Les entreprises européennes du secteur de la défense, en particulier celles travaillant sur des technologies telles que les drones, sont devenues une cible prioritaire pour les acteurs étatiques et les groupes connexes menés par la Russie et la Chine. C’est ce qu’indique le rapport « Au-delà du champ de bataille : menaces pour la base industrielle de défense », préparé par Google Threat Intelligence Group (GTIG), l’unité spécialisée qui enquête, analyse et traque les acteurs de la cybermenace et les logiciels malveillants avancés de Google Cloud, qui décrit un « siège constant et multi-vecteurs » contre la base industrielle de défense.
Le document met l’accent sur la guerre en Ukraine et l’adoption rapide de capacités déjà standardisées sur les lignes de front, avec une attention particulière aux systèmes d’avions sans pilote (UAS). Dans ce contexte, Google affirme que des acteurs liés à la Russie et aux réseaux de hackers de ce pays cherchent à compromettre les entreprises de défense et utilisent en outre des leurres qui imitent des produits et des systèmes pour attaquer les organisations militaires et leur personnel.
Des campagnes qui imitent les fournisseurs européens
Dans le cas européen, le rapport décrit une campagne attribuée au cluster d’espionnage russe UNC5976, actif depuis janvier 2025, basée sur l’usurpation d’identité – « phishing » – via des fichiers malveillants. Selon Google, l’infrastructure associée au groupe comprenait « des centaines de domaines » usurpant l’identité d’entreprises de défense – dont les sièges sociaux se trouvent, entre autres, au Royaume-Uni, en Allemagne, en France, en Suède et en Norvège – ainsi qu’en Ukraine, en Turquie et en Corée du Sud.
L’activité ne se limite pas à l’usurpation d’identité de marque : le rapport pointe également du doigt des leurres thématiques liés au champ de bataille. Dans les campagnes de ce réseau russe, l’objectif principal était le vol de routes et d’algorithmes de drones.
En parallèle, Google met en avant la pression des réseaux de hackers pro-russes autour du rôle tactique des drones. Une partie de cette activité s’est concentrée sur l’utilisation de drones par l’Ukraine et, fin 2025, le collectif KillNet est venu revendiquer des attaques et des actions liées aux capacités de surveillance de l’espace aérien et à l’identification d’infrastructures liées à la production de drones.
Le « facteur humain » devient la porte d’entrée
L’un des changements soulignés par le rapport est la priorité croissante que ces attaques accordent aux systèmes personnels par rapport aux réseaux d’entreprise, généralement mieux protégés. Les attaques se concentrent sur les communications personnelles, telles que les e-mails et les données issues des processus de sélection du personnel, qui sont devenues une constante, parfois précisément en raison de leur capacité à contourner le périmètre de sécurité des entreprises.
Google documente les campagnes d’un acteur lié à la Chine (APT5) qui, en 2024 et 2025, a envoyé des courriels de spearphishing – une cyberattaque de phishing personnalisée dirigée contre une victime spécifique – aux comptes personnels d’employés actuels et anciens de grands sous-traitants de l’aérospatiale et de la défense.
La Chine, menace la plus active en volume
En ce qui concerne l’espionnage, le rapport place la Chine comme la menace étatique la plus active en termes de volume dans le secteur au cours des deux dernières années analysées. À cela s’ajoute une tendance à la hausse : l’exploitation des appareils comme première voie d’accès, une tactique que Google considère comme un risque « important » pour le secteur de la défense et les entreprises liées à l’espace.
Le document met également en garde contre une faiblesse structurelle : la chaîne d’approvisionnement. Même si les entreprises d’armement et d’aérospatiale ne représentent qu’une petite fraction des victimes (environ 1 % en 2025), les fournisseurs à double usage concentrent le plus grand volume d’impacts, ce qui peut compromettre la capacité à augmenter la production dans des scénarios de crise.
Dans ses conclusions, Google insiste sur le fait que, dans un environnement d’attaques persistantes, l’industrie doit aller au-delà d’une posture réactive et intégrer ces tendances en matière de renseignement de manière proactive et se doter d’une architecture résiliente pour éviter que les systèmes ne soient compromis avant même « d’atteindre le terrain ».