Intelligence des risques

Fraudes Cyber. L’infiltration par la confiance. Les réponses de l'Union Européenne


Jacqueline Sala
Vendredi 10 Juillet 2026


En quelques mois, le chronomètre de la cybersécurité s’est brisé. Les attaques ne suivent plus le rythme des équipes de défense, elles le précèdent. Fraudes millimétrées, exfiltrations en un clin d’œil, infiltrations par la supply chain : le paysage des menaces bascule dans une accélération qui rend les réflexes humains caducs. Alors regardons, à travers des cas concrets, comment la vitesse est devenue l’arme absolue des attaquants et pourquoi les organisations doivent réinventer leur défense.



Fraudes Cyber. L’infiltration par la confiance. Les réponses de l'Union Européenne

Quand la fraude se joue en temps réel

La scène se déroule dans une salle de visioconférence où tout semble normal. Un directeur financier échange avec un interlocuteur qu’il connaît, dont il reconnaît la voix, les tics de langage, les références contractuelles. Pourtant, l’homme n’existe pas. L’attaque repose sur une imitation parfaite, mais surtout sur une compréhension fine du contexte transactionnel. L’escroquerie se conclut par un virement de 25 millions de dollars, validé par des collaborateurs expérimentés qui n’ont jamais perçu la faille. La tromperie n’est plus un art artisanal, c’est une mécanique logique capable d’orchestrer une interaction cohérente de bout en bout.

Dans les centres opérationnels de sécurité, une autre réalité s’impose : le délai médian entre l’accès initial et l’exfiltration complète des données est tombé à 72 minutes. À peine une alerte de niveau 1 est-elle émise que l’attaquant a déjà disparu, laissant derrière lui un réseau vidé de ses informations sensibles. Les processus de détection manuels, conçus pour des attaques lentes, se retrouvent hors‑jeu.

Les opérations de fusion‑acquisition deviennent elles aussi des terrains de chasse. En analysant les configurations API et les habitudes d’accès, les attaquants s’immiscent dans les échanges internes, injectent des instructions frauduleuses au moment exact où la vigilance se relâche, et manipulent des transactions stratégiques sans jamais déclencher de suspicion.
L’usurpation n’est plus une imitation, c’est une intrusion dans la logique applicative.


Enfin, l’infiltration par la supply chain bouleverse les défenses périmétriques. Une mise à jour logicielle de confiance, une dépendance open‑source compromise, et l’adversaire se retrouve au cœur de l’infrastructure sans avoir eu à franchir la moindre barrière. Le périmètre n’est plus forcé, il est contourné par la confiance elle‑même.

La visioconférence truquée : quand l’arnaque devient une scène parfaitement jouée

La fraude à 25 millions de dollars n’a pas marqué les esprits uniquement par son montant.

Ce qui sidère les enquêteurs, c’est la cohérence de l’échange. L’attaquant ne se contente pas d’un visage synthétique ou d’une voix imitée. Il déroule une conversation crédible, ponctuée de références contractuelles exactes, de détails opérationnels que seuls les initiés connaissent, et d’un timing impeccable. La victime n’a jamais eu l’impression de parler à autre chose qu’à son supérieur. La tromperie n’est plus un déguisement, c’est une immersion totale.

Cette capacité à maintenir une cohérence logique transforme la fraude en interaction fluide. Les collaborateurs ne repèrent plus les signaux faibles, car l’attaque ne laisse plus de place à l’erreur humaine. Elle s’adapte, reformule, relance, comme un interlocuteur aguerri.


72 minutes pour vider un réseau : la vitesse comme arme

Les SOC européens observent une statistique qui glace : 72 minutes entre l’accès initial et l’exfiltration complète des données. Ce délai médian signifie que la plupart des attaques sont terminées avant même que les équipes ne déclenchent une procédure d’alerte. Les outils traditionnels, conçus pour des intrusions progressives, se retrouvent face à des opérations éclairs.


Dans plusieurs incidents récents, les attaquants ont pénétré un réseau via une faille mineure, identifié les serveurs sensibles, exfiltré les données et effacé leurs traces avant que le premier analyste ne puisse ouvrir son tableau de bord. La détection humaine devient un luxe que la temporalité des attaques ne permet plus.


L’humain reste le pilote

Automatiser la défense ne signifie pas évincer l’humain. Les équipes doivent évoluer vers des rôles de supervision, capables de piloter des flux automatisés plutôt que d’exécuter des tâches manuelles devenues impossibles. Les organisations doivent investir dans des plateformes de détection capables de corréler les signaux en temps réel, avec un objectif clair : ramener le délai de réaction à la minute.

Le temps de réaction s’est effondré. Pour survivre, il faut reconstruire une défense qui pense et agit à la vitesse de l’attaque.

L’usurpation dans les opérations M&A : l’attaque qui comprend la logique métier

Les transactions de fusion‑acquisition sont devenues des terrains privilégiés. Les attaquants analysent les configurations API, les habitudes d’accès, les séquences de validation internes. Ils ne se contentent pas d’envoyer un faux email : ils injectent une instruction frauduleuse au moment exact où la vigilance se relâche, souvent lors d’un échange interne tardif ou d’une mise à jour documentaire.

Dans un cas récent, une instruction de transfert a été insérée dans un workflow automatisé, parfaitement alignée avec les étapes précédentes. Aucun analyste n’a détecté l’anomalie, car l’attaque respectait la logique applicative du processus. L’usurpation n’est plus une imitation, c’est une intrusion dans la mécanique décisionnelle.

La supply chain comme cheval de Troie : l’infiltration par la confiance

Les attaques « Inside-Out » bouleversent les défenses. Une mise à jour logicielle compromise, une dépendance open‑source infectée, et l’adversaire se retrouve directement au cœur de l’infrastructure. Le périmètre n’est pas forcé, il est contourné par la confiance.

Dans plusieurs incidents européens, des bibliothèques open‑source utilisées dans des applications internes ont servi de vecteur d’intrusion. Les équipes n’ont rien vu venir : la mise à jour était légitime, signée, validée. L’attaque a profité de la chaîne d’approvisionnement pour s’installer sans déclencher d’alerte.

Pourquoi ces fraudes changent tout. Les réponses de l'Union Européenne.

Ces attaques ne reposent plus sur la ruse humaine, mais sur une orchestration computationnelle capable de comprendre les environnements, d’anticiper les réactions et d’exécuter des actions en quelques minutes. La découverte de vulnérabilités est devenue industrielle, la remédiation reste limitée par les processus humains. 

Le rapport de force s’inverse : l’attaque est automatisée, la défense ne l’est pas encore. 

La résilience de l'Union repose sur l'activation pleine et entière des cadres légaux (NIS2, CRA, AI Act). Le GPAI Code of Practice , appliqué depuis août 2025, est essentiel pour contraindre les modèles systémiques à des standards de sécurité élevés. Pour combler le fossé de vélocité, l'UE doit s'appuyer sur des multiplicateurs de force tels que la Single Reporting Platform (SRP) du CRA et l'EU Vulnerability Database (EUVD).

L’Union européenne dispose aujourd’hui d’un ensemble cohérent de dispositifs

  • NIS2 pour la discipline,
  • CRA pour la sécurité des produits,
  • DORA pour la finance,
  • ENISA / CERT‑EU / CSIRTs pour l’opérationnel,
  • CyCLONe / JCU pour la gestion de crise,
  • ECCC pour la souveraineté technologique.

#Europe_Cybersecurity #EU_Digital_Resilience #Brussels_Cyber_Policy #European_Threat_Intelligence #EU_Supply_Chain_Security #ENISA_Europe #CERT_EU_Operations #EU_Cyber_Regulation #NIS2_Europe #Cyber_Europe_Network