Un groupe de la menace affilié à un état ou à une nation est communément désigné sous les termes nation-state actors et nation-states sponsored entities. Ces termes désignent un gouvernement ou une entité étatique impliqué dans des cyberattaques ou d’autres activités ciblant les infrastructures essentielles ou critiques d’autres nations.
Quels sont les groupes de la menace affiliés à des états ou des nations ?
La liste des acteurs de la menace ci-dessous n’est pas exhaustive et un groupe peut être désigné sous plusieurs noms selon la société qui fait l’attribution.
Le gouvernement chinois, officiellement connu sous le nom de République populaire de Chine (RPC), déploie les groupes suivants :
- Salt Typhoon
- Volt Typhoon (alias BRONZE SILHOUETTE, Vanguard Panda, DEV-0391, UNC3236, Voltzite, Insidious Taurus)
- Brass Typhoon (alias Wicked Panda, APT41, BARIUM)
- Mulberry Typhoon (alias APT5, MANGANESE, BRONZE FLEETWOOD, Keyhole Panda, UNC2630)
- Violet Typhoon (alias ZIRCONIUM, APT31)
- Gingham Typhoon (alias Leviathan, MUDCARP, Kryptonite Panda, Gadolinium, BRONZE MOHAWK, TEMP.Jumper, APT40, TEMP.Periscop)
sources :
- Volt Typhoon : https://attack.mitre.org/groups/G1017/
- APT5 : https://attack.mitre.org/groups/G1023/
- ZIRCONIUM : https://attack.mitre.org/groups/G0128/
- Leviathan : https://attack.mitre.org/groups/G0065/
- APT41 : https://attack.mitre.org/groups/G0096/
Le gouvernement iranien, officiellement connu sous le nom de République islamique d’Iran, déploie les groupes suivants
- Rocket Kitten (alias Operation Woolen-Goldfish, AjaxTM, Ajax Security Team, Flying Kitten, Operation)
- Helix Kitten (alias COBALT GYPSY, IRN2, APT34, OilRig, Evasive Serpens, Hazel Sandstorm, EUROPIUM, ITG13, Earth Simnavaz, Crambus, TA452 )
- Remix Kitten (alias ITG07, Chafer, APT39)
- Charming Kitten (alias Magic Hound, A453, COBALT ILLUSION, ITG18, Phosphorus, Newscaster, APT35, Mint Sandstorm )
- Static Kitten (alias MuddyWater, Earth Vetala, MERCURY, Seedworm, TEMP.Zagros, Mango Sandstorm, TA450)
sources :
- Ajax Security Team : https://attack.mitre.org/groups/G0130/
- OilRig : https://attack.mitre.org/groups/G0049/
- APT39 : https://attack.mitre.org/groups/G0087/
- MuddyWater : https://attack.mitre.org/groups/G0069/
- Magic Hound : https://attack.mitre.org/groups/G0059/
Le gouvernement nord-coréen, officiellement connu sous le nom de République populaire démocratique de Corée (RPDC), déploie les groupes suivants :
- Ricochet Chollima (alias InkySquid, ScarCruft, Reaper, Group123, TEMP.Reaper, APT37)
- Silent Chollima (alias PLUTONIUM, Onyx Sleet, Andariel)
- Stardust Chollima (alias NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, APT38, Sapphire Sleet, COPERNICIUM)
- AppleJeus (alias Gleaming Pisces, Citrine Sleet, UNC1720, UNC4736)
- Labyrinth Chollima (alias Lazarus Group, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY, Diamond Sleet)
- Velvet Chollima (alias Black Banshee, Kimsuky, Emerald Sleet, THALLIUM, APT43, TA427, Springtail)
sources :
- APT37 : https://attack.mitre.org/groups/G0067/
- Andariel : https://attack.mitre.org/groups/G0138/
- APT38 : https://attack.mitre.org/groups/G0082/
- AppleJeus : https://attack.mitre.org/groups/G1049/
- Lazarus Group : https://attack.mitre.org/groups/G0032/
- Kimsuky : https://attack.mitre.org/groups/G0094/
Le gouvernement russe, officiellement connu sous le nom de Gouvernement de la fédération de Russie, déploie les groupes suivants
- Ember Bear (alias UNC2589, Bleeding Bear, DEV-0586, Cadet Blizzard, Frozenvista, UAC-0056)
- Primitive Bear (alias IRON TILDEN, Gamaredon Group, ACTINIUM, Armageddon, Shuckworm, DEV-0157, Aqua Blizzard)
- Berserk Bear (alias TEMP.Isotope, DYMALLOY, Dragonfly, TG-4192, Crouching Yeti, IRON LIBERTY, Energetic Bear, Ghost Blizzard, BROMINE)
- Fancy Bear (alias IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, APT28, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Forest Blizzard, FROZENLAKE, GruesomeLarch)
- Voodoo Bear (alias ELECTRUM, Telebots, IRON VIKING, BlackEnergy (Group), Quedagh, IRIDIUM, Seashell Blizzard, FROZENBARENTS, APT44, Sandworm Teams)
- Cozy Bear (alias IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, NOBELIUM, UNC2452, YTTRIUM, The Dukes, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Midnight Blizzard, APT29)
- Venomous Bear (alias RON HUNTER, Group 88, Waterbug, WhiteBear, Snake, Krypton, Turla, Secret Blizzard, BELUGASTURGEON)
sources :
- Ember Bear : https://attack.mitre.org/groups/G1003/
- Gamaredon Group : https://attack.mitre.org/groups/G0047/
- Dragonfly : https://attack.mitre.org/groups/G0035/
- APT28 : https://attack.mitre.org/groups/G0007/
- Voodoo Bear : https://attack.mitre.org/groups/G0034/
- APT29 : https://attack.mitre.org/groups/G0016/
- Turla : https://attack.mitre.org/groups/G0010/
Le gouvernement états-unien, officiellement connu sous le nom du Gouvernement fédéral des États-Unis, déploie les groupes suivants :
- Equation Group
https://attack.mitre.org/groups/G0020/
Par qui sont menées les opérations de rançongiciel sponsorisées par un état ?
Les rançongiciels sont efficaces car ils enchaînent vol des données, chiffrement, puis menace de divulgation, laissant à la victime peu d’alternatives : payer la rançon ou subir des coûts de reconstruction et un impact réputationnel souvent important.
Concernant les groupes sponsorisés par le gouvernement chinois
Il n’est pas communément observé le déploiement de rançongiciel car l’objectif du gouvernement est avant tout l’espionnage stratégique et non l’extorsion de fonds. Toutefois, le groupe de la menace Brass Typhoon a été observé déployer le rançongiciel-en-tant-que-service (RaaS) Encryptor pour chiffrer les systèmes ciblés.
https://attack.mitre.org/groups/G0096/
Concernant les groupes sponsorisés par le gouvernement iranien
Il n’est pas communément observé le déploiement de rançongiciel car l’objectif du gouvernement est avant tout l’espionnage stratégique et non l’extorsion de fonds. Toutefois, le groupe de la menace Fox Kitten, suspecté d’être sponsorisé par l’état, a été observé déployer le rançongiciel Pay2Key pour chiffrer les systèmes ciblés.
Concernant les groupes sponsorisés par le gouvernement nord-coréen
Il est observé des opérations de rançongiciel associées à des vols de monnaies et cryptomonnaie. Par exemple, le groupe de la menace Labyrinth Chollima a été observé déployer le rançongiciel WannaCry et demander une rançon en Bitcoin. Également, le groupe de la menace Stardust Chollima a été observé utiliser le rançongiciel Hermes.
- WannaCry : https://attack.mitre.org/software/S0366/
- Stardust Chollima : https://attack.mitre.org/groups/G0082/
Concernant les groupes sponsorisés par le gouvernement russe
Les groupes de la menace sponsorisés par l’état ne sont pas connus pour déployer des rançongiciels. Mais, il est communément admis que les groupes criminels russophones sont tolérés par le gouvernement et ainsi indirectement affiliés à ce dernier. Parmi ces groupes nous pouvons citer les rançongiciels-en-tant-que-service Lockbit et Conti mais aussi les rançongciels Ryuk et REvil.
- REvil : https://attack.mitre.org/software/S0496/
- Ryuk : https://attack.mitre.org/software/S0446/
- Conti : https://attack.mitre.org/software/S0575/
- LockBit : https://attack.mitre.org/software/S1202/
Concernant les groupes sponsorisés par le gouvernement états-unien
Il n’est pas observé d’opérations de rançongiciel menées par des groupes sponsorisés par le gouvernement américain dans un but de financement ou d’extorsion. Les opérations attribuées aux États-Unis privilégient des implants furtifs, persistants et non destructifs, afin de conserver un accès durable aux systèmes ciblés. Le pays opère via des unités militaires cyber intégrées à la doctrine de défense nationale et l’attribution publique est évitée, volontairement, pour préserver la dissuasion et la dénégation plausible.
Parmi ceux-ci quel est le butin estimé ?
Concernant les groupes sponsorisés par le gouvernement chinois
Aucune source crédible ne donne d’estimation fiable de revenus tirés d’opérations de rançongiciel. En effet, l’objectif principal est l’espionnage et non la génération de revenus par extorsion, et les campagnes observées ne montrent pas de collecte publique de rançons à grande échelle.
Concernant les groupes sponsorisés par le gouvernement iranien
Le rançongiciel Pay2Key, liée à l’APT Fox Kitten et opérant comme rançongiciels-en-tant-que-service, a généré plus de 51 paiements de rançon totalisant plus de 4 millions de dollars américains en environ quatre mois d’activité (février–juin 2025). Les opérateurs individuels affichant 100 000 dollars américains de bénéfices
https://www.morphisec.com/blog/pay2key-resurgence-iranian-cyber-warfare/
Concernant les groupes sponsorisés par le gouvernement nord-coréen
L’équipe de surveillance des sanctions multilatérales (MSMT), un mécanisme international pour signaler les évasions de sanctions, a calculé que de janvier 2024 à septembre 2025, le gouvernement nord-coréen a volé 2,84 milliards de dollars américains d’actifs en cryptomonnaies. Ce butin est en partie récolté via le paiement de rançon par les victimes.
[https://msmt.info/view/save/2025/10/22/26294780-c396-407d-bb33-88afe988cd96-The_DPRK%E2%80%99s_Violation_and_Evasion_of_UN_Sanctions_through_Cyber_and_Information_Technology_Worker_Activities_(MSMT_20252).pdf](https://msmt.info/view/save/2025/10/22/26294780-c396-407d-bb33-88afe988cd96-The_DPRK%E2%80%99s_Violation_and_Evasion_of_UN_Sanctions_through_Cyber_and_Information_Technology_Worker_Activities(MSMT_2025_2).pdf)
Concernant les groupes sponsorisés par le gouvernement russe
Les groupes explicitement sponsorisés par l’État ne sont pas connus pour générer des revenus de rançongiciel. Toutefois, les groupes de la menace tels que LockBit, Conti et REvil existent dans un environnement toléré par les autorités russes et sont souvent opérés par des acteurs russophones, avec des indices d’affinité implicite aux intérêts nationaux ou à la politique du pays.
LockBit 3.0 et affiliés ont réussi à extraire environ 640 000 dollars américains de paiements de rançon sur environ 210 attaques connues entre fin 2024 et avril 2025, avec une moyenne d’environ 35 500 dollars américains par rançon payée sur les cas documentés.
https://www.lemagit.fr/actualites/366623818/Ransomware-les-comptes-peu-reluisants-de-LockBit-30
Le FINCEN rapport que la valeur cumulée du butin de LockBit entre janvier 2022 et décembre 2024 est de 252,4 millions de dollars américains
https://www.fincen.gov/system/files/2025-12/FTA-Ransomware.pdf
En 2021, Le Monde Informatique rapporte que la société Advintel / Hyas estime que l’opérateur malveillant derrière le rançongiciel Ryuk est parvenu à extorquer près de 150 millions de dollars américains à ses victimes.
https://www.lemondeinformatique.fr/actualites/lire-ryuk-assis-sur-un-pactole-de-150-m$-81583.html
Concernant les groupes sponsorisés par le gouvernement états-unien
Le rançongiciel n’est pas un outil de financement utilisé par les États-Unis. Le groupe de la menace Equation Group est généralement associé à la NSA et au programme Tailored Access Operations (TAO), une unité offensive majeure de cyber-espionnage.
Quels sont les autres opérations opérées : coupure d’approvisionnement (internet, électrique, etc.), destabilisation, espionnage
Concernant les groupes sponsorisés par le gouvernement chinois
Compromission d’infrastructures civiles et étatiques, souvent à grande échelle, dans les secteurs suivants :
- Santé et biomédical
- Télécommunications et fournisseurs de services Internet
- Aérospatial, défense et maritime
- Enseignement et recherche
à des fins d’espionnage, de vol de propriété intellectuelle et de soutien au développement industriel et technologique national
Les groupes impliqués sont :
- Salt Typhoon
- Brass Typhoon (APT41)
- Mulberry Typhoon (APT5)
Exemple concret : Début octobre 2024, les médias ont rapporté que des acteurs de la menace soutenus par l’État chinois et identifiés en tant que Salt Typhoon avaient infiltré des entreprises de télécommunications américaines (y compris des fournisseurs d’accès à Internet). Le gouvernement américain a depuis confirmé les actions de groupe de la menace et l’existence d’une enquête en cours sur ces piratages. Il est rapporté que ce n’est pas la première fois que la RPC s’en prend au secteur des communications américain, ce qui reflète une tendance à cibler ce secteur à la fois pour son rôle dans le fonctionnement d’autres secteurs et pour la valeur des systèmes et des données qu’il contient.
https://www.congress.gov/crs-product/IF12798
Compromission d’infrastructures industrielles (OT) critiques, notamment dans :
- Énergie
- Eau
- Télécommunications
à des fins de pré‑positionnement à long terme et pour être en capacité de perturber ou de détruite en cas de crise ou de conflit
Les groupes impliqués sont :
- Volt Typhoon (APT31)
Exemple concret : Le DOJ a annoncé avoir démantelé le botnet KV Botnet attribué à Volt Typhoon et utilisé pour dissimuler des intrusions dans des réseaux méthodiquement liés à des infrastructures critiques aux États‑Unis.
Opérations ciblant les institutions politiques et électorales, ayant pour objectif
- Collecte d’informations sensibles
- Surveillance d’acteurs politiques
- Préparation d’opérations d’influence
Les groupes impliqués sont :
- Violet Typhoon (APT31)
Exemple concret : Des membres du groupe APT31, associé au gouvernement chinois, ont été accusés d’intrusions informatique visant des détracteurs présumés de la Chine ainsi que des entreprises et politiciens américains. Plus de 10 000 courriels malveillants ont été envoyés, touchant des milliers de victimes sur plusieurs continents. Comme l’indique l’acte d’accusation rendu public aujourd’hui, cette opération de piratage informatique mondiale prolifique, soutenue par le gouvernement chinois, visait des journalistes, des responsables politiques et des entreprises afin de réprimer les détracteurs du régime chinois, de compromettre des institutions gouvernementales et de voler des secrets commerciaux.
Concernant les groupes sponsorisés par le gouvernement iranien
Opérations de dégradation de sites Internet visant à :
- Diffuser des messages politiques
- Revendiquer une présence idéologique
Les groupes impliqués sont :
- Rocket Kitten
Compromission d’organisations publiques et privées dans les secteurs suivants :
- Défense et personnel militaire
- Institutions financières
- Gouvernements nationaux et locaux
- Énergie, chimie, pétrole et gaz
- Transport, tourisme et hôtellerie
- Universités et centres de recherche
- Télécommunications
- Journalistes, ONG et organisations internationales (ex. OMS)
à des fins de collecte de renseignements politiques, militaires et économiques ainsi qu’une surveillance régionale et internationale
Les groupes impliqués sont :
- Rocket Kitten
- Helix Kitten (APT34 / OilRig)
- Remix Kitten (APT39)
- Charming Kitten (APT35)
Exemple concret : Selon les conclusions actuelles de l’Office fédéral pour la protection de la Constitution (BfV), des tentatives concrètes d’espionnage par le groupe persistant Charming Kitten contre des personnes et des organisations iraniennes en Allemagne sont en cours depuis la fin de l’année 2022. Les cyberattaques visaient principalement des organisations et des individus dissidents, tels que des avocats, des journalistes ou des militants des droits de l’Homme, à l’intérieur et à l’extérieur de l’Iran.
Concernant les groupes sponsorisés par le gouvernement nord-coréen
Compromission d’organisations civiles et étatiques, notamment :
- Gouvernements et agences publiques
- Groupes de réflexion et experts sectoriels
- Institutions éducatives
- Secteur des services aux entreprises
- Industrie manufacturière
à des fins de collecte de renseignements stratégiques et de soutien aux priorités diplomatiques et militaires
Les groupes impliqués sont :
- Ricochet Chollima (APT37)
- Labyrinth Chollima (Lazarus Group)
- Velvet Chollima (Kimsuky, APT43)
Exemple concret : Une alerte conjointe du FBI et de la NSA décrit que le groupe nord-coréen Kimsuky (alias APT43 / Velvet Chollima) utilise des campagnes de spear-phishing en se faisant passer pour des journalistes ou universitaires afin de voler des renseignements à des think tanks, centres de recherche, ONG et organisations médiatiques.
https://media.defense.gov/2023/Jun/01/2003234055/-1/-1/0/JOINT_CSA_DPRK_SOCIAL_ENGINEERING.PDF
Déploiement d’attaques destructrices (wipers, perturbations IT) contre :
- Agences gouvernementales sud‑coréennes
- Organisations militaires
- Entreprises privées, y compris internationales
en représailles à des prises de position publiques jugées hostiles à l’égard de la Corée du Nord
Les groupes impliqués sont :
- Silent Chollima (Andariel)
- Labyrinth Chollima (Lazarus Group)
Exemple concret : La cyberattaque de 2014 contre Sony Pictures Entertainment qui a effacé des données, détruit des systèmes et paralysé l’infrastructure IT de l’entreprise, a été attribuée par la justice américaine au groupe de la menace Lazarus (Labyrinth Chollima).
Campagnes ciblant directement des entités financières, notamment :
- Banques et institutions financières
- Casinos
- Échanges de cryptomonnaies
- Systèmes SWIFT
- Distributeurs automatiques de billets
- Industrie des cryptomonnaies
à des fins de génération de revenus pour l’État et de contournement des sanctions internationales
Les groupes impliqués sont :
- Stardust Chollima (APT38 / Bluenoroff)
- AppleJeus
- Labyrinth Chollima (Lazarus Group)
Exemple concret : Le 21 février 2025, Bybit a subi le plus grand vol de cryptomonnaie jamais enregistré, avec plus de 1,4 milliard de dollars américains d’actifs, dont 401347 ETH, vidés de son cold wallet. La compromission a été attribuée au groupe de la menace Labyrinth Chollima (Lazarus Group).
https://www.nccgroup.com/research-blog/in-depth-technical-analysis-of-the-bybit-hack/
Concernant les groupes sponsorisés par le gouvernement russe
Compromission d’infrastructures publiques et privées, incluant :
- Gouvernements et ambassades
- Instituts de recherche et think tanks
- Industrie pharmaceutique
- Enseignement supérieur
- Télécommunications
- Infrastructures critiques
- Aéronautique et défense
- Systèmes de contrôle industriels
- Réseaux gouvernementaux européens et OTAN
à des fins de renseignement militaire, diplomatique et technologique ainsi que d’avantage stratégique à long terme
- Ember / Bleeding Bear
- Berserk Bear (Dragonfly)
- Cozy Bear (APT29)
- Venomous Bear (Turla)
Exemple concret : Le groupe de la menace Cozy Bear (APT29) a accédé à l’infrastructure de développement logiciel de la société américaine SolarWinds, peut-être dès janvier 2019 selon son PDG, et a secrètement modifié le code source de son logiciel de gestion de réseau Orion afin de permettre des activités malveillantes ultérieures. La compromission a été découverte quelques mois plus tard en décembre 2020
https://www.dni.gov/files/NCSC/documents/SafeguardingOurFuture/SolarWinds%20Orion%20Software%20Supply%20Chain%20Attack.pdf https://www.intel471.com/blog/threat-hunt-deep-dives-solarwinds-supply-chain-compromise-solorigate-sunburst-backdoor
Opérations de déstabilisation, notamment :
- Hack‑and‑leak
- Fuites ciblées de données
- Influence sur processus électoraux
à des fins d’influence
Les groupes impliqués sont :
- Fancy Bear (APT28)
- Voodoo Bear (Sandworm)
Exemple concret : La diplomatie française condamne l’usage par le renseignement militaire russe (GRU) du mode opératoire Fancy Bear (APT28) dans plusieurs cyberattaques dont le piratage de la campagne présidentielle de 2017, qualifiée de tentative de déstabilisation
Déploiement d’attaques destructrices envers des réseaux électriques, des infrastructures gouvernementales et des systèmes industriels (ICS)
Les groupes impliqués sont :
- Voodoo Bear (Sandworm)
Exemple concret : Le 23 décembre 2015, une compromission a été attribuée au groupe de la menace Voodoo Bear (Sandworm) utilisant le malware BlackEnergy après une violation des systèmes d’information de trois distributeurs d’énergie en Ukraine qui a conduit à une interruption temporaire l’alimentation électrique de 80 000 clients.
Concernant les groupes sponsorisés par le gouvernement états-unien
TAO / ANT (Tailored Access Operations / Access Network Technology)
TAO est une constellation d’équipes offensives attribuée à la NSA et décrite comme une unité militaire cyber offensive dont les objectifs sont
- Implantation d’accès clandestins
- Exploitation d’infrastructures réseau
- Pré-positionnement stratégique
Les outils supposémment utilisés par ces équipes et documentés (ANT Catalog) sont :
- QUANTUMINSERT – injection réseau MITM
- FOXACID – serveur d’exploitation
- IRATEMONK – implant firmware disque
- VALIDATOR – persistance matérielle
https://cryptome.org/2013/12/nsa-tao-ant.pdf https://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969.html
Compromission d’organisations civiles, étatiques et industrielles ainsi que collecte massive de renseignements (SIGINT) et surveillance globale, notamment :
- Gouvernements et ministères étrangers
- Agences diplomatiques et organisations internationales
- Industrie de la défense et de l’aéronautique
- Énergie, nucléaire civil et militaire
- Télécommunications et fournisseurs d’accès Internet
- Recherche scientifique et industrielle
- Fournisseurs de services numériques et cloud
à des fins de collecte de renseignements stratégiques, diplomatiques, militaires et économiques, ainsi que de maintien d’un avantage informationnel et technologique à long terme
Les groupes / capacités impliqués sont :
- Equation Group
- NSA Tailored Access Operations (TAO / ANT)
Exemple concret : Les documents divulgués par Edward Snowden ont révélé l’existence de programmes étendus de surveillance électronique et de collecte de données par la NSA, incluant des accès à des communications Internet et téléphoniques globales via plusieurs dispositifs tels que :
- PRISM — accès aux données hébergées par des fournisseurs américains d’Internet.
- Collecte Upstream — interception des communications transitant par les principaux réseaux.
- Boundless Informant — outil de cartographie de métadonnées.
Opérations de sabotage cyber ciblé contre des systèmes industriels
- Installations nucléaires
- Infrastructures militaires sensibles
- Systèmes industriels critiques
à des fins de neutralisation de capacités stratégiques adverses, sans recours à un conflit armé conventionnel
Les groupes / opérations impliqués sont :
- Equation Group (attribution partielle)
- Opération Olympic Games (NSA, en coopération avec un allié)
Exemple concret : L’opération Olympic Games, attribuée aux États-Unis et à Israël, a conduit au déploiement du malware Stuxnet contre les centrifugeuses du site nucléaire iranien de Natanz, provoquant la destruction physique d’équipements industriels et retardant significativement le programme nucléaire iranien.
https://www.opex360.com/2012/06/02/cyberguerre-operation-olympic-games-contre-le-programme-nucleaire-iranien/ https://attack.mitre.org/software/S0603/
Extraterritorialité du droit américain (CLOUD Act / FISA / USD)
-
CLOUD Act : permet au gouvernement US de requérir l’accès à des données stockées à l’étranger si elles sont sous « possession, garde ou contrôle » d’un fournisseur américain, même si les serveurs sont localisés en Europe. Cela signifie que des données d’entreprises ou d’organisations européennes peuvent être légalement accessibles par les autorités américaines sans juridiction européenne.
-
FISA (Section 702) : des dispositions de la loi FISA permettent à la NSA et à d’autres agences américaines de cibler des personnes non-américaines à l’étranger dans le cadre de la sécurité nationale, ce qui pose des questions sur la « souveraineté numérique » et la protection des données.
https://www.irsem.fr/en/strategic-brief-no-70-2024.html
Quelles sont les conflits armées dans lesquels sont impliqués ces états / nations ?
Corée du Nord (RPDC)
- Guerre de Corée (1950–1953) : conflit toujours juridiquement non résolu (armistice uniquement) et de ce fait tensions militaires permanentes avec la Corée du Sud (DMZ, escarmouches navales, missiles)
- Soutien militaire à la Russie dans la guerre en Ukraine (munitions, missiles)
Russie (Fédération de Russie)
- Guerre en Ukraine (depuis 2014, invasion à grande échelle en 2022)
https://www.defense.gouv.fr/ukraine-point-situation
- Guerre en Géorgie (2008)
https://spds.fr/2025/04/22/linvasion-de-la-georgie-par-la-russie-en-2008/
- Présence au Mali, Burkina Faso et Niger gouvernés par des juntes militaires qui ont choisi la Russie comme support. Par exemple, au Mali, présence de la société privée paramilitaire Africa Corps
https://www.bbc.com/afrique/articles/cdj9vn40gm7o
Iran (République islamique d’Iran)
- Hezbollah / Liban & Israël : Hezbollah soutenu par l’Iran, impliqué dans le conflit intermittent avec Israël depuis 2023
Chine (République populaire de Chine)
- Avec Taïwan, fortes tensions et pressions militaires continues, avec exercices autour du détroit de Taïwan et escalade des discours sur une « réunification » parfois qualifiée d’objectif politique par Pékin
https://asialyst.com/fr/2026/01/03/etau-chinois-resserre-taiwan-pekin-temps-presse/
- La Chine revendique la quasi-totalité de la mer de Chine méridionale, la plaçant en conflit avec plusieurs de ses voisins, dont les Philippines et le Japon.
https://ici.radio-canada.ca/info/long-format/2216111/dix-conflits-surveiller-monde-2026-perspectives
USA
-
Guerre contre l’État islamique (ISIS / IS) et groupements terroristes - Syrie, Nigeria & régions voisines
- Opération Hawkeye Strike : depuis décembre 2025, campagne de frappes aériennes et opérations contre l’État islamique (ISIS) en Syrie, en réaction à des attaques contre des soldats américains. www.reuters.com/world/middle-east/us-military-says-it-carried-out-strikes-across-syria-targeting-islamic-state-2026-01-10
- Frappes contre l’État islamique : décembre 2025, les États‑Unis ont effectué des frappes aériennes ciblées au Nigeria contre des militants affiliés à l’État islamique et des groupes djihadistes, en coordination avec le gouvernement nigérian. Cette action fait partie de l’effort continu de lutte contre le terrorisme dans la région du Sahel et du bassin du lac Tchad. https://www.reuters.com/world/africa/us-launches-strikes-against-islamic-state-militants-northwest-nigeria-trump-says-2025-12-25/
-
Opérations dans la péninsule arabique / Yémen
Operation Rough Rider : les États‑Unis ont mené une série de frappes aériennes et navales contre les Houthis au Yémen dans le cadre de la crise régionale et des attaques sur la navigation commerciale dans la mer Rouge.
- Venezuela : intervention et capture de Nicolas Maduro (janvier 2026)
Début janvier 2026, les États‑Unis ont mené une opération militaire au Venezuela, entraînant l’arrestation du président Nicolás Maduro et de son épouse, dans un contexte de pression politique, économique et sécuritaire croissante.
Les victimes des groupes de rançongiciel sont elles des entreprises ou des collectivités territoriales ? Quels sont les domaines d’activité majeure de ces entreprises ?
Les victimes des rançongiciels sponsorisés par des États sont majoritairement des entreprises privées, mais peuvent aussi inclure des collectivités territoriales et des institutions publiques, surtout dans le cas d’attaques visant des infrastructures critiques ou des services essentiels.
| Pays / État sponsor | Rançon / Butin estimé | Type de victime |
|---|---|---|
| Chine | Faible / Non significatif (objectif espionnage) | Entreprises privées (technologie, industrie), infrastructures critiques ciblées pour espionnage |
| Iran | ~4 millions USD (Pay2Key) | Entreprises privées (finance, recherche, santé, technologie) |
| Corée du Nord | ~2,84 milliards USD (cryptomonnaies, rançons) | Entreprises financières, banques, casinos, plateformes crypto, institutions publiques |
| Russie (tolérance de l’État) | LockBit ~252 millions USD, Ryuk ~150 millions USD | Entreprises privées, infrastructures critiques, hôpitaux, administrations locales |