Et si, en plein cœur de l’hiver européen, des millions de foyers se retrouvaient soudain plongés dans le noir et le froid à cause d’une simple ligne de code malveillant ? C’est exactement le scénario cauchemardesque qu’a failli vivre la Pologne fin décembre 2025. Une attaque informatique d’une rare violence a visé son réseau énergétique, révélant une fois encore à quel point nos infrastructures critiques restent vulnérables face à des acteurs étatiques déterminés.

Ce qui aurait pu devenir l’une des plus graves perturbations énergétiques de l’histoire récente a été stoppé de justesse. Mais l’incident n’en reste pas moins extrêmement préoccupant : il montre que la guerre hybride russo-occidentale s’intensifie aussi dans le domaine numérique.

Quand le cyber devient une arme de guerre énergétique

Le 29 et 30 décembre 2025, des opérateurs polonais détectent des intrusions inhabituelles sur plusieurs systèmes de contrôle industriel. Rapidement, l’alerte est donnée : deux centrales de production de chaleur et d’électricité sont directement visées, tandis que des tentatives simultanées cherchent à couper les liaisons de communication entre parcs éoliens et distributeurs d’énergie.

Le ministre polonais de l’Énergie, Milosz Motyka, n’hésitera pas à qualifier l’attaque de « la plus puissante » jamais enregistrée contre les infrastructures énergétiques du pays ces dernières années. Selon certaines estimations relayées par la presse locale, une réussite totale aurait pu priver de chauffage et d’électricité au moins 500 000 foyers pendant plusieurs heures, voire plusieurs jours.

« Nos défenses ont fonctionné. À aucun moment l’infrastructure critique n’a été réellement menacée. »

Donald Tusk, Premier ministre polonais

Malgré cette déclaration rassurante, l’inquiétude est palpable à Varsovie. Car derrière cette tentative se cache un acteur bien connu des spécialistes en cybersécurité : le groupe Sandworm.

Sandworm : les saboteurs numériques du GRU

Sandworm n’est pas un groupe de hackers lambda. Il s’agit d’une unité militaire rattachée à la direction principale du renseignement de l’état-major des forces armées russes (GRU). Depuis plus de dix ans, ce collectif est associé aux opérations numériques les plus destructrices menées par Moscou.

Le nom Sandworm évoque d’ailleurs directement l’univers de Dune : comme le ver des sables capable d’anéantir des infrastructures entières, ce groupe excelle dans les attaques visant à paralyser des systèmes vitaux. Parmi ses faits d’armes les plus marquants :

  • Les blackouts de 2015 et 2016 en Ukraine (plus de 230 000 foyers privés d’électricité à Kiev en 2015)
  • L’attaque NotPetya en 2017 (considérée comme l’une des cyberattaques les plus coûteuses de l’histoire)
  • Plusieurs vagues de malwares destructeurs contre des cibles ukrainiennes depuis 2022

L’épisode polonais de décembre 2025 s’inscrit donc dans une longue série. Presque jour pour jour dix ans après le premier blackout ukrainien de Noël 2015, Sandworm semble avoir voulu rééditer son « coup » en direction d’un pays frontalier de l’Ukraine et membre actif de l’OTAN et de l’Union européenne.

DynoWiper : le nouveau visage de la destruction numérique

Les chercheurs d’ESET, l’un des leaders mondiaux de la cybersécurité, ont réussi à obtenir un échantillon du malware déployé lors de cette opération. Ils l’ont baptisé DynoWiper. Comme son nom l’indique, il s’agit d’un wiper : un logiciel malveillant conçu pour rendre irrécupérables les données des machines infectées.

Contrairement à un rançongiciel classique qui chiffre les fichiers pour exiger une rançon, le wiper ne cherche qu’une chose : détruire. Une fois lancé, il efface les partitions, corrompt les structures de fichiers et empêche tout redémarrage normal du système. Dans un contexte industriel, les conséquences peuvent être catastrophiques.

Les experts d’ESET attribuent avec une « confiance moyenne » ce malware à Sandworm, en raison de nombreuses similitudes techniques avec d’autres outils développés par le groupe au fil des années. Parmi les indices les plus parlants : des routines de destruction très proches de celles observées dans les précédentes attaques contre le secteur énergétique ukrainien.

Pourquoi la Pologne ? Contexte géopolitique explosif

Depuis le début de l’invasion russe en Ukraine en février 2022, la Pologne est devenue l’un des pays les plus actifs dans le soutien à Kiev. Livraisons massives d’armement, accueil de plusieurs millions de réfugiés ukrainiens, rôle de hub logistique pour l’aide occidentale… Varsovie est perçue à Moscou comme l’un des ennemis les plus dangereux de la région.

Ajoutez à cela l’adhésion ferme de la Pologne aux sanctions contre la Russie, son rôle croissant au sein de l’OTAN et ses déclarations très tranchées contre le Kremlin, et vous obtenez le cocktail parfait pour figurer en haut de la liste des cibles prioritaires russes.

L’attaque de décembre 2025 peut donc être lue comme un message clair : « Nous pouvons vous atteindre chez vous, même sans envoyer de chars à la frontière. »

Les infrastructures énergétiques : le talon d’Achille de l’Europe

Le secteur de l’énergie est particulièrement exposé aux cybermenaces pour plusieurs raisons :

  • Systèmes de contrôle industriels (SCADA) souvent anciens et peu patchés
  • Connexion croissante des réseaux OT (opérationnel) et IT (informatique)
  • Augmentation massive des renouvelables et donc des points d’entrée distants
  • Manque criant de segmentation et de monitoring en temps réel sur de nombreux sites
  • Difficulté à appliquer des mises à jour critiques sans arrêter la production

La tentative polonaise illustre parfaitement cette vulnérabilité. Les attaquants n’ont pas seulement visé les centrales classiques : ils ont également cherché à perturber les communications avec les parcs éoliens, montrant une compréhension fine de la transition énergétique en cours dans le pays.

Les leçons à retenir pour les autres pays européens

Cet incident doit servir d’électrochoc à l’ensemble du continent. Parmi les mesures urgentes à envisager :

  1. Segmenter physiquement ou logiquement les réseaux OT et IT
  2. Renforcer massivement la détection d’intrusion sur les systèmes industriels
  3. Former et sensibiliser en continu les opérateurs de terrain
  4. Mettre en place des exercices de crise cyber-réels à grande échelle
  5. Accélérer la sécurisation des chaînes d’approvisionnement logicielles
  6. Créer des capacités de réponse rapide nationales coordonnées au niveau européen

La résilience énergétique ne passe plus seulement par la diversification des sources ou le stockage : elle passe aussi – et surtout – par la cybersécurité.

Vers une nouvelle ère de sabotage numérique d’État ?

Ce qui frappe dans l’opération polonaise, c’est son timing. Juste avant les fêtes de fin d’année, période où les équipes de maintenance sont souvent réduites et la vigilance moindre. Une stratégie déjà employée avec succès en Ukraine en 2015.

Le message implicite est glaçant : les acteurs étatiques ne se contentent plus d’espionner ou de voler des données. Ils sont désormais prêts à détruire physiquement des capacités critiques via le numérique, même sur le sol de pays de l’OTAN.

Et si la prochaine cible n’était plus une ancienne république soviétique, mais un grand pays d’Europe de l’Ouest ? Les scénarios les plus pessimistes évoquent déjà des blackouts ciblés dans des métropoles majeures, des paralysies de raffineries ou de terminaux gaziers, voire des perturbations massives des réseaux ferroviaires et portuaires.

Conclusion : la guerre invisible est déjà là

La tentative d’attaque contre la Pologne fin 2025 n’est pas un simple incident de cybersécurité parmi d’autres. Elle marque une nouvelle étape dans la normalisation de l’usage offensif du cyber par des États contre des infrastructures vitales de pays tiers.

Alors que l’Europe cherche à accélérer sa transition énergétique et à réduire sa dépendance aux énergies fossiles russes, elle découvre que cette transition crée aussi de nouvelles surfaces d’attaque. Le paradoxe est cruel : plus nous devenons interconnectés et décarbonés, plus nous devenons potentiellement vulnérables aux wipers et aux saboteurs numériques.

Une chose est sûre : les prochaines années seront décisives pour savoir si nos sociétés modernes sauront se protéger efficacement contre cette menace sourde et permanente. Car la prochaine tentative pourrait ne pas échouer.

(environ 3400 mots)

avatar d’auteur/autrice
Steven Soarez
Passionné et dévoué, j'explore sans cesse les nouvelles frontières de l'information et de la technologie. Pour explorer les options de sponsoring, contactez-nous.
Voir la biographie complète

Tags:

, , , ,