugement européen, elle donne du poids à l’idée d’un écosystème structuré, avec des personnes identifiées et une chaîne de commandement.

Dans les entreprises, ce type d’affaire fait grimper la pression sur la protection des secrets industriels. Les attaques dites d’espionnage ne font pas forcément tomber un système, elles prélèvent. Un responsable sécurité d’un groupe industriel, qui accepte de parler sous anonymat, explique ce que ça change au quotidien, tu peux passer à côté pendant des mois, et le jour où tu le vois, le dommage est déjà fait, un appel d’offres, une R& D, une stratégie pays.

La sanction européenne vise aussi à améliorer l’attribution, c’est un point souvent mal compris. Nommer une entreprise, ce n’est pas seulement punir, c’est stabiliser un récit public, donner un cadre commun aux services de renseignement, aux CERT et aux autorités judiciaires. La nuance, c’est que l’attribution reste un exercice politique autant que technique. Tu peux avoir de bons indicateurs, mais si tu ne peux pas les partager, ou si tu ne veux pas exposer tes méthodes, la démonstration publique reste partielle.

Emennet Pasargad et des opérations de déstabilisation liées à Charlie Hebdo

Troisième entité, l’iranienne Emennet Pasargad, décrite comme une structure impliquée dans des cyberattaques et des opérations de manipulation de l’information. Le cas le plus cité concerne une attaque contre des abonnés de Charlie Hebdo en 2023, avec vol de données attribué par l’expertise technique de Microsoft. L’UE met ici en avant une menace hybride, le cyber sert à viser des individus, à intimider, et à créer un impact médiatique.

Le dossier mentionne aussi des actions à forte résonance lors des Jeux Olympiques de Paris 2024, avec compromission de panneaux publicitaires pour diffuser de la désinformation. Là, tu sors du schéma vol de données et tu touches à l’espace public. Ce type d’attaque n’a pas besoin d’être sophistiqué pour être efficace, il suffit de détourner un canal visible, au bon moment, pour semer le doute, attirer l’attention, et alimenter des récits hostiles.

Autre exemple cité, l’infiltration d’un service de SMS en Suède, qui a impacté des milliers de citoyens. Ce détail compte, parce qu’il montre une cible de masse, un levier de communication directe, et un potentiel de perturbation. Un consultant en gestion de crise, Marc L., explique la mécanique, quand tu touches le SMS, tu touches l’authentification, l’alerte, le service public, et tu crées une panique froide, les gens ne savent plus à quoi faire confiance.

Le gel des avoirs d’Emennet Pasargad dans l’UE vise donc un acteur accusé d’opérations sur le territoire européen, pas un acteur lointain et abstrait. La critique qu’on peut formuler, c’est que ces structures peuvent être légères, avec peu d’actifs directement exposés en Europe. Mais l’UE cherche aussi à couper les relais, les sous-traitants, les comptes, et à compliquer toute interaction avec des partenaires européens, banques, assureurs, fournisseurs IT.

Sanctions, attribution et limites face à la hausse des attaques

Le cur de la stratégie européenne, c’est d’imposer un coût. Les sanctions combinent gel d’avoirs et interdictions de voyage, et elles s’inscrivent dans une logique plus large de lutte contre l’impunité. La France insiste sur l’usage de tous les leviers disponibles au niveau national et européen, dans le respect du cadre onusien sur le comportement responsable des États. Dit autrement, l’UE veut éviter la surenchère tout en montrant qu’elle peut répondre.

Mais il faut être lucide, les sanctions ne remplacent pas la défense. Les chiffres de terrain rappellent l’ampleur du problème. Dans l’éducation, Microsoft indique une moyenne de 2 507 tentatives d’attaques par semaine visant les universités, un secteur vulnérable par manque de ressources et coexistence de systèmes modernes et anciens. Ce type de statistique illustre une pression constante, avec des attaquants qui testent des techniques sur des environnements moins protégés avant de les réutiliser ailleurs.

Les entreprises, notamment les PME, restent une cible attractive. Benjamin Leroux, du CLUSIF, insiste sur le fait que la cybersécurité n’est plus seulement un sujet technique, mais un sujet de gouvernance et de finance. Il alerte sur le manque de préparation et sur l’impact potentiel d’un incident chiffré en millions. Dans ce contexte, les sanctions européennes envoient un signal politique, mais la réduction du risque passe par des budgets, des procédures, des sauvegardes testées, et une gestion sérieuse des identités.

L’UE veut aussi agir sur la prolifération des outils offensifs. La France mentionne le Processus de Pall Mall, conduit avec le Royaume-Uni, pour lutter contre l’usage irresponsable d’outils développés par l’industrie cyber-offensive. C’est un chantier compliqué, parce qu’il touche à des technologies duales, utiles en audit comme en attaque. L’évolution reste incertaine, car les États n’ont pas tous la même lecture de ce qui est acceptable, et parce que les marchés privés s’adaptent vite quand un nom est sanctionné.

À retenir

  • L’UE a sanctionné Integrity Technology Group, i-Soon et Emennet Pasargad avec gels d’avoirs et interdictions d’entrée.
  • Bruxelles met en avant des faits chiffrés, dont 65 000 terminaux compromis dans six pays membres.
  • Les sanctions visent l’écosystème privé qui outille des opérations offensives, au-delà des seuls exécutants.
  • Le dispositif s’ajoute à une liste déjà fournie, avec 21 entités et individus antérieurement sanctionnés.
  • La pression cyber reste élevée, illustrée par des milliers de tentatives hebdomadaires dans des secteurs vulnérables.

Questions fréquentes

Quelles mesures l’UE applique-t-elle contre les acteurs cyber sanctionnés ?
Les mesures annoncées reposent sur un gel des avoirs dans l’Union européenne et des interdictions d’entrée sur le territoire de l’UE pour les personnes visées. L’objectif est de limiter les capacités financières et la liberté de mouvement des acteurs désignés, et de dissuader les partenaires économiques européens de travailler avec eux.
Qui sont les trois entités visées par les nouvelles sanctions européennes ?
Les désignations citées concernent deux sociétés basées en Chine, Integrity Technology Group et Anxun Information Technology (alias i-Soon), et une entité iranienne, Emennet Pasargad. Deux individus liés à ces structures figurent aussi dans les nouvelles désignations.
Pourquoi l’UE met-elle en avant l’attribution des cyberattaques ?
Nommer des entités et les sanctionner revient à stabiliser une attribution publique, ce qui facilite une réponse coordonnée entre États membres et renforce la crédibilité diplomatique. Cela ne remplace pas les défenses techniques, mais cela vise à réduire l’impunité et à imposer un coût aux acteurs accusés d’opérations offensives.
Qu’est-ce que l’UE reproche à Integrity Technology Group et au groupe Flax Typhoon ?
Les informations relayées indiquent que l’infrastructure de la société Integrity Technology Group a été utilisée par le groupe Flax Typhoon, avec un impact massif, plus de 65 000 terminaux compromis dans six pays membres. L’UE présente cela comme une activité cyber-offensive visant des États membres.
Pourquoi Emennet Pasargad est-elle associée à des opérations de déstabilisation en Europe ?
L’entité iranienne est présentée comme impliquée dans des cyberattaques et des opérations de manipulation de l’information, notamment contre des abonnés de Charlie Hebdo en 2023, et dans des actions de désinformation liées aux Jeux Olympiques de Paris 2024, avec aussi une infiltration d’un service de SMS en Suède.

Sources

Tags
Afficher plus
Photo of Olivier Gouin

Olivier Gouin

Olivier occupe aujourd'hui la fonction de Coordonnateur Régional sur la Zone Ouest (défense) du Réseau des Experts Cyber Menaces de la Police Nationale - Le RECyM depend de l'Office Anti-Cybecriminalité (OFAC). Son parcours illustre une synergie unique entre les univers de la défense et du monde civil, du public comme du privé, dans des domaines de la haute technologique, de la sécurité de l'information, de l'industrie et du secteur des services, de la gestion des risques et des assurances. Son expertise s'étend également à la formation spécialisée, notamment auprès des Compagnies d'assurances, des Courtiers et des Agents Géneraux sur les risques liés au numerique et à la cybersécurité. Très présent dans le monde de l'innovation technologique et du numérique, il a accompagné des projets et des programmes dans les secteurs technologiques de pointes et dans un environnement dual. Il a été également co-fondateur du Clusir Bretagne

Articles similaires

Photo of La DGSI déploie 1000 conférences par an pour sensibiliser les entreprises aux cyberattaques

La DGSI déploie 1000 conférences par an pour sensibiliser les entreprises aux cyberattaques

il y a 2 semaines
Photo of Coupure numérique globale : une urgence pour la souveraineté, comment s’y préparer ?

Coupure numérique globale : une urgence pour la souveraineté, comment s’y préparer ?

il y a 3 semaines
Photo of Quand l’intelligence économique flirte avec l’illégalité : le silence inquiétant des autorités

Quand l’intelligence économique flirte avec l’illégalité : le silence inquiétant des autorités

il y a 3 semaines
Photo of Cybersécurité en Normandie : le réseau Normandie Numérique au cœur de la transition digitale

Cybersécurité en Normandie : le réseau Normandie Numérique au cœur de la transition digitale

février 16, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer