“La première victime de la guerre est la vérité.” Attribué à Eschyle, et jamais aussi juste que lorsque le champ de bataille est invisible, les armes sont des paquets de données, et les cibles sont les fondements numériques d’une civilisation mondialisée.
Le tableau de bord qui l’avait vu venir
Le matin du 3 mars 2026, un tableau de bord se mettait silencieusement à jour au sein d’un système de surveillance connu sous le nom de NEXUS, une plateforme de renseignement et d’observation développée par Cyberium Limited pour suivre, en temps réel, l’état de santé des infrastructures numériques critiques dans les régions les plus sensibles du monde. La capture d’écran, prise à 14h41min21s et reproduite ici dans le cadre de cette analyse, raconte une histoire qu’aucun journal télévisé ne diffusait à ce moment précis. Bahreïn, qui abrite simultanément la région AWS me-south-1 et le quartier général de la Cinquième Flotte de la Marine américaine, affichait 56% de santé. Les Emirats Arabes Unis, siège de me-central-1 et l’un des écosystèmes financiers les plus dépendants du cloud au monde, étaient tombés à 50%. Tel-Aviv, paradoxalement, affichait 100%. Deux incidents actifs, tous deux notés au rayon d’explosion maximum 5/5, se propageaient à travers des piles multi-services dans tout le Golfe. La chaîne de dépendance indiquait: Multi-Svc, puis EC2, puis CloudWatch, puis ECR. Temps estimé de résolution: de deux à six heures.
Ce n’est pas une métaphore. C’est un flux de renseignement en temps réel provenant de l’une des zones de conflit les plus décisives de la planète, traduit dans la grammaire froide de la surveillance de la santé des services, des évaluations de criticité et des scores de risque de propagation. NEXUS n’éditorialise pas. Il observe, corrèle et calcule. Et le 3 mars 2026, il calculait la signature numérique d’une guerre.
L’architecture de la guerre moderne
Il existe une tendance, lorsque les guerres commencent, à recourir au vocabulaire du vingtième siècle. Nous parlons de campagnes aériennes, de bombardements stratégiques, comme si nous narrions la RAF au-dessus de la Ruhr en 1943, ou les sorties américaines au-dessus du Vietnam du Nord. Mais la guerre qui a commencé le 28 février 2026 entre les États-Unis et Israël d’un côté et l’Iran de l’autre ne se livre pas uniquement dans l’espace aérien au-dessus de Téhéran. Elle se livre, simultanément et avec une intensité égale, dans le spectre électromagnétique, dans les tables de routage des fournisseurs de services internet, dans les journaux d’authentification des plateformes cloud, et dans les réseaux de technologie opérationnelle des raffineries de pétrole et des systèmes logistiques portuaires de toute la région du Golfe.
L’Opération Epic Fury, comme le camp américain a nommé sa campagne, et l’Opération Rugissement du Lion, la désignation israélienne, ont lancé leurs premières frappes contre 500 objectifs militaires en une seule nuit, déployant environ 200 chasseurs dans ce que l’armée de l’air israélienne a décrit comme la plus grande sortie de combat de son histoire. Plus de 1 200 bombes furent larguées dans les 24 premières heures. Les bombardiers furtifs B-2 américains ont largué des dizaines de munitions pénétrantes de 900 kg sur des lanceurs de missiles balistiques enterrés en profondeur. Les objectifs comprenaient les systèmes de défense aérienne, le complexe personnel du Guide Suprême Ali Khamenei, tué lors des premières frappes, et le siège de l’IRIB, la chaîne d’État iranienne, touché le 3 mars.
Ce dernier objectif mérite plus d’attention qu’il n’en a reçu. La chaîne d’État n’est pas une installation militaire. C’est le système nerveux d’information d’un gouvernement. La détruire accomplit quelque chose qu’une batterie de missiles ne peut accomplir: elle coupe la capacité du régime à narrer sa propre survie à son propre peuple. Le parallèle avec les émetteurs de la BBC que les Alliés ont combattu pour maintenir opérationnels pendant la Seconde Guerre mondiale n’est pas accidentel. Dans ce conflit, contrôler l’environnement informationnel est inséparable du contrôle du champ de bataille physique.
La cyberguerre qui a précédé les bombes
Ce que le cycle d’actualités conventionnel a manqué, comme toujours, c’est que la campagne cinétique n’a pas commencé le 28 février. La campagne cyber a commencé des semaines, peut-être des mois, auparavant. Les chercheurs en sécurité d’Approov ont documenté une augmentation significative des attaques sophistiquées de sondage d’API ciblant les applications gouvernementales régionales à partir du début du mois de février 2026, des sondages qui se sont arrêtés brusquement le 27 février. Binary Defense a rapporté que l’Iran semblait préparer activement des logiciels malveillants ciblant des entités en Israël et au Moyen-Orient avant même le début des frappes aériennes. MuddyWater, APT42, APT33 et APT34 avaient mené des campagnes d’intrusion persistantes pendant des mois.
C’est l’architecture de la guerre hybride moderne, et elle suit une logique aussi ancienne que la stratégie militaire elle-même. On ne commence pas une guerre; on se positionne pour une guerre. On pré-place des capacités. On établit la persistance. On attend. Quand les bombes tombent, les opérations cyber passent du renseignement à la perturbation et à la dégradation active. Des moniteurs indépendants ont confirmé que la connectivité internet de l’Iran s’est effondrée entre 1 et 4 pour cent des niveaux normaux dans les heures suivant les premières frappes, ce que CloudSEK a décrit comme potentiellement la plus grande cyberattaque de l’histoire contre l’infrastructure numérique d’un État-nation.
Les services numériques gouvernementaux se sont éteints à travers Téhéran, Ispahan et Chiraz. Les systèmes de communication du CGRI ont été perturbés. L’application de prière BadeSaba a été compromise pour afficher des messages incitant les militaires à déserter. L’agence de presse d’État IRNA a vu sa page d’accueil remplacée par des messages anti-régime. Ce ne sont pas les actes de hacktivistes. Ce sont des opérations d’État coordonnées, synchronisées à la minute avec la campagne cinétique.
Pourquoi ces cibles, et pourquoi encore
Les sites nucléaires et les lanceurs de missiles représentent le strat évident des objectifs. Les 460 kilogrammes d’uranium enrichi à 60% de l’Iran, suffisant pour onze armes nucléaires selon les estimations de responsables américains, ont fourni la justification stratégique. L’arsenal de missiles balistiques, avec plus de 500 missiles balistiques et navals et près de 2 000 drones lancés contre Israël et les bases américaines régionales au début du mois de mars, a fourni la justification militaire immédiate.
Mais en regardant de plus près ce qui a été frappé au cours des dix premiers jours, un deuxième niveau devient visible. Des dépôts de pétrole. Des installations de raffinage de carburant. Le dépôt de pétrole Shahran à la périphérie de Téhéran, en flammes pendant des jours après la frappe. La zone industrielle Shokouhiyeh à Qom, où les résidents ont eu des heures pour évacuer. Ce sont des cibles d’infrastructure dont la destruction ne dégrade pas directement la capacité militaire. Elle dégrade le substrat économique dont dépend la capacité militaire. Le Brent a grimpé à 119,50 dollars le baril. Bapco Energies de Bahreïn a déclaré force majeure. Plus de 1 100 navires dans les eaux du Golfe ont subi du brouillage GPS et des perturbations AIS.
Le tableau de bord NEXUS a enregistré tout cela en temps réel. Le score de santé de 56% pour Bahreïn et de 50% pour les EAU n’étaient pas des défaillances techniques dans les centres de données d’Amazon. C’était la signature numérique d’une guerre menée sur le système nerveux d’une région. L’Iran a depuis nommé Mojtaba Khamenei, fils du Guide Suprême assassiné, comme son successeur. Un régime qui nomme un successeur sous les bombes est un régime qui entend continuer à se battre.
Ce dont nous ne parlons pas
La région du Golfe n’est pas un théâtre lointain dont les perturbations numériques sont contenues dans sa propre géographie. C’est un noeud dans un réseau mondial d’interdépendances qui atteint chaque banque, chaque plateforme logistique, chaque charge de travail cloud fonctionnant au Moyen-Orient. Quand les incidents Multi-Svc se propagent à travers ces régions avec un rayon d’explosion de 5/5, comme le tableau de bord NEXUS l’a enregistré à 17h14 le 3 mars, la chaîne de dépendances ne s’arrête pas à la frontière régionale.
La CISA, l’Agence de Cybersécurité et de Sécurité des Infrastructures des États-Unis, fonctionnait avec environ 38% de ses niveaux de personnel autorisés au moment où ce conflit a commencé, résultat d’un arrêt partiel du gouvernement et d’une réorganisation de la direction. Le moment le plus dangereux pour les infrastructures critiques américaines est arrivé précisément lorsque l’agence conçue pour les défendre était en chute libre administrative.
Les capacités cyber de l’Iran ne sont pas limitées par le blackout de l’internet domestique. Les groupes qui opèrent sous la direction du CGRI, Handala, APT34, APT35, MuddyWater, APT42, Hydro Kitten, la Salle des Opérations Électroniques établie le 28 février 2026, opèrent via des proxies, des infrastructures pré-positionnées hors d’Iran, et des opérateurs affiliés au Liban, en Irak et au Yémen qui ne sont pas du tout affectés par le blackout domestique.
Particulièrement préoccupant est le groupe de ransomware Sicarii, apparu en décembre 2025 avec un défaut de conception critique: son chiffrement jette ses propres clés après avoir chiffré les fichiers, rendant le déchiffrement définitivement impossible tant pour les victimes que pour les opérateurs. Un groupe qui déploie un ransomware qui ne peut pas être inversé n’exécute pas une opération d’extorsion criminelle. Il exécute une opération de destruction avec un vernis financier.
L’histoire que nous avons oublié de lire
En 2010, un logiciel malveillant appelé Stuxnet, attribué plus tard à une opération conjointe américano-israélienne, a détruit environ un cinquième des centrifugeuses nucléaires iraniennes à l’installation de Natanz, les faisant tourner jusqu’à leur destruction tout en signalant un fonctionnement normal aux systèmes de surveillance. C’était l’arme cybernétique la plus sophistiquée jamais déployée dans un conflit, et sa leçon était que l’infrastructure critique d’une nation pouvait être détruite à distance, invisiblement et avec une négabilité totale. L’Iran a absorbé cette leçon. Il a passé les quinze années suivantes à construire la capacité de répondre en nature.
CyberAv3ngers, un groupe lié au CGRI, a attaqué des systèmes d’eau et de gaz aux États-Unis en 2024, compromettant des Automates Programmables Industriels dans des installations de plusieurs États. Le Boston Children’s Hospital a été ciblé en 2017. Les acteurs cyber iraniens avaient établi des points d’appui persistants dans les infrastructures critiques du Moyen-Orient via le vol de credentials et la compromission de VPN au moins depuis début 2025.
L’adage de Sun Tzu selon lequel l’art suprême de la guerre est de soumettre l’ennemi sans combattre trouve son expression contemporaine dans le malware pré-positionné qui attend en silence dans le réseau d’un adversaire, dans les sondages API qui cartographient les vulnérabilités des mois avant la première frappe cinétique, et dans le brouillage GPS qui laisse soudainement incertains de leur position plus de 1 100 navires dans l’un des corridors maritimes les plus fréquentés au monde.
Ce qui pourrait arriver: analyse des scénarios
À mesure que l’inventaire de missiles conventionnels de l’Iran s’épuise, avec des analystes estimant que la consommation a réduit les stocks utilisables d’environ 40% depuis le début de la campagne, l’incitation stratégique à substituer des opérations cyber augmente. Un régime avec moins de missiles a de meilleures raisons de maximiser l’utilisation d’armes qui ne coûtent rien à répliquer: le malware, les wipers, les botnets DDoS, les implants pré-positionnés dans les réseaux de technologie opérationnelle qui peuvent être activés avec une seule commande chiffrée d’un opérateur se trouvant loin de Téhéran.
L’infrastructure pétrolière et énergétique du Golfe, déjà perturbée par la phase cinétique du conflit, est la cible la plus exposée et la plus déterminante pour la phase cyber qui suivra. Les systèmes SCADA contrôlant les opérations de raffinerie, la gestion de la pression des pipelines, les plateformes de forage offshore et la logistique des terminaux GNL sont précisément le type d’environnements de technologie opérationnelle dans lesquels CyberAv3ngers et APT34 ont démontré un accès persistant.
Les opérateurs d’infrastructures européens qui croient que ce scénario est géographiquement éloigné commettent une erreur catégorielle. L’architecture cloud qui sous-tend les systèmes financiers européens, les réseaux logistiques et les infrastructures critiques n’est pas isolée des régions du Golfe actuellement sous attaque. La chaîne de dépendances NEXUS, de multi à ec2 à cloudwatch à ecr, est une représentation simplifiée de chemins qui s’étendent dans les charges de travail fonctionnant à Francfort, Paris, Londres et Milan.
Analyse technique: ce que les données nous disent
Les tableaux suivants présentent l’évaluation de renseignement structurée produite par la plateforme NEXUS et corroborée par le renseignement de sources ouvertes de Unit 42 (Palo Alto Networks), CloudSEK, CSIS, le Centre canadien pour la cybersécurité, Google Threat Intelligence Group, CrowdStrike et Halcyon. Ils ne sont pas destinés à être un briefing technique exhaustif, mais un instrument de calibration, une façon d’attribuer des poids relatifs aux menaces que la couverture narrative de ce conflit a jusqu’à présent traitées comme équivalentes ou a totalement ignorées.
Tableau 1 — Catégories d’Objectifs, Logique des Frappes et Corrélation Cyber
| Catégorie d’Objectif | But | Cinétique | Cyber | Probabilité re-frappe |
| Défense aérienne / SAM | Dégrader enveloppe A2/AD | Oui | Brouillage communications | Très Haute |
| Sites missiles balistiques | Réduire capacité offensive | Oui | Spoofing pré-lancement | Très Haute |
| Installations nucléaires | Non-prolifération / déni WMD | Oui | Disruption SCADA | Haute |
| IRIB Chaîne d’État | Contrôle narratif | Oui | Défacement web | Moyenne |
| Dépôts pétrole / Raffineries | Attrition économique | Oui | Attaque SCADA / OT | Haute |
| Résidence dirigeants | Frappe de décapitation | Oui | Coupure communications | Faible (réalisée) |
| Noeuds réseau électrique | Disruption systémique | Partiel | Malware pré-positionné | Très Haute |
| Logistique portuaire | Pression chaîne approv. | Non | Spoofing AIS/GPS | Haute |
| Cloud / Infra Télécom | Blackout info, coupure C2 | Non | Détournement BGP, DDoS | En cours |
Tableau 2 — État de Santé Régional AWS, 3 mars 2026 (Données de renseignement en temps réel NEXUS)
| Région AWS | Siège | Santé (03/03) | Incident Actif | Rayon d’Impact | MTTR Est. |
| me-south-1 | Bahreïn | 56% | Multi-Svc DISRUPTION | 5/5 | 2–6 h |
| me-central-1 | EAU | 50% | Multi-Svc DISRUPTION | 5/5 | 2–6 h |
| il-central-1 | Tel-Aviv | 100% | Aucun incident | 0/5 | — |
| Global Edge | CloudFront | 94% | Mineur (Résolu) | 1/5 | Résolu |
Tableau 3 — Acteurs de Menace Alignés sur l’Iran, Capacités et Secteurs Cibles
| Acteur de Menace | Affiliation | TTP Principal | Secteur Cible | Sophistication |
| Handala Hack | MOIS | Exfil + wiper + fuite de données | Défense, santé, énergie | Haute |
| APT34 / OilRig | IRGC | Spear-phish, exploit PLC | Gov, finance, OT/ICS | Très Haute |
| APT35 / Charming Kitten | IRGC | Vol identifiants, surveillance mobile | Journalistes, diaspora, gov | Haute |
| MuddyWater / Op. Olalampo | MOIS | Backdoor VPN, webshell | Gov, télécom, finance | Haute |
| APT42 | IRGC-IS | Ing. sociale, surveillance | Société civile, gov occid. | Haute |
| Hydro Kitten | IRGC-aligné | DDoS, secteur financier | Banques, finance CCG | Moyenne |
| CyberAv3ngers | IRGC | Attaques PLC OT/ICS | Eau, gaz, utilities | Haute |
| Electronic Ops Room | Coord. IRGC | Opérations hybrides multi-vecteurs | Infra. régionale, médias | Très Haute |
| Sicarii Ransomware | Criminel/proxy IRGC | RaaS — destruction permanente données | Industrie, région META | Moyen-Haute |
| KillNet (russo-aligné) | Opportuniste | Campagnes DDoS | Cibles NATO-adjacentes | Moyenne |
Tableau 4 — Évaluation des Scénarios Futurs (Horizon 6 Mois)
| Scénario | Probabilité (6m) | Vecteur d’Attaque | Cible | Impact Potentiel |
| Wiper malware sur OT du Golfe | >60% Haute | Implants pré-positionnés | SCADA oil/gas | Disruption approv. régional, pétrole >150$ |
| Détournement BGP/DNS cloud CCG | ~40% Moyenne | Manipulation routage | Secteur financier | Échec auth, exposition données massives |
| DDoS infra. critiques UE | ~45% Moyenne | Botnet, chaîne proxy | Énergie, hôpitaux | Interruption services, ~50M€+ |
| Saturation AIS/GPS Ormuz | >65% Haute | Guerre électronique | Navigation commerciale | Détournement fret, pic pétrole |
| Attaques eau potable USA | ~35% Moyenne | Exploit PLC (CyberAv3ngers) | Utilities hydriques | Risque contamination, santé publique |
| Interception télécom occid. | ~25% Faible | Backdoor VPN (APT34) | ISP, opérateurs satellites | Collecte renseignement long terme |
| Disruption marchés UE | ~20% Faible | DDoS + désinformation | Bourses, banques | Volatilité marchés, risque systémique |
| Ransomware chaîne approv. | >50% Moy-Haute | Fournisseur compromis | Shipping, ports, logistique | Cascade disruption, semaines de retard |
Tableau 5 — Indicateurs Clés de Risque et de Performance: État Opérationnel Actuel
| KPI / KRI | Valeur Actuelle | Seuil d’Alerte | Statut | Action Recommandée |
| Santé AWS me-south-1 | 56% | <70% = Alerte | CRITIQUE | Activer DR failover sur eu-west-1 |
| Santé AWS me-central-1 | 50% | <70% = Alerte | CRITIQUE | Basculer sur ap-south-1 |
| Brent Brut | ~$113–119/bbl | >$100 = Élevé | ÉLEVÉ | Revoir couverture approv. énergie |
| Groupes hacktivistes actifs | 8+ actifs | >5 = Haut | HAUT | Élever seuil alerte EDR |
| Personnel CISA | ~38% | <75% = Danger | CRITIQUE | Engager MSSP secteur privé |
| Spoofing GPS/AIS Golfe | 1 100+ navires | >500 = Alerte | ÉLEVÉ | Activer protocoles nav. alternatifs |
| Stocks missiles iraniens | Est. 40% épuisés | <30% = Changement tactique | SURVEILLANCE | Surveiller escalade cyber |
| Rayon impact cloud (max) | 5/5 | >=4 = Critique | CRITIQUE | Isoler dépendances cloud régionales |
| Malware pré-positionné (connu) | Actif (non quantifié) | Tout = Alerte | HAUT | Threat hunt OT/ICS, audit logs VPN |
| Trafic Détroit d’Ormuz | Perturbé | >10% déviation = Alerte | ÉLEVÉ | Activer routes logistiques alternatives |
Ce que NEXUS nous dit que les généraux ne disent pas
La plateforme NEXUS ne prédit pas l’avenir. Elle observe le présent avec suffisamment de granularité pour rendre l’avenir lisible. Quand elle affiche Bahreïn à 56% et les EAU à 50%, elle ne signale pas un problème technique. Elle signale la conséquence numérique d’une guerre. Quand elle affiche une cascade de dépendances de Multi-Svc vers EC2 vers CloudWatch vers ECR, elle ne décrit pas un diagramme d’architecture. Elle trace le chemin le long duquel une perturbation devient une panne, devient une cascade, devient une crise.
La question que chaque CISO, chaque responsable d’infrastructure, chaque régulateur et chaque décideur qui lit cette analyse devrait se poser n’est pas de savoir s’il regarde la guerre d’Iran à la télévision. C’est de savoir si sa carte de dépendances ressemble à celle que le tableau de bord NEXUS affiche en temps réel, et ce qu’il entend faire à ce sujet avant que la cascade ne l’atteigne.
L’histoire ne se répète pas. Mais elle rime. La rime que nous devrions écouter, dans la bande de fréquences entre les bombes et le silence, est le son d’un malware planté il y a des mois, dans un réseau dont le propriétaire regarde les nouvelles en pensant: cette guerre se passe là-bas. Elle ne se passe pas là-bas. Elle est dans votre réseau depuis février.
Sources de données: AWS Health RSS feeds, status.aws.amazon.com, Unit 42 / Palo Alto Networks, CloudSEK, CSIS, Centre Canadien pour la Cybersécurité, Google TIG, CrowdStrike, Halcyon, Al Jazeera, House of Commons Library, CNBC, The Register, Cybersecurity Dive.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
À propos de l’auteur :
🇮🇹 https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇬🇧 https://www.amazon.com/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4