Pendant des années, les analystes et les RSSI ont structuré leur threat modeling autour d'une distinction rassurante : d'un côté les États et leurs opérations d'espionnage sophistiquées, patientes, discrètes — APT, persistence longue durée, exfiltration silencieuse. De l'autre les groupes criminels motivés par l'argent, bruyants, destructeurs mais économiquement prévisibles — ransomware, double extorsion, affiliation RaaS. Cette classification permettait de calibrer les défenses, de prioriser les investissements, et de structurer la réponse diplomatique. Le problème, c'est que cette frontière n'existe plus. L'affaire Storm-1175, révélée par Microsoft début avril 2026, en est l'illustration la plus frappante à ce jour : un groupe lié au ministère de la Sécurité d'État chinois qui déploie du ransomware Medusa en exploitant des zero-days avec une efficacité opérationnelle digne d'un service de renseignement de premier plan. Ce n'est pas un cas isolé. De la Corée du Nord à la Russie en passant par l'Iran, la convergence est totale. Et si votre threat model distingue encore "APT" et "cybercriminalité" comme deux colonnes séparées, il est dangereux. Voici ce qui a changé, pourquoi c'est irréversible, et ce que ça implique pour vos défenses.

CYBERSÉCURITÉ GÉNÉRALE Quand les États font du ransomware : la fin des frontières ARCHITECTURE / COMPOSANTS Le mythe fondateur de la séparation… Storm-1175 : le cas qui redéfinit le… Pourquoi les États adoptent les… Les exemples documentés qui… CONCEPTS CLÉS Mécanisme 1 — Le ransomware comme… Mécanisme 2 — Le financement des… Mécanisme 3 — La commoditisation des… Mécanisme 4 — La double exploitation… Volt Typhoon (Chine) et le pré-positio… APT28 (Russie) et la combinaison… ayinedjimi-consultants.fr

Le mythe fondateur de la séparation APT/cybercriminalité : autopsie

La distinction APT/cybercriminalité n'était pas arbitraire — elle reposait sur des réalités opérationnelles observables. Les APT étatiques des années 2010 opéraient effectivement de manière caractéristique : objectifs de renseignement à long terme, présence discrète dans les réseaux victimes pendant des mois ou des années, collecte silencieuse d'informations stratégiques. Equation Group, APT28, APT29, Lazarus — leur mode opératoire commun était la patience et la discrétion.

Les groupes ransomware opéraient à l'opposé : objectifs financiers à court terme, impact intentionnellement visible (le chiffrement des données est par définition bruyant), négociation rapide, déplacement vers la prochaine victime. Deux paradigmes distincts, deux types d'acteurs distincts, deux types de réponses distinctes.

Cette division est morte. Les faits l'ont tuée progressivement depuis 2017, et Storm-1175 l'a définitivement enterrée en 2026.

La Corée du Nord a commencé à financer son programme de développement d'armes via le cybercrime crypto dès 2017 avec WannaCry — un wiper déguisé en ransomware. Lazarus/APT38 est depuis devenu le groupe le plus actif dans le vol de cryptomonnaies, avec plus de 3 milliards de dollars volés entre 2017 et 2025 selon Chainalysis. L'Iran a utilisé NotPetya-like wipers contre des cibles israéliennes et saoudiennes, déguisés en ransomware pour brouiller l'attribution. Et maintenant, Storm-1175 montre que la Chine — historiquement associée à l'espionnage industriel discret et patient — peut déployer du Medusa ransomware via des zero-days en moins de 24 heures entre compromission et chiffrement.

Storm-1175 : le cas qui redéfinit le modèle de menace

Storm-1175 est documenté par les équipes Microsoft Threat Intelligence depuis fin 2025. Ses caractéristiques le rendent unique dans le paysage 2026 : c'est un acteur avec des TTP (Tactics, Techniques, and Procedures) d'APT étatique chinois — zero-days sur des équipements exposés, techniques d'évasion sophistiquées, persistance longue durée via implants custom — qui déploie du ransomware Medusa en phase finale d'intrusion.

Pourquoi Medusa plutôt qu'un ransomware custom ? Plusieurs hypothèses convergentes. D'abord, l'attribution brouillée : Medusa est utilisé par de nombreux groupes criminels différents via le modèle RaaS. Déployer Medusa rend l'attribution à un acteur étatique chinois plus difficile et moins convaincante publiquement. Ensuite, le double effet : une opération Storm-1175 génère à la fois de l'espionnage (via l'accès préalable au réseau pendant la phase de persistence) et un revenu financier (via la rançon Medusa). Enfin, la perturbation délibérée : contrairement à l'espionnage silencieux, le déploiement de ransomware détruit des preuves — les journaux, les fichiers de configuration, les artefacts forensiques — ce qui complique l'investigation post-incident et peut effacer les traces de l'exfiltration préalable.

Le vecteur initial documenté dans les cas Storm-1175 : des zero-days sur des VPN et des appliances réseau (FortiGate, Ivanti), exploités dans les 48 heures suivant la publication des CVE. Le délai entre compromission initiale et déploiement du ransomware : variable de quelques heures à plusieurs semaines selon l'objectif (exfiltration de données sensibles avant le chiffrement, ou simple perturbation).

Pourquoi les États adoptent les outils du cybercrime : l'économie de la convergence

Plusieurs mécanismes économiques et stratégiques expliquent cette convergence, et ils ne vont pas s'inverser.

Mécanisme 1 — Le ransomware comme couverture d'attribution. Une opération d'espionnage étatique détectée génère des répercussions diplomatiques, des sanctions, des expulsions de diplomates. Une "attaque ransomware" par un groupe "criminel" est plus difficile à attribuer formellement, et la réponse diplomatique est moins directe. La déni plausible est un avantage stratégique que le déploiement de ransomware facilite.

Mécanisme 2 — Le financement des opérations via le cybercrime. La Corée du Nord en est l'exemple le plus documenté : les crypto-vols financent directement le programme nucléaire, selon les analyses de l'ONU et de Chainalysis. Des États sous sanctions économiques fortes ont un intérêt direct à développer des capacités offensives qui génèrent des revenus en devises fortes.

Mécanisme 3 — La commoditisation des outils offensifs. Les plateformes RaaS (Ransomware-as-a-Service) ont industrialisé le déploiement de ransomware au point qu'il ne nécessite plus de développement custom. Un acteur étatique peut affilier ses opérateurs à une plateforme RaaS existante, utiliser des outils éprouvés et mutualisés, et bénéficier du support technique de l'opérateur RaaS. Cela réduit le coût d'entrée, complique l'attribution, et permet de concentrer les ressources sur la phase d'intrusion (zero-days, persistance) plutôt que sur le payload final.

Mécanisme 4 — La double exploitation : espionnage puis extorsion. Un acteur qui a accès au réseau d'une cible peut simultanément exfiltrer des données sensibles pour les renseignements et menacer de publier ces données pour l'extorsion. La victime paye pour éviter la publication publique, sans savoir que les données ont déjà été transmises à un service de renseignement étranger. C'est une valorisation double d'un seul accès.

Les exemples documentés qui confirment la tendance

Volt Typhoon (Chine) et le pré-positionnement stratégique. Révélé par Microsoft et CISA en 2023, documenté encore en 2025, Volt Typhoon infiltre des infrastructures critiques américaines (eau, énergie, transport) sans objectif d'espionnage immédiat apparent — mais avec une présence longue durée qui s'interprète comme un pré-positionnement pour des actions de perturbation en cas de conflit. Ce n'est pas de l'espionnage classique ni du ransomware — c'est une troisième catégorie hybride que les frameworks d'analyse traditionnels ne capturent pas.

APT28 (Russie) et la combinaison espionnage/sabotage. FrostArmada, documenté par les équipes Mandiant en début 2026, montre APT28 combinant des techniques d'espionnage classiques (DNS hijacking, compromission de routeurs domestiques pour former une infrastructure de proxy) avec des actions de sabotage discret contre des organisations de défense occidentales. La frontière entre collecte de renseignement et préparation d'action offensive est délibérément floue.

Kimsuky (Corée du Nord) et le vol crypto institutionnalisé. Lazarus/Kimsuky a volé plus de 600 millions de dollars en 2024 selon Chainalysis, dont une partie significative via des opérations d'ingénierie sociale ciblant des employés de plateformes crypto. Ces opérations financent directement le régime et ses programmes militaires. C'est du cybercrime organisé par un État, pour un État, au bénéfice direct d'un État.

L'attribution : pourquoi elle reste utile malgré la convergence

Face à la convergence, certains concluent que l'attribution est devenue inutile — si tout le monde fait de tout, à quoi bon distinguer ? C'est une erreur. L'attribution reste pertinente, mais pour des raisons différentes de celles d'avant.

L'attribution technique — identifier les TTP caractéristiques d'un acteur, ses infrastructures C2 connues, ses outils signature — reste utile pour anticiper les vecteurs d'intrusion probables. Savoir que Storm-1175 utilise des zero-days FortiGate comme vecteur initial change concrètement comment vous priorisez vos patches sur ce type d'équipement. Savoir qu'APT28 exploite des routeurs SOHO compromis comme infrastructure proxy change comment vous traitez les connexions depuis des plages IP résidentielles.

Ce qui a changé, c'est que l'attribution ne permet plus de supposer que certains acteurs ne vous concernent pas. Un RSSI d'une PME industrielle qui concluait "les APT étatiques ne me ciblent pas, seuls les ransomwares criminels sont mon problème" avait peut-être raison en 2018. En 2026, Storm-1175 et Volt Typhoon ciblent exactement les PME et ETI industrielles — parce que leurs chaînes de valeur sont connectées aux systèmes de défense et aux infrastructures critiques des grandes puissances.

L'attribution reste donc utile comme outil d'anticipation et de priorisation. Elle ne suffit plus comme outil de réassurance ("ils ne nous cibleraient pas"). Et la réponse immédiate à un incident — containment, investigation, remédiation — doit fonctionner indépendamment de l'attribution, parce que l'attribution prend du temps et que les premières heures sont les plus critiques.

Ce que les RSSI doivent changer dans leur threat model

Si votre threat model distingue encore "menaces étatiques" et "menaces criminelles" comme deux colonnes séparées avec des défenses distinctes, il est obsolète et potentiellement dangereux.

Premièrement, unifiez votre modèle de menace autour des TTP et des impacts, pas autour de l'attribution supposée. Un zero-day sur une appliance réseau suivi d'un mouvement latéral rapide est une signature opérationnelle qui demande la même réponse qu'il vienne d'APT étatique ou d'un groupe ransomware sophistiqué. La distinction sera établie a posteriori par l'investigation forensique — en attendant, la réponse est identique.

Deuxièmement, ne sous-estimez plus le ransomware en supposant que c'est "juste du cybercrime". Un hôpital, une infrastructure d'eau, une installation de défense touchée par ransomware peut faire face à un acteur étatique qui chiffre les données pour couvrir une exfiltration préalable ou perturber un service critique dans un contexte géopolitique tendu.

Troisièmement, la réduction de la surface exposée est la défense commune aux deux catégories. Les zero-days sur des appliances réseau exposées sont le vecteur d'entrée commun de Storm-1175, Volt Typhoon, APT28 et des groupes ransomware criminels. Réduire le nombre d'équipements exposés sur Internet, maintenir les firmwares à jour avec un cycle KEV-first, et segmenter agressivement le réseau interne protège contre tous ces acteurs simultanément.

Position d'expert — Ayi NEDJIMI

La convergence entre espionnage étatique et cybercriminalité est la mutation la plus importante du paysage des menaces depuis l'émergence du ransomware lui-même. Arrêtons de traiter le ransomware comme un problème de "petits criminels" et l'APT comme un truc réservé aux ministères de la Défense et aux grandes multinationales. Cette distinction n'existe plus — elle est même activement entretenue par certains acteurs comme leurre d'attribution.

La conséquence pratique pour les RSSI de tout secteur et toute taille est simple : votre posture de sécurité doit assumer que n'importe quelle attaque peut être menée avec les ressources et la sophistication d'un acteur étatique. Ça ne veut pas dire être paranoïaque — ça veut dire arrêter de sous-estimer l'adversaire sur la base de son étiquette supposée.

Concrètement : patcher vite (KEV-first en moins de 72 heures), surveiller tout (comportements anormaux, mouvements latéraux, communications vers des IP de réputation suspecte), et ne jamais supposer que "ça n'arrive qu'aux grandes organisations". Storm-1175 a ciblé des entreprises manufacturières de taille intermédiaire. Volt Typhoon cible des utilities régionales. La sélection des cibles est plus large qu'on ne le croit, et la sophistication des attaques est identique quelle que soit la taille de la victime.

Conclusion

L'affaire Storm-1175 n'est pas une anomalie — c'est l'avenir de la menace cyber. Les catégories rassurantes d'hier ne tiennent plus. Les acteurs étatiques utilisent les outils du cybercrime. Les groupes criminels atteignent des niveaux de sophistication opérationnelle proches de certains acteurs étatiques. Et la distinction, même là où elle existe encore, importe de moins en moins pour la défense pratique.

La seule réponse adaptée est une posture de défense en profondeur qui ne fait pas de distinction entre l'origine supposée de la menace, mais se concentre sur la réduction de l'exposition, la détection comportementale, et la capacité de réponse rapide. Le luxe de choisir contre qui on se défend n'existe plus.

À retenir

  • • Storm-1175 (Chine) déploie du ransomware Medusa via des zero-days — la frontière APT/cybercriminalité est définitivement franchie.
  • • Quatre mécanismes économiques et stratégiques irréversibles expliquent la convergence : couverture d'attribution, financement via extorsion, commoditisation des outils RaaS, double exploitation espionnage+extorsion.
  • • Le threat model APT vs. cybercriminalité est obsolète — unifier les défenses autour des TTP et des impacts, pas de l'attribution supposée.
  • • La réduction de la surface exposée (zero-days appliances réseau) est la contre-mesure commune efficace contre tous les acteurs hybrides.
  • • Ne pas supposer que la taille ou le secteur protège : Storm-1175 et Volt Typhoon ciblent des entreprises de taille intermédiaire et des utilities régionales.

Pour aller plus loin : Quand les États piratent ceux qui nous surveillent · Quatre zero-days en quatre mois · L'ingénierie sociale, arme n°1 des États-nations

Besoin d'un regard expert sur votre sécurité ?

Threat modeling actualisé, audit de l'exposition aux vecteurs hybrides APT/ransomware, plan de réduction de surface d'attaque : discutons de votre contexte.

Prendre contact

Impact operationnel de la convergence sur les strategies de defense

La convergence entre acteurs etatiques et cybercriminels modifie fondamentalement les parametres sur lesquels les equipes de defense ont construit leurs strategies de protection. Quand on pouvait distinguer les APT etatiques — patient, discret, axe sur l'espionnage a long terme — des cybercriminels — opportuniste, bruyant, axe sur le gain financier rapide — les organisations pouvaient calibrer leurs defenses en fonction de leur profil de cible. Cette segmentation claire disparait progressivement, obligeant toutes les organisations a considerer des scenarios d'attaque qui combinent la sophistication technique des APT avec les motivations financieres et la destructivite des groupes ransomware.

L'implication concrete pour les equipes de defense est la necessite de reviser les hypotheses sous-jacentes de leurs threat models. Une organisation qui s'estimait hors de portee des APT etatiques parce qu'elle ne gere pas de secrets strategiques doit desormais considerer qu'elle pourrait etre ciblee comme vecteur d'acces a des tiers plus strategiques dans sa chaine d'approvisionnement, ou simplement comme cible d'opportunite pour un groupe etatique cherchant a renflouer ses finances via une attaque ransomware. La frontiere entre "je suis une cible pour les cybercriminels mais pas pour les Etats" s'efface progressivement dans plusieurs secteurs.

La reponse aux incidents dans un contexte de convergence necessite une coordination plus etroite avec les autorites nationales et les CERT sectoriels. Quand un incident ransomware pourrait impliquer un acteur etatique — par les techniques utilisees, les cibles selectionnees ou le timing de l'attaque — les organisations ont interet a notifier rapidement l'ANSSI et les autorites competentes qui disposent d'informations de renseignement non publiques pouvant aider a l'attribution et a la comprehension de la menace. Cette cooperation public-prive reste insuffisamment automatique dans la pratique, les organisations hesitant a divulguer des incidents aux autorites par crainte des consequences reputationnelles ou reglementaires.

L'analyse des motivations reste utile meme dans un monde de convergence. Un attaquant dont la motivation principale est financiere — meme s'il utilise des outils etatiques — aura des comportements differents d'un attaquant dont l'objectif est le sabotage ou le renseignement a long terme. L'analyse comportementale pendant la phase d'investigation post-incident permet souvent de determiner si l'objectif etait le profit immediat, l'espionnage discret ou la preparation d'une action future. Cette analyse comportementale, meme imparfaite dans un contexte de convergence, reste precieuse pour orienter la reponse et anticiper les prochains mouvements d'un attaquant encore present dans le reseau.

Implications pour la cyber-assurance et la gestion du risque cyber

La convergence entre acteurs etatiques et cybercriminels cree des complications significatives pour le marche de la cyber-assurance. Les polices d'assurance cyber excluent traditionnellement les "actes de guerre", notion juridique floue que les assureurs ont tente d'etendre aux cyberattaques etatiques apres plusieurs incidents majeurs. La convergence brouille encore davantage cette frontiere : si un groupe cybercriminel utilise des outils developpes par un service de renseignement etatique, l'attaque est-elle un acte de guerre ou une activite criminelle ordinaire ? Cette question juridique non resolue se retrouve au coeur de plusieurs contentieux entre assureurs et assures suite a des incidents ransomware.

L'evaluation du risque cyber par les assureurs doit integrer la dimension etatique dans ses modeles. Les organisations operant dans des secteurs d'interet strategique — defense, energie, sante critique, infrastructures financieres — presentent un profil de risque structurellement different des organisations du secteur des services par exemple, car leur probabilite d'etre ciblees par des acteurs etatiques ou pseudo-etatiques est objectivement plus elevee. Cette granularite sectorielle dans l'evaluation du risque commence a se reflechir dans la tarification des primes et les conditions de couverture des meilleures polices de cyber-assurance disponibles sur le marche en 2026.

Les organisations qui veulent maintenir une couverture cyber-assurance adequate dans ce contexte de convergence doivent investir dans la demonstration de leur maturite de securite face aux techniques avancees specifiques aux acteurs sophistiques. Les questionnaires d'assurance cyber integrent progressivement des questions sur les capacites de detection des techniques LOLBins, la segmentation reseau avancee, les exercices de simulation d'attaque etatique et la gestion des identites privilegiees, reconnaissant que les standards minimaux de securite ne suffisent plus a couvrir le perimetre de risque reel dans un monde de convergence APT-cybercriminalite.

La veille sur la convergence APT-cybercriminalite doit s'appuyer sur des sources de renseignement diversifiees et complementaires. Les rapports des equipes de threat intelligence des grands editeurs de securite — Mandiant, CrowdStrike, Microsoft MSTIC — fournissent des analyses detaillees des acteurs et de leurs evolutions. Les bulletins de l'ANSSI et de ses homologues europeens apportent une perspective nationale sur les menaces observees en France et en Europe. Les publications de chercheurs independants et universitaires completent ce tableau en analysant les aspects strategiques et geopolitiques que les editeurs commerciaux traitent parfois avec moins de profondeur. La combinaison de ces sources multiples et complementaires permet aux RSSI de disposer d'une vision complete et nuancee de l'evolution du paysage de menaces et d'ajuster leurs programmes de defense en consequence de maniere eclairee, coherente et strategiquement pertinente pour leur contexte specifique d'organisation et leur profil de risque reel face aux menaces hybrides actuelles.