Alors que l’IA et les technologies du numérique continuent de progresser, le paysage européen des cybermenaces ne cesse d’évoluer. Cela pose de nouveaux défis qui nécessitent des partenariats plus solides et des solutions repensées. Les groupes de ransomware et les acteurs soutenus par des États tels que la Russie, la Chine, l’Iran et la Corée du Nord continuent de gagner en ampleur et en sophistication, et la cyberprotection européenne ne peut se permettre de rester en retrait.
C’est pourquoi, aujourd’hui, à Berlin, Microsoft annonce une nouvelle initiative visant à étendre son travail de longue date pour aider à défendre la cybersécurité en Europe. Dans le cadre de la mise en œuvre de l’un des cinq engagements numériques européens annoncés à Bruxelles il y a cinq semaines, Microsoft lance un nouveau programme de sécurité pour l’Europe qui vient compléter son programme international de sécurité pour les gouvernements, mis en place depuis longtemps.
Ce nouveau programme étend la portée géographique de l’action menée jusqu’à présent par Microsoft et ajoute de nouveaux éléments qui deviendront essentiels à la protection de l’Europe. Il place l’IA au cœur de cette action, en tant qu’outil permettant de répondre aux besoins traditionnels en matière de cybersécurité, et renforce la protection des infrastructures numériques et d’IA.
Le programme européen de sécurité comprend trois nouveaux éléments :
- Renforcement du partage des renseignements sur les menaces basées sur l’IA avec les gouvernements européens ;
- Investissements supplémentaires pour renforcer les capacités et la résilience en matière de cybersécurité ; et
- Elargissement de nos partenariats pour contrer les cyberattaques et démanteler les réseaux utilisés par les cybercriminels.
Ce programme est mis, gratuitement, à la disposition des gouvernements européens, y compris les 27 États membres de l’Union européenne (UE), ainsi que les pays candidats à l’adhésion à l’UE, les membres de l’Association européenne de libre-échange (AELE), le Royaume-Uni, Monaco et le Vatican.
Ensemble, ces efforts reflètent l’engagement à long terme de Microsoft à défendre l’écosystème numérique européen. Assurant ainsi, que, quelle que soit l’évolution des menaces, Microsoft reste un partenaire fiable et indéfectible de l’Europe dans la sécurisation de son avenir numérique.
La nécessité de nouvelles mesures – le contexte actuel en matière de menaces
Microsoft continue d’observer une activité persistante de menaces visant les réseaux européens de la part d’acteurs étatiques, les activités russes et chinoises étant particulièrement prolifiques en Europe. Sans surprise, la Russie continue de se concentrer tout particulièrement sur des cibles en Ukraine et dans les pays européens qui soutiennent l’Ukraine. Les acteurs étatiques, y compris ceux qui se livrent à des activités malveillantes depuis l’Iran et la Corée du Nord, poursuivent principalement des objectifs d’espionnage en Europe en volant des identifiants ou en exploitant des vulnérabilités pour accéder aux réseaux des entreprises et des gouvernements. Plusieurs campagnes, notamment celles menées par la Chine, ont également visé des institutions universitaires, compromettant des comptes afin d’accéder à des données de recherche sensibles ou de mener des activités d’espionnage géopolitique contre des groupes de réflexion. Les cybercriminels continuent de développer le ransomware-as-a-service au-delà des menaces étatiques. Nous avons vu l’émergence de sites web illicites qui ont rapidement gagné en popularité en divulguant des informations sur les ransomwares, qui sont ensuite utilisées par des groupes criminels pour mener des attaques à travers l’Europe.
L’essor de l’IA renforce et fait évoluer le comportement des acteurs malveillants. Microsoft a observé que ces derniers utilisaient l’IA à des fins de reconnaissance, de recherche de vulnérabilités, de traduction, de techniques de commande opérationnelle affinées par LLM, de développement de ressources, de techniques de script, de contournement de la détection, d’ingénierie sociale et d’attaques par force brute. C’est pourquoi Microsoft suit désormais toute utilisation malveillante des nouveaux modèles d’IA qu’elle commercialise et empêche de manière proactive les acteurs malveillants connus d’utiliser ses produits d’IA. Cela souligne également l’importance d’un développement sécurisé et de tests rigoureux des modèles d’IA, de l’utilisation de l’IA au profit des cyberdéfenseurs et de partenariats public-privé étroits afin de partager les dernières informations sur l’IA et la cybersécurité.
Renforcement du partage des renseignements sur les menaces basés sur l’IA avec les gouvernements
Le programme de sécurité gouvernementale (Government Security Program, GSP) de Microsoft fournit depuis longtemps aux gouvernements des informations et des ressources confidentielles en matière de sécurité afin de les aider à mieux comprendre nos produits et l’évolution des menaces, en particulier celles provenant d’acteurs étatiques. S’appuyant sur les efforts existants, le nouveau programme de sécurité pour l’Europe renforcera le flux et élargira l’accès des gouvernements européens à des informations exploitables sur les menaces. Adapté aux environnements nationaux spécifiques en matière de menaces grâce à l’intelligence artificielle et fourni, dans la mesure du possible, en temps réel, ce programme est conçu pour aider les gouvernements à garder une longueur d’avance sur les cybermenaces en constante évolution grâce à la :
- Mise à profit des renseignements sur les menaces – Microsoft suit les cyberactivités les plus sophistiquées des États et fournit des informations opportunes sur l’évolution des menaces mondiales. L’IA vient appuyer cette analyse, ce qui améliore la visibilité et accélère le partage des derniers renseignements sur les tactiques, techniques et procédures utilisées par les acteurs malveillants persistants, y compris l’utilisation malveillante de l’IA. En fournissant davantage d’informations plus rapidement, Microsoft aidera les gouvernements européens à renforcer leur cyberrésilience et à mettre en place une défense proactive.
- Élargissement du signalement des cybercrimes – La Microsoft Digital Crimes Unit (DCU) joue un rôle essentiel dans la détection et le démantèlement des infrastructures cybercriminelles mondiales, générant ainsi des informations en temps réel d’une valeur inestimable. Dans le cadre de cette nouvelle initiative, Microsoft élargit la disponibilité de ces informations à des partenaires européens de confiance afin de soutenir une réponse rapide et une action coordonnée grâce au Cybercrime Threat Intelligence Program (CTIP).
- Fourniture d’informations actualisées sur les opérations d’influence étrangère – Le Centre d’analyse des menaces de Microsoft (Microsoft Threat Analysis Center, MTAC) continue de surveiller les opérations d’influence en Europe, qui utilisent de plus en plus l’IA pour tromper et induire en erreur à l’aide de faux contenus multimédias sophistiqués, appelés « deepfakes ». Le MTAC utilise également l’IA pour rechercher des points communs entre les opérations et fournira régulièrement des rapports de renseignement sur l’influence étrangère, offrant ainsi des informations opportunes sur les tactiques, les discours et les plateformes numériques utilisés par les acteurs affiliés à des États. Ces rapports aident les décideurs politiques et les acteurs de la sécurité à garder une longueur d’avance sur les campagnes de désinformation et les menaces hybrides qui ciblent les institutions démocratiques et la confiance du public.
- Identification des vulnérabilités et hiérarchisation des communications de sécurité – Microsoft s’engage à communiquer de manière proactive et transparente en matière de sécurité, en particulier face aux menaces émergentes et à l’évolution des vulnérabilités. À travers des programmes structurés tels que le Guide de mise à jour de sécurité Microsoft sur les menaces, le processus de signalement des vulnérabilités et Microsoft Defender Vulnerability Management, Microsoft fournit à ses clients des informations exploitables en temps utile. Dans le cadre de cet engagement renforcé, Microsoft proposera des notifications prioritaires sur les communications de sécurité, notamment des conseils pour remédier aux vulnérabilités, à ses partenaires du programme de sécurité pour l’Europe, afin d’améliorer la connaissance de la situation et de permettre des réponses plus rapides.
Les gouvernements participants disposeront d’un point de contact dédié chez Microsoft pour coordonner les réponses et signaler les problèmes. Ces efforts visent à améliorer la connaissance de la situation et à soutenir une action plus rapide et mieux coordonnée au-delà des frontières.
Réaliser des investissements supplémentaires pour renforcer les capacités et la résilience en matière de cybersécurité
La résilience numérique, c’est-à-dire la capacité à anticiper, résister, se remettre et s’adapter aux cybermenaces et aux perturbations, ne se limite pas à la technologie. Elle nécessite des investissements dans les ressources humaines, les institutions et les partenariats. Dans le cadre du Programme de sécurité pour l’Europe, nous investissons des ressources supplémentaires pour poursuivre notre collaboration avec les gouvernements européens, la société civile et les innovateurs afin de renforcer les capacités locales et de bâtir une résilience à long terme. Voici quelques points à retenir :
- Renforcer la collaboration public-privé – Microsoft a lancé un nouveau programme pilote avec le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, qui prévoit l’intégration d’enquêteurs de l’unité Microsoft Digital Crimes Unit (DCU) au siège de l’EC3 à La Haye afin d’améliorer le partage de renseignements et la coordination opérationnelle. Grâce à cette collaboration renforcée, nous pourrons mener des enquêtes conjointes, identifier plus rapidement les menaces et être mieux à même de perturber plus efficacement les activités cybercriminelles visant les institutions et les citoyens européens.
- Soutenir la société civile et la défense contre les ransomwares – Microsoft a renouvelé son partenariat de trois ans avec le CyberPeace Institute afin de soutenir les ONG et de promouvoir la responsabilisation des acteurs malveillants. Près de 100 employés de Microsoft mettent bénévolement leur temps et leur expertise à disposition pour aider à défendre les personnes les plus vulnérables dans le cyberespace. Nous continuerons à soutenir les efforts de l’Institut pour retracer l’origine des ransomwares, identifier les refuges et découvrir les liens potentiels avec des acteurs étatiques.
- Etendre le soutien à la cybersécurité dans les Balkans occidentaux – Grâce à une nouvelle collaboration avec le Western Balkans Cyber Capacity Centre (WB3C), Microsoft va renforcer la cybersécurité dans une région où des acteurs malveillants cherchent depuis longtemps à déstabiliser les pays limitrophes de l’UE. Microsoft défend fermement l’Ukraine et étend désormais cet engagement avec le WB3C afin d’aider à renforcer les capacités de cybersécurité dans une région géopolitiquement sensible et disposant de peu de ressources numériques, conformément aux priorités européennes en matière de cybersécurité.
- Faire progresser la sécurité et l’innovation en matière d’IA – Microsoft investit des ressources supplémentaires pour soutenir la recherche, élargir le vivier de talents en cybersécurité et tester des outils de sécurité avancés assistés par l’IA dans des environnements réels à l’aide de la gamme de solutions de sécurité Microsoft et des capacités Azure et Copilot. Nous collaborons avec le Laboratory for AI Security Research (LASR) du Royaume-Uni, un partenariat public-privé créé pour faire progresser la sécurité de l’IA afin de soutenir la sécurité nationale et la prospérité économique du Royaume-Uni. Ensemble, nous lançons un programme de recherche conjoint axé sur les défis de la cybersécurité de l’IA, en mettant l’accent sur les infrastructures critiques et la sécurité de l’IA agentique, avec un investissement initial de Microsoft et une collaboration entre le LASR et le Microsoft Security Research Center.
- Sécuriser l’innovation open source – Grâce au GitHub Secure Open Source Fund récemment lancé, Microsoft soutiendra les projets open source qui sous-tendent la chaîne d’approvisionnement numérique, catalysent l’innovation et sont essentiels aux technologies d’IA. En renforçant la sécurité de projets européens tels que Log4J et Scancode, qui sont essentiels aux systèmes informatiques des gouvernements et des entreprises à travers le continent, le programme vise à réduire les futures vulnérabilités en matière de sécurité. Il est essentiel de garantir que ces outils puissent résister en permanence et se défendre de manière durable contre les cybermenaces sophistiquées afin de renforcer la cyberrésilience.
Ces nouvelles initiatives renforcées reflètent notre conviction que la cybersécurité est un effort collectif et que la résilience numérique de l’Europe doit être construite sur des bases solides.
Elargir les partenariats pour contrer les cyberattaques et démanteler les réseaux cybercriminels
Enfin, dans le cadre du programme de sécurité pour l’Europe, Microsoft renforce ses partenariats avec les forces de l’ordre et les acteurs régionaux afin d’identifier de manière proactive de nouvelles méthodes innovantes pour perturber les activités malveillantes et criminelles.
Par exemple, le mois dernier, la Digital Crimes Unit (DCU) de Microsoft a collaboré avec Europol et d’autres organismes pour démanteler Lumma, un malware prolifique utilisé pour voler des mots de passe, des données financières et des portefeuilles crypto. En seulement deux mois, Lumma a infecté près de 400 000 appareils dans le monde, dont un grand nombre en Europe. L’opération a permis de saisir ou de bloquer plus de 2 300 domaines de commande et de contrôle. Dans le prolongement de cette action, Microsoft travaille avec Europol afin d’identifier de nouvelles opportunités pour continuer à contrer et à dissuader efficacement la cybercriminalité.
Appareils infectés par Lumma par pays en Europe
Afin d’accélérer les démantèlements à venir, nous avons également lancé le programme Statutory Automated Disruption (SAD) en avril 2025. Cette initiative automatise les notifications d’abus juridiques aux hébergeurs, ce qui permet de supprimer plus rapidement les domaines et adresses IP malveillants. Initialement axé sur l’Europe et les États-Unis, le programme SAD augmente le coût des activités des cybercriminels et rend plus difficile leur fonctionnement à grande échelle.
En outre, nous travaillons avec les fournisseurs d’accès Internet locaux pour aider les utilisateurs concernés et garantir aux gouvernements une meilleure visibilité sur les menaces émergentes.
La DCU joue depuis longtemps un rôle de premier plan dans la lutte proactive contre les cybermenaces, y compris celles provenant d’acteurs étatiques. Depuis 2016, Microsoft a engagé sept actions en justice pour mettre en lumière et perturber les acteurs malveillants d’États tels que la Russie, la Chine, l’Iran et la Corée du Nord, que nous désignons en interne par des noms inspirés des conditions météorologiques, respectivement Blizzard, Typhoon, Sandstorm et Sleet. Plus récemment, en septembre 2024, Microsoft a lancé une action de perturbation contre l’acteur russe Star Blizzard, mentionné ci-dessus, connu pour avoir piraté des cibles politiques liées aux élections britanniques de 2022 et pour avoir ciblé des pays de l’OTAN afin de promouvoir ses intérêts géopolitiques impliquant l’Ukraine. Microsoft a dénoncé les acteurs russes et saisi directement plus de 140 domaines malveillants au total, ce qui a considérablement affaibli les campagnes en cours et contraint Star Blizzard à modifier en profondeur ses méthodes d’attaque pour se tourner vers d’autres plateformes, comme l’a ensuite révélé Microsoft Threat Intelligence dans un billet de blog consacré à la sécurité. Microsoft continuera à lutter contre ceux qui cherchent à nuire à ses clients, aux gouvernements et aux utilisateurs particuliers. Ces efforts s’inscrivent dans le cadre d’une stratégie plus large de partenariat avec les forces de l’ordre à travers l’Europe. Microsoft travaille déjà à des mesures coordonnées pour protéger l’écosystème numérique et se tient prêt à fournir des services robustes de réponse aux incidents en cas de crise, afin que ses partenaires et ses clients ne soient jamais seuls face à la cyberadversité.
Ensemble, des opérations telles que la démantèlement de Lumma, le lancement de SAD et les futures opérations coordonnées contribuent à empêcher les cybercriminels et les acteurs étatiques de mettre en place des infrastructures malveillantes en Europe.