Entretien
InterCERT France : la force du collectif face aux crises cyber
Rencontre avec les cyber-héros de France.
Décembre 2025, en pleine période de fêtes, le site internet du groupe La Poste ainsi que plusieurs de ses services deviennent indisponibles, à deux reprises, à la suite d’attaques par déni de service. Aucune demande de rançon, aucune donnée chiffrée ou exfiltrée. Un flot massif de requêtes suffit à saturer les infrastructures et à rendre les services inaccessibles. Ces attaques n’ont rien d’anodin. Elles sont ciblées, organisées et poursuivent des objectifs de déstabilisation. Au-delà du groupe La Poste, c’est bien la France qui est visée. Mais qui nous attaque et pourquoi ?
Rencontre avec ceux qui analysent la menace cyber au quotidien : Livia Tibirna et Nicolas Caproni, experts en CTI (Cyber Threat Intelligence ou renseignement sur les cybermenaces) chez Sekoia.
Ils incarnent l’un des métiers émergents de la cybersécurité : les analystes CTI ont pour mission d’analyser la menace cyber, les groupes d’attaquants et leurs modes opératoires. Leurs précieuses analyses permettent de comprendre qui nous attaque, de quelle manière et avec quels moyens. En replaçant chaque attaque dans une campagne plus large, la CTI permet d’anticiper les mouvements adverses et d’adapter les stratégies de défense en conséquence.
“Notre travail, c’est d’essayer de comprendre qui est derrière [une cyberattaque], quel est l’objectif, comment ils s’y prennent, pour essayer d’anticiper la suite.” explique Livia Tibirna, Analyste CTI chez Sekoia.
Pendant longtemps, la cybersécurité s’est concentrée sur la détection et la remédiation technique : détecter une attaque, contenir l’incident, restaurer les systèmes. Mais cette approche fragmentée a montré ses limites face à des adversaires structurés, persistants et capables d’adapter leurs tactiques.
Progressivement, nos organisations sont passées d’une approche purement technique de la détection à une logique d’anticipation au sein de laquelle chaque signal est analysé et replacé dans une stratégie globale : nature de l’acteur, objectifs poursuivis, temporalité des attaques, outillage employé.
Analyser une attaque : entre technique, stratégie et patience
La CTI ne consiste pas à accumuler des indicateurs techniques, mais à donner du sens à l’information. Les équipes CTI dissèquent les outils des attaquants pour comprendre leurs modes opératoires, identifier des réutilisations d’infrastructure et relier entre elles des campagnes distinctes. Analyse de malwares, suivi des infrastructures adverses, observation des forums en ligne, lecture géopolitique : tout est mis en perspective pour comprendre les intentions et les capacités des attaquants. Cette approche permet de remonter des chaînes complètes d’attaque et parfois d’attribuer les cyberattaques, ce qui demeure un exercice complexe.
Derrière les attaques se cachent des acteurs très différents, aux motivations variées :
“On distingue généralement deux grands types d’adversaires : les cybercriminels d’un côté, qui cherchent un retour sur investissement, et les acteurs plus avancés, souvent liés à des États, qui visent à collecter de l’information ou à déstabiliser un pays,” explique Livia Tibirna.
Face à ces adversaires aux moyens, aux objectifs et aux temporalités d’action très différents, l’approche CTI permet d’adapter les défenses. Comprendre les motivations, c’est aussi mieux anticiper les prochaines étapes d’une campagne, et éviter de tomber dans le piège d’une lecture uniquement technique.
“L’objectif derrière l’attribution, ce n’est pas forcément d’attribuer dans le sens politique du terme, mais c’est d’avoir une attribution opérationnelle pour mieux se défendre.” rappelle Livia Tibirna.
Chez Sekoia, cette mission est portée par une équipe dédiée, la Threat Detection & Research (TDR), structurée autour de deux grands axes : la cybercriminalité financière d’un côté, les menaces étatiques et APT de l’autre. Leur objectif est de produire du renseignement pour le rendre exploitable opérationnellement.
Le blason de la TDR Team de Sekoia illustre la philosophie du renseignement cyber : le renard pour l’analyse, la ruse et la compréhension fine de l’adversaire ; l’octopus pour la capacité à suivre, corréler et neutraliser simultanément des menaces multiples, tentaculaires et distribuées.
La valeur de la CTI se mesure à sa capacité à être opérationnalisée. Chez Sekoia, le renseignement produit par l’équipe TDR alimente directement une plateforme de détection et de réponse automatisée, utilisée par des SOC internes ou des prestataires MSSP. Ainsi, les informations mises à dispositions via la plateforme permettent aux organisations de mieux prioriser les alertes, de contextualiser les incidents et d’anticiper les campagnes émergentes. Mais l’impact du renseignement cyber dépasse le cadre des entreprises.
Sekoia collabore étroitement avec les autorités publiques et les CERT nationaux. Ce partage contribue à des opérations de neutralisation de grande ampleur, comme l’opération Endgame, menée avec Europol pour démanteler des infrastructures de malwares à l’échelle européenne.
Dans ce cadre, Sekoia a apporté son expertise technique clé : identification des serveurs de commande et contrôle, analyse des codes malveillants, compréhension des modes opératoires. Ces coopérations illustrent une réalité incontournable : la lutte contre la cybercriminalité est collective.
“L’opération Endgame montre que le renseignement technique peut mener à des actions concrètes, comme le démantèlement d’infrastructures criminelles” explique Nicolas Caproni.
Ransomware, espionnage, sabotage, désinformation : les motivations des attaquants évoluent peu, mais leurs moyens se démocratisent. Outils accessibles, IA générative, industrialisation des campagnes… la surface d’attaque ne cesse de s’élargir et les armes des cybercriminels se diversifient.
Face à cela, les métiers de la CTI s’imposent comme des piliers de la cybersécurité moderne. Des métiers exigeants, pluridisciplinaires, où la curiosité, l’analyse et la compréhension du monde deviennent aussi importantes que la technique.
Comme le rappelle Nicolas Caproni, “mieux comprendre les menaces, c’est déjà mieux s’en protéger.”
À mesure que le cyberespace devient un terrain de confrontation permanent, la question n’est plus seulement de savoir comment se défendre, mais comment reprendre l’initiative. Le renseignement cyber en est désormais l’une des clés.
Le monde de la cyber est disponible sur toutes les plateformes d'écoute.
Le podcast qui vous emmène à la découverte du monde de la cybersécurité.
