Cyberattaques russes : l’UE sanctionne le FSB, Paris convoque l’ambassadeur
Neuf pays européens ciblés depuis 2010, la Pologne a frôlé le blackout
L'Union européenne a sanctionné le 13 juillet 2026 neuf individus et quatre entités russes pour une décennie d'espionnage et de sabotage cyber. La France a convoqué l'ambassadeur de Russie à Paris.
- L'UE sanctionne 9 individus et 4 entités russes, dont le 16e Centre du FSB et son unité 61240.
- Neuf pays européens ciblés depuis 2010 France, Allemagne, Pologne, Chypre, Pays-Bas, Autriche, Slovaquie, Roumanie, Finlande.
- La Pologne a évité un blackout de 500 000 foyers en décembre 2025 grâce à la détection de l'attaque FSB.
- En France, le ministère des Armées (2017), l'ambassade à Moscou (2018), un serveur judiciaire (2019) et un institut de défense (2025) ont été compromis.
- Le Royaume-Uni sanctionne 24 personnes et entités, dont 3 hauts dirigeants du GRU et 10 employés de Rybar LLC.
L’Union européenne, la France et le Royaume-Uni ont annoncé le 13 juillet 2026 des sanctions ciblées contre la Russie en réponse à une vague de cyberattaques massives attribuées au Service fédéral de sécurité (FSB) russe. L’UE sanctionne neuf individus et quatre entités - tandis que le Royaume-Uni vise 24 personnes et organisations. Au cœur des accusations: le 16e Centre du FSB - également connu sous le nom de Berserk Bear ou Unité 61240 - et son unité 61240 spécifiquement chargée de cibler la France.
Une décennie d’espionnage documentée
Le 16e Centre du FSB opère depuis 2010 contre des cibles européennes et ukrainiennes. Le mode opératoire Turla - utilisé par cette unité, a servi depuis au moins 2004 pour la collecte de renseignement et l’espionnage informatique à l’échelle mondiale, ciblant les secteurs gouvernemental, diplomatique, militaire, énergétique et de la recherche.
Neuf pays de l’Union ont été visés: France, Allemagne, Pologne, Chypre, Pays-Bas, Autriche, Slovaquie, Roumanie et Finlande. En France, les attaques documentées remontent à 2017 avec le ciblage des comptes de messagerie du ministère des Armées, suivi du réseau de l’ambassade de France à Moscou en 2018 - d’un serveur du secteur judiciaire en 2019 - et d’un institut de recherche pour la défense en février 2025. Ces intrusions ont entraîné l’exfiltration de données stratégiques.
Des activités de déstabilisation en lien avec les Jeux olympiques et paralympiques de Paris 2024 ont également été signalées, confirmant que la campagne cyber russe visait au « sabotage et à l’espionnage dans une douzaine de pays européens » - selon Jean-Noël Barrot - ministre français des Affaires étrangères.
Cette réponse coordonnée entre l’UE, la France et le Royaume-Uni illustre une volonté de renforcer la souveraineté numérique européenne face à des menaces extérieures persistantes. En agissant de manière unie, les États membres envoient un signal de dissuasion et affirment leur capacité à protéger leurs infrastructures et leurs données.
La Pologne à deux doigts du blackout
Londres et Bruxelles ont formellement attribué au Centre 16 du FSB une tentative de cyberattaque menée en décembre 2025 contre le réseau électrique polonais. L’attaque aurait pu priver d’électricité 500 000 citoyens en plein hiver. Une infrastructure ferroviaire polonaise a également été sabotée en novembre 2025 - illustrant une stratégie d’attaque contre les infrastructures critiques.
La des infrastructures critiques européennes est mise à l’épreuve. L’attaque contre le réseau électrique polonais (500 000 foyers menacés) et le sabotage ferroviaire de novembre 2025 montrent que les opérateurs doivent renforcer leurs défenses. L’UE a déjà incité les États membres à adopter des mesures de cybersécurité renforcées pour les secteurs énergétique et des transports.
Le Royaume-Uni a sanctionné trois hauts dirigeants du GRU: Vyacheslav Stafeyev - Ivan Senin et Ivan Kasyanenko - ainsi que dix personnes travaillant pour Rybar LLC - un média financé par l’État russe. Au total, le Royaume-Uni a sanctionné plus de 3 400 cibles liées à l’effort de guerre russe à ce jour.
Une escalade depuis l’invasion de l’Ukraine
Ces sanctions s’inscrivent dans un contexte d’intensification des activités cybernétiques russes, notamment depuis l’invasion de l’Ukraine en 2022. Elles font suite à un régime de sanctions cyber de l’UE établi pour la première fois en 2020. En juillet 2020 - l’Union européenne avait déjà sanctionné six individus et trois entités (russes et chinois) responsables de cyberattaques comme WannaCry, NotPetya et Operation Cloud Hopper. Toutefois, leur efficacité reste discutée: si elles ont permis de geler des avoirs et d’envoyer un signal politique, les cyberattaques russes n’ont pas cessé, comme en témoigne la persistance des activités du FSB depuis 2010.
Le cadre juridique permettant ces mesures restrictives a été prolongé de trois ans, jusqu’au 18 mai 2028. Kaja Kallas - cheffe de la diplomatie européenne, a fermement condamné « l’écosystème cybernétique malveillant » de la Russie impliquant des acteurs étatiques et non étatiques. Jean-Noël Barrot a confirmé la convocation de l’ambassadeur de Russie en France, Alexeï Mechkov - pour qu’il s’explique sur ces activités.
Moscou dénonce des allégations « infondées »
La Russie a rejeté en bloc les accusations occidentales. L’ambassade de Russie à Londres a qualifié les sanctions d' »illégales », les accusant de reposer sur « des allégations non fondées de cyberattaques, de campagnes de désinformation et d’ingérence dans les processus politiques d’autres nations ». Le porte-parole du Kremlin, Dmitry Peskov - a qualifié la coalition occidentale de « coalition de bellicistes », ajoutant: « Ce sont les pays qui entreprennent des actions hostiles contre la Russie, nous surveillerons donc de très près. »
Le président Vladimir Poutine avait déclaré le mois dernier que les allégations européennes de sabotage et de cyberattaques étaient sans fondement et visaient à justifier leurs propres « plans agressifs » contre la Russie.
Ce que personne ne dit
Au Royaume-Uni, au moins 2 100 victimes du logiciel malveillant Lumma Stealer ont été recensées dans les six derniers mois. Ce malware, utilisé par la Russie pour l’espionnage, cible désormais massivement les citoyens ordinaires, pas seulement les infrastructures stratégiques. L’ampleur de cette campagne contre les particuliers britanniques révèle un élargissement préoccupant de la surface d’attaque: le FSB ne se contente plus de cibler les États, il infiltre désormais le tissu civil pour collecter des données personnelles à grande échelle. Aucune source consultée n’évoque de campagne similaire détectée en France ou en Allemagne, ce qui soulève deux hypothèses: soit ces pays n’ont pas encore mesuré l’ampleur de leur compromission, soit le Royaume-Uni paie le prix de sa position diplomatique plus exposée face à Moscou.
Une stratégie hybride assumée
L’attribution publique des cyberattaques est devenue systématique. Après avoir nommé la Russie pour l’ingérence dans les élections et pour l’attaque NotPetya, l’UE a formalisé son cadre d’attribution en 2020. Aujourd’hui, Paris et Bruxelles n’hésitent plus à désigner explicitement le FSB et ses unités, marquant une rupture avec la discrétion antérieure. Aucune source consultée ne mentionne le rôle des services français (DGSE/DGA) dans l’attribution des attaques, bien qu’ils soient naturellement impliqués dans la collecte de renseignement cyber.
Les puissances occidentales dénoncent une stratégie russe « hybride » mêlant espionnage, sabotage et actions clandestines visant à « semer le chaos et la division en Europe ». Cette approche combine des cyberattaques contre les infrastructures critiques, de l’espionnage gouvernemental de longue durée et des opérations d’influence via des médias d’État comme Rybar LLC.
La France insiste sur la continuité de la menace: le mode opératoire Turla cible depuis 2004 les secteurs gouvernemental, diplomatique, militaire, énergétique et de la recherche. Cette persistance sur deux décennies montre que les sanctions actuelles répondent à une accumulation d’intrusions, pas à un incident isolé.