Le 28 février 2026, les États-Unis et Israël lancent l'opération Epic Fury, une série de frappes aériennes coordonnées sur les sites nucléaires et militaires iraniens. En quelques heures, un second front s'ouvre dans le cyberespace. Des dizaines de collectifs de hackers pro-iraniens passent à l'offensive, ciblant les infrastructures numériques des pays de la coalition et de leurs alliés. Deux semaines plus tard, le bilan est déjà considérable : selon le rapport publié le 5 mars par Unit 42, la branche de recherche en cybermanaces de Palo Alto Networks, plus de 60 groupes hacktivistes distincts ont été identifiés, et 149 attaques par déni de service (DDoS, une technique qui consiste à submerger un serveur de requêtes pour le rendre inaccessible) ont touché 110 organisations dans 16 pays.
→ Guerre Iran J19 : le point complet · South Pars frappé : pourquoi le gaz européen flambe
Qui sont les hackers pro-iraniens ?
Contrairement à ce que pourrait laisser penser leur label « hacktiviste », ces groupes ne sont pas tous des collectifs amateurs. Plusieurs d'entre eux entretiennent des liens documentés avec l'appareil sécuritaire iranien. Le plus emblématique est Handala Hack, un collectif rattaché au MOIS (ministère iranien du Renseignement et de la Sécurité), spécialisé dans l'exfiltration de données et les opérations de déstabilisation contre l'établissement politico-militaire israélien. C'est ce même groupe qui a revendiqué, le 11 mars 2026, l'attaque contre le géant américain de l'équipement médical Stryker, affirmant avoir effacé les données de plus de 200 000 systèmes dans 79 pays et dérobé 50 téraoctets de données.
D'autres groupes complètent cet écosystème offensif. DieNet s'est spécialisé dans les attaques DDoS contre les aéroports (Bahreïn, Arabie saoudite) et les infrastructures civiles, revendiquant notamment un accès aux données de paie d'un distributeur d'électricité jordanien. Dark Storm Team opère au Bahreïn, en Israël, au Koweït, en Arabie saoudite et aux Émirats arabes unis. Le 313 Team (Résistance cyber islamique en Irak) a ciblé le site des forces armées koweïtiennes et le ministère de la Défense du Koweït. Enfin, Keymous+, un collectif nord-africain, a lancé des opérations DDoS contre des opérateurs télécoms israéliens.
Des capacités étatiques en embuscade
Derrière ces façades hacktivistes se trouvent également des groupes de menace persistante avancée (APT, pour Advanced Persistent Threat : des équipes de hackers hautement qualifiés, souvent liés à un État, capables de s'infiltrer discrètement dans un réseau et d'y rester pendant des mois). Selon le rapport de Trellix publié en mars 2026, MuddyWater (lié au ministère iranien du Renseignement), actif depuis 2017, a considérablement sophistiqué son arsenal en 2025-2026. Le groupe est passé de l'utilisation d'outils d'administration à distance commerciaux à des malwares (logiciels malveillants) sur mesure comme BugSleep, StealthCache ou encore des implants codés en Rust (un langage de programmation réputé pour sa sécurité mémoire), notamment RustyWater et CHAR. Sa cible privilégiée : les gouvernements, les opérateurs de télécommunications, les institutions financières et les infrastructures critiques (réseaux énergétiques, transport, santé).
Charming Kitten, un autre APT iranien, privilégie quant à lui l'ingénierie sociale : entre juin et août 2025, le groupe a ciblé des universitaires et experts américains spécialisés sur l'Iran en se faisant passer pour du personnel de think tanks, avant de rediriger ses victimes vers des pages de vol d'identifiants.
L'Europe dans le viseur : pourquoi les alliés sont concernés
Si les premières vagues d'attaques ont visé principalement le Moyen-Orient — Koweït (28 % des attaques recensées), Israël (27 %) et Jordanie (21,5 %) selon les données de Sophos — la géographie des cibles s'élargit. Dès le 5 mars 2026, des campagnes parallèles de DDoS, de fuites de données et de sondage d'infrastructures ont été détectées aux États-Unis, en Inde, au Pakistan, puis en Europe.
La logique est géopolitique. Les pays européens qui soutiennent la coalition américano-israélienne, ou qui hébergent des bases militaires américaines, constituent des cibles de représailles logiques pour les groupes alignés sur Téhéran. Europol a averti que les capacités cyber iraniennes pouvaient avoir des « répercussions immédiates » pour les nations de l'Union européenne. Les analystes anticipent que ces groupes pourraient chercher à perturber les chaînes d'approvisionnement en ciblant les gouvernements et entreprises situés à proximité des bases militaires américaines via des campagnes DDoS ou des opérations de type « hack-and-leak » (piratage suivi de la divulgation publique de données volées).
L'alliance cyber Iran-Russie
Un phénomène nouveau aggrave la menace : la jonction entre hacktivistes pro-iraniens et groupes pro-russes. Le collectif NoName057(16), connu pour ses attaques DDoS contre des cibles européennes depuis le début de la guerre en Ukraine, a déclaré sa solidarité avec l'Iran et lancé des attaques contre des cibles israéliennes sous le hashtag #OpIsrael. La Cyber Islamic Resistance a méné des opérations conjointes avec NoName057(16) contre un contractant de défense israélien et plusieurs gouvernements municipaux.
Cette convergence n'est pas anodine. NoName057(16) et d'autres groupes pro-russes ont, par le passé, ciblé des autorités suédoises, des sites bancaires, plus de 250 entreprises et institutions allemandes, ainsi que des organisations liées au sommet de l'OTAN de juin 2025. Selon Unit 42, des groupes liés à l'Iran ont également été repérés en contact avec des courtiers d'accès initial (initial access brokers, des criminels qui vendent l'accès à des réseaux déjà compromis) sur des forums de cybercriminalité russes. Cette division du travail — l'Europe pour les pro-russes, le Moyen-Orient pour les pro-iraniens — tend désormais à s'effacer au profit d'une coordination transversale.
L'attaque Stryker : un signal d'alerte pour le secteur médical
L'attaque la plus retentissante à ce jour est celle qui a frappé Stryker, le géant américain des équipements médicaux (plus de 25 milliards de dollars de chiffre d'affaires en 2025, présent dans 61 pays, touchant 150 millions de patients par an). Le 11 mars 2026, les employés de Stryker ont soudainement perdu l'accès aux réseaux internes, aux logiciels et aux communications de l'entreprise. Le logo de Handala Hack est apparu sur les écrans de connexion.
Le groupe a revendiqué l'opération comme un acte de représailles pour la frappe du 28 février sur une école de la ville iranienne de Minab, qui aurait causé la mort de plus de 170 personnes, principalement des écolières. Stryker a confirmé une « perturbation réseau mondiale de son environnement Microsoft », tout en précisant n'avoir « aucune indication de rançongiciel ou de malware » et estimer l'incident « contenu ». Handala affirme toutefois avoir utilisé un wiper (un logiciel destructeur qui efface définitivement les données, contrairement à un rançongiciel qui les chiffre pour exiger une rançon).
Ce type d'attaque contre le secteur de la santé n'est pas sans précédent, mais son ampleur inquiète les spécialistes. Un équipement médical connecté inaccessible peut retarder des interventions chirurgicales ou compromettre le suivi de patients. Des groupes liés à l'Iran suivis par Unit 42 ont également revendiqué des attaques contre des cibles dans les secteurs de la banque, des infrastructures pétrolières et des aéroports en Jordanie, en Arabie saoudite, aux Émirats et au Koweït.
La France et le Royaume-Uni en alerte
Le 2 mars 2026, le NCSC (National Cyber Security Centre), l'agence britannique de cybersécurité, a publié un avis de sécurité spécifique sur le risque de recrudescence des cyberattaques liées à l'Iran. L'agence a estimé qu'il n'y avait « probablement pas de changement significatif de la menace cyber directe de l'Iran contre le Royaume-Uni », mais a souligné un « risque accru de menace indirecte » pour les organisations ayant une présence ou des chaînes d'approvisionnement au Moyen-Orient. Le NCSC a appelé les organisations britanniques à revoir leurs défenses contre les attaques DDoS, les campagnes de phishing (hameçonnage, technique visant à piéger l'utilisateur pour qu'il divulgue ses identifiants) et les attaques ciblant les systèmes de contrôle industriel (ICS).
En France, le directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), Vincent Strubel, a déclaré le 11 mars que la France « se prépare à des attaques destructrices sur des infrastructures critiques » dans un contexte d'« escalade géopolitique ». L'ANSSI n'a pas observé, à cette date, de « vague » de cyberattaques liées à des intérêts iraniens sur le territoire français, mais n'exclut pas que « des acteurs alignés sur les intérêts iraniens puissent se mobiliser à des fins hacktivistes ». Les préoccupations portent au-delà de l'espionnage : l'agence craint des activités de « sabotage, destruction et déstabilisation ».
→ Détroit d’Ormuz : Trump presse ses alliés
Comparaison avec la cyberguerre russe en Ukraine : un modèle différent
Le parallèle avec les cyberattaques russes qui ont accompagné l'invasion de l'Ukraine en février 2022 s'impose, mais les spécialistes pointent des différences structurelles. La Russie avait déployé des opérations de prépositionnement pendant des mois avant l'invasion, avec des logiciels de type wiper (comme HermeticWiper ou WhisperGate) ciblant les administrations et opérateurs d'énergie ukrainiens. Les groupes étatiques russes (APT28, APT29, Sandworm) ont mené des campagnes sophistiquées d'espionnage et de sabotage, documentées par Google et iVerify jusqu'en mars 2026 avec le kit d'exploitation Coruna, composé de 23 exploits répartis en cinq chaînes d'attaques distinctes.
Les opérations iraniennes suivent un schéma différent. La destruction d'une partie de l'infrastructure internet iranienne par les frappes du 28 février a, paradoxalement, limité la capacité des acteurs étatiques iraniens à coordonner des attaques sophistiquées à court terme, selon Unit 42. Ce sont donc les groupes hacktivistes et les proxys cyber qui ont pris le relais, avec des opérations de moindre sophistication technique (DDoS, défacement de sites web, fuites de données) mais de grande visibilité médiatique. Le risque, soulignent les analystes, est que les APT iraniens reconstituent progressivement leurs capacités et lancent des attaques plus destructrices dans les semaines à venir.
Comment se protéger : les recommandations des agences
Le NCSC britannique, la CISA américaine (Cybersecurity and Infrastructure Security Agency) et l'ANSSI convergent sur un socle de mesures prioritaires pour les organisations exposées :
Renforcer la surveillance réseau. Augmenter le monitoring des flux entrants, en particulier pour détecter les signatures de DDoS et les tentatives de phishing liées au conflit.
Réévaluer la surface d'attaque externe. Vérifier les ports ouverts, les services exposés sur internet et les accès VPN (réseau privé virtuel), cibles privilégiées des APT iraniens comme Parisite/Pioneer Kitten, spécialisé dans le vol d'identifiants VPN.
Activer l'authentification multifacteur (MFA). Seules 26 % des PME françaises ont adopté le MFA selon l'ANSSI, alors que cette mesure bloque la grande majorité des attaques par vol d'identifiants.
Patcher les systèmes de contrôle industriel. Les organisations gérant des infrastructures critiques (énergie, eau, transport, santé) doivent vérifier en priorité la sécurité de leurs systèmes SCADA (systèmes de contrôle et d'acquisition de données, utilisés pour piloter les équipements industriels à distance) et ICS.
Auditer les chaînes d'approvisionnement. Les entreprises européennes ayant des fournisseurs ou des filiales au Moyen-Orient sont particulièrement exposées aux attaques par rebond (supply chain attack, où l'attaquant vise un prestataire pour atteindre sa cible finale).
Ce qui pourrait se passer dans les semaines à venir
Les services de renseignement américains ont intensifié leurs avertissements le 10 mars 2026, évoquant un risque d'attaques de représailles iraniennes sur le territoire américain et celui de ses alliés. Le Centre canadien pour la cybersécurité a émis un bulletin spécifique sur la menace cyber iranienne en réponse aux frappes américano-israéliennes.
Deux scénarios préoccupent les analystes. Le premier est la reconstitution des capacités des APT étatiques iraniens (MuddyWater, Charming Kitten, Parisite), temporairement désorganisés par les coupures d'internet, qui pourraient lancer des opérations de sabotage ciblé contre des infrastructures critiques européennes. Le second est la montée en puissance de la coalition cyber irano-russe, qui dispose déjà d'une expérience éprouvée du ciblage d'institutions européennes.
Le conflit au Moyen-Orient a ouvert un front cyber dont la portée dépasse désormais le théâtre d'opérations. Pour les organisations européennes, le temps n'est plus à la veille passive mais à la préparation active.
→ Les marchés face à la guerre · Israël annonce une « phase décisive » · Qatar sous les missiles iraniens · Iran 2026 : le bilan humain que personne ne compte
