Le secteur de la recherche et des think tanks est aujourd’hui en première ligne face à des menaces cyber de plus en plus diversifiées et persistantes. Ces entités, qui jouent un rôle crucial dans la production de connaissances stratégiques et techniques, sont devenues des cibles de choix pour des attaquants motivés par des objectifs variés, allant de l’espionnage à la déstabilisation. Les cyberattaques, portées par des groupes liés à des états ou par des cybercriminels opportunistes, illustrent l’évolution constante des menaces pesant sur ce secteur.
Selon le rapport du CERT-FR, le nombre d’attaques ciblant ces entités a connu une hausse de 30 % en 2023 par rapport à l’année précédente, soulignant une intensification inquiétante. Cette augmentation s’explique notamment par la montée des tensions géopolitiques et l’intérêt stratégique accru pour les données détenues par ces organisations.
“La montée des tensions géopolitiques alimente les cyberattaques”
Les groupes d’attaquants liés à des puissances étrangères concentrent leurs efforts sur les entités détenant des informations sensibles ou stratégiques. Parmi les exemples récents, l’ANSSI a traité une compromission majeure impliquant APT28, lié au renseignement militaire russe. En 2023, ce groupe a accédé aux environnements Cloud d’un think tank français, ciblant des informations stratégiques sensibles. L’utilisation d’hameçonnage et de vulnérabilités démontre leur persistance et leur expertise dans la collecte de renseignements. Cette compromission montre aussi l’interconnexion croissante entre la sécurité des think tanks et des organisations publiques, souvent partageant des données critiques via des infrastructures partagées. Les rapports mettent également en lumière l’utilisation d’attaques en chaîne, où la compromission d’un acteur secondaire peut ouvrir des brèches dans des cibles plus stratégiques.
La Chine se distingue également par des opérations massives. Le mode opératoire APT31, observé en 2021, a permis de cibler plusieurs entités publiques françaises et leurs partenaires. Les investigations ont révélé une exfiltration massive de données scientifiques et techniques, incluant des projets relatifs à l’intelligence artificielle et à la recherche en matière de chiffrement. Une particularité de ces attaques est leur capacité à rester longtemps indétectées grâce à des outils sophistiqués comme des backdoors implantées dans les systèmes compromis. Les cibles incluent également des start-ups technologiques, mettant en péril des innovations stratégiques.
“Les start-ups technologiques en première ligne”
En 2022, une entreprise française spécialisée dans les technologies quantiques a été ciblée par ce même groupe, compromettant des brevets sensibles et des informations sur des projets de défense collaboratifs européens. Selon le rapport, l’appétit de la Chine pour ces données sensibles s’inscrit dans une stratégie à long terme de domination technologique mondiale.
La Corée du Nord, soumise à de lourdes sanctions internationales, multiplie les campagnes ciblant les experts en non-prolifération nucléaire. En 2023, Kimsuky, un mode opératoire nord-coréen, a compromis un haut cadre d’un think tank européen via une fausse demande d’interview. Ce type d’attaque, exploitant l’ingénierie sociale, est régulièrement documenté pour des campagnes à grande échelle. L’utilisation d’avatars numériques sur les réseaux sociaux pour établir des relations avec des cibles est une autre méthode courante, montrant une évolution dans les approches pour contourner les défenses traditionnelles. Ces actions visent à s’approprier des informations critiques qui peuvent être utilisées pour contourner les sanctions internationales ou améliorer les capacités militaires de Pyongyang.
Outre l’espionnage, les attaques à finalité de déstabilisation ont pris de l’ampleur depuis le début de la guerre en Ukraine. Les hacktivistes pro-russes, comme le groupe Killnet, mènent des campagnes DDoS sur des organismes académiques européens. Dans un autre contexte, des groupes pro-ukrainiens ciblent les centres de recherche russes, dévoilant parfois des données stratégiques sensibles dans des opérations dites « hack and leak ». Les cibles varient de grands centres universitaires à des instituts technologiques travaillant sur des projets liés à la défense. Le rapport du CERT-FR souligne que ces attaques, bien qu’ayant une portée technique limitée, causent des dommages d’image et perturbent les processus de recherche. En 2023, une université polonaise a été paralysée pendant deux semaines à la suite d’une attaque DDoS coordonnée, entraînant des retards dans des projets de recherche financés par l’Union européenne.
“Des attaques par rançongiciel”
Les motivations lucratives ne sont pas épargnées. En 2024, plusieurs universités et think tanks européens ont signalé des attaques par rançongiciel. Ces attaques exploitent souvent des failles humaines ou techniques, comme des mots de passe faibles ou des vulnérabilités dans les logiciels de gestion. L’Université de Neuchâtel, en Suisse, a perdu plusieurs gigaoctets de données critiques, impactant durablement ses projets académiques. L’augmentation des « big game hunting » dans ce secteur indique une adaptation des cybercriminels à viser des institutions ayant potentiellement accès à des budgets importants, même si ces entités restent généralement sous-financées. Selon les estimations, les rançons demandées dans ce secteur dépassent fréquemment les 500 000 euros, ce qui reflète l’importance accordée aux données stratégiques et leur valeur sur les marchés clandestins.
Les infrastructures cloud et les plateformes collaboratives sont des vecteurs privilégiés pour les cybercriminels. Le vol de cookies de session ou de jetons d’authentification est en hausse, facilitant l’accès aux données sensibles. L’ANSSI met en garde contre l’utilisation de services cloud soumis à des législations extra-territoriales, augmentant le risque de compromission. Ces attaques posent des problèmes uniques dans les cas où des think tanks utilisent des services cloud américains pour stocker des données sur des projets stratégiques européens, créant un risque juridique en plus de la menace technique. En 2023, une faille dans un service collaboratif a permis l’exfiltration de plans stratégiques concernant la transition énergétique d’un grand pays européen, mettant en lumière l’importance des audits réguliers de sécurité. Les systèmes d’authentification à jeton unique (SSO) mal configurés figurent également parmi les failles les plus exploitées dans ces environnements.
“Une gouvernance européenne nécessaire”
La protection des think tanks et des centres de recherche repose sur une collaboration étroite entre les états, les institutions académiques et les experts en cybersécurité. L’échange d’informations sur les menaces émergentes, notamment via des plateformes comme le CERT-FR, joue un rôle clé dans la prévention des attaques. Le rapport souligne également la nécessité d’une gouvernance européenne renforcée, avec une harmonisation des politiques de cybersécurité entre les pays membres. Dans un monde où la guerre de l’information s’intensifie, ces entités doivent devenir des remparts numériques pour préserver leur rôle dans l’avancement stratégique et scientifique. Les actions coordonnées entre états, secteur privé et académique restent la clé pour réduire les vulnérabilités systémiques.
Source : Organismes de recherche et think tanks – État de la menace informatique