Le 13 juillet 2026, la France et l'Union européenne ont publiquement attribué à la Russie une campagne d'espionnage informatique visant des entités françaises, menée au moyen du mode opératoire d'attaque Turla. Le CERT-FR a publié le même jour un rapport détaillé, CERTFR-2026-CTI-004. Au-delà de la dimension diplomatique, cet épisode est un rappel utile de ce à quoi ressemble une menace de haut niveau - et de ce qu'elle exige côté défense.
Ce qui a été rendu public
Selon le CERT-FR et le commandement de la cyberdéfense (COMCYBER), le mode opératoire Turla est rattaché au 16ᵉ centre du service de sécurité russe (FSB) et actif depuis au moins 2004 à des fins de renseignement, contre des entités et des personnalités stratégiques dans le monde, dont la France. Les victimes françaises identifiées relèvent des secteurs de la diplomatie, de la défense, de la justice et de la technologie.
Les autorités françaises font état de compromissions s'étalant sur plusieurs années, jusqu'à une intrusion en 2025 dans le système d'information d'une entité travaillant sur des technologies avancées. Ce qui frappe, ce n'est pas un exploit spectaculaire, mais la durée et la discrétion de l'accès.
Sources : CERT-FR (CERTFR-2026-CTI-004) et Ministère des Armées / COMCYBER - voir les liens en bas d'article.
Pourquoi ce type de menace est difficile à voir
Un attaquant étatique orienté renseignement ne cherche pas à faire du bruit. Son objectif est de rester le plus longtemps possible, d'observer et d'exfiltrer, sans déclencher d'alarme. Cela se traduit par des tactiques précises :
- Persistance longue : des accès maintenus pendant des mois, voire des années.
- Discrétion : usage d'outils légitimes du système, faible volume d'activité, mimétisme avec le trafic normal.
- Patience : progression lente, latérale, plutôt qu'une attaque frontale rapide.
Face à cela, une défense construite uniquement pour bloquer des attaques bruyantes (rançongiciel, déni de service) passe à côté de l'essentiel. Ce n'est pas le périmètre qui protège, c'est la capacité à détecter l'anormal dans la durée.
Un attaquant présent discrètement dans votre système d'information depuis six mois : le verriez-vous ? Si la réponse dépend de la chance plutôt que d'une capacité de détection outillée et surveillée, l'exposition est réelle - quelle que soit la taille de l'organisation.
Faut-il être un ministère pour être concerné ?
Non. Les cibles emblématiques font les gros titres, mais les modes opératoires étatiques s'appuient très souvent sur des maillons plus faibles : un prestataire, un sous-traitant, un éditeur, un partenaire technologique. Une PME ou une ETI qui travaille pour un grand donneur d'ordre, ou qui détient un savoir-faire sensible, entre dans le champ d'intérêt. La sécurité de la chaîne d'approvisionnement - un pilier de NIS2 - n'est pas une abstraction : c'est exactement ce type de scénario qu'elle vise à couvrir.
Ce que nous en retenons, côté défense
Cet épisode conforte quelques priorités concrètes, valables bien au-delà du cas Turla :
- Détecter, pas seulement bloquer. Journaliser, centraliser et surveiller les événements pour repérer les comportements anormaux dans la durée - c'est la raison d'être d'un SOC.
- Surveiller les accès et l'authentification. MFA généralisé, revue des comptes à privilèges, alerte sur les connexions atypiques.
- Segmenter. Limiter la circulation latérale pour qu'une compromission ne se propage pas à tout le système d'information.
- Préparer la réponse. Savoir qui fait quoi, avec quels outils et quels appuis, le jour où une intrusion est confirmée. La réponse à incident se prépare à froid.
- Exploiter la veille. Les indicateurs publiés par le CERT-FR ne servent que si quelqu'un les intègre à la détection.
En résumé
La campagne Turla rappelle que la menace la plus dangereuse n'est pas toujours la plus visible. Contre un adversaire patient et discret, la défense se joue sur la détection continue, la maîtrise des accès et une réponse préparée. C'est précisément le champ sur lequel nous accompagnons nos clients : voir tôt, comprendre vite, réagir juste.
Kenawek vous aide à mettre en place la surveillance, la détection et la réponse à incident adaptées à votre exposition réelle. Parlons-en.