Rade de Brest (Bretagne). Le 9 février 2026 au matin, un voilier au comportement erratique, effectuant des allers-retours à quelques encablures de la digue de la base navale de la Marine nationale, éveille la suspicion de la capitainerie du port de Brest. L’alerte est aussitôt donnée au Centre d’opérations et de renseignement de la Gendarmerie maritime. Une patrouille du Peloton de sûreté maritime et portuaire militaire (PSMP) est alors projetée sur les lieux afin d’arraisonner l’embarcation. 
Les militaires y découvrent divers matériels (ordinateur portable affichant une journalisation technique en temps réel, dispositif électronique muni d’antennes à hautes performances, drone, accessoires de plongée sous-marine…). Interrogés sur la présence d’un tel équipement aux abords d’une zone militaire protégée, les deux occupants du navire se montrent peu enclins à coopérer. Les premiers indices découverts par les enquêteurs évoquent d’emblée une affaire d’espionnage. Les suspects sont alors placés en garde à vue, tandis que les enquêteurs de la Section de recherches de la Gendarmerie Maritime (SRGMAR) entrent en scène. 

C’est ainsi que débute le travail d’investigations de ces enquêteurs spécialisés dans les technologies numériques, à partir des éléments techniques recueillis sur le bateau. Si les deux suspects gardent le silence durant leur garde à vue, les cyberenquêteurs, quant à eux, parviennent à géolocaliser un lieu situé en région parisienne, à proximité de Versailles. Des photographies de la Base aérienne (B.A.) 107 de Villacoublay sont également découvertes par les gendarmes. Ici même, quelques jours plus tôt, plusieurs aviateurs ont été la cible de « spearphishing », une technique utilisée par les criminels aux fins d’obtenir des renseignements spécifiques liés à l’environnement professionnel de ces militaires, par l’envoi d’un courriel de chantage, menaçant personnellement leur famille.

Les aviateurs visés ont immédiatement rendu compte de l’incident à leur hiérarchie, qui, à son tour, a avisé la brigade locale de la Gendarmerie de l’Air et de l’Espace (GAE) parallèlement à l’incident de Brest. Une procédure a alors été enclenchée, concrétisée par une plainte déposée auprès de la Section de recherches de la Gendarmerie de l’Air et de l’Espace (SRGAE).

Aussitôt informée de ces deux incidents, la cellule de coordination de l’Unité nationale cyber (UNC) de la Gendarmerie nationale, située à Cergy-Pontoise (Val-d’Oise), effectue un rapprochement entre ces deux enquêtes. Un travail commun, associant la S.R. de la Gendarmerie maritime et celle de la Gendarmerie de l’Air et de l’Espace, est alors initié. Le 10 février, une perquisition est conduite dans une maison à Vélizy-Villacoublay, où les gendarmes font des découvertes décisives dans le cadre de l’enquête, établissant notamment la compromission d’un matériel de maintenance de l’armée de l’Air et de l’Espace, ainsi que d’un militaire d’une autre base aérienne.

Ces événements, en réalité factices, ont été organisés dans le cadre du volet cyber de l’exercice ORION 26, s’inscrivant ainsi dans un scénario global.

Un exercice militaire XXL pour préparer les engagements futurs

Conçu dès 2023, le scénario ORION 26 répond à la nécessité d’intensifier la préparation des forces armées françaises au combat, face à la dégradation et au durcissement du contexte mondial. Tandis que la menace revêt de multiples formes, notamment avec la multiplication d’attaques hybrides mettant à mal les intérêts de la France, le pays se doit d’adapter son modèle de défense. 
Ce changement de paradigme implique une préparation des Armées à un engagement majeur. Tel est l’objectif d’ORION. Exercice interarmées de haute intensité, inspiré des standards OTAN, il intègre la planification et la conduite d’opérations multi-milieux et multi-champs : terre, mer, air, cyber, espace, information et électromagnétique. ORION recrée ainsi les circonstances d’un combat moderne face à un ennemi fictif, dans des conditions réalistes. Il s’articule autour de quatre séquences, que sont la planification opérationnelle, le déploiement des troupes en coalition, le « wargame » (ou simulacre de conflit armé) interministériel et le déploiement de troupes au sein de l’OTAN.

Exercice militaire interarmées le plus important jamais organisé en France, ORION 26 est exceptionnel par son intensité et les moyens mobilisés. Douze ministères ont ainsi été impliqués dans l’opération, dans un objectif de coordination renforcée en cas d’engagement majeur et de montée en puissance des Armées. 26 000 hommes et femmes au total ont été engagés, toutes armées confondues, de janvier à avril 2026. L’exercice ORION vise en outre à entraîner les commandements à la planification et la conduite d’opérations multi-domaines en cas de conflit sur la scène européenne, mais aussi à durcir les forces, d’active comme de réserve, ainsi que les chaînes de soutien, dans un environnement dégradé. Il permet un entraînement en conditions réelles, hors temps de guerre, ainsi que le développement de l’interopérabilité avec nos alliés. L’exercice est aussi l’occasion de tester et d’intégrer des innovations capacitaires majeures (intelligence artificielle, drones, brouillage satellitaire…), dans l’hypothèse d’engagements futurs.

Pleinement intégré à la manœuvre globale, le volet cyber d’ORION 26 est un levier majeur de la préparation opérationnelle dans la sphère numérique. 
Il a pour double objectif d’entraîner les unités et de renforcer l’intégration des capacités de lutte informatique au cœur de la manœuvre interarmées. Qu’elle soit défensive, offensive ou d’influence, la cyberdéfense des Armées constitue un enjeu décisif en termes de protection des systèmes d’information et des systèmes d’armes, ainsi que d’intervention en cas d’incident. La réactivité et l’efficacité des équipes en pareille situation doivent en effet permettre de rétablir l’opérationnalité des dispositifs visés. 

La manœuvre cyber est placée sous l’autorité du Commandement de la cyberdéfense (COMCYBER). Cet organe opérationnel, créé en mai 2017, rassemble l’ensemble des forces de cyberdéfense du ministère des Armées. Il coordonne toutes les opérations militaires dans le cyberespace. Il est appuyé par l’Unité nationale cyber (UNCyber) de la Gendarmerie nationale et le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI), notamment en matière de judiciarisation des faits et d’échanges de renseignements d’intérêt cyber. Dans le cadre d’ORION 26, le COMCYBER contribue à la planification stratégique de l’exercice, apporte son expertise à l’appui de la manœuvre opérative et conduit ses propres opérations.

L’exercice se poursuit autour de l’assassinat d’un général de l’Armée française

Tandis que se déroulent successivement les séquences à Brest et Vélizy, un autre volet de l’exercice cyber se joue à son tour, en lien avec un événement de portée majeure survenu quelques semaines auparavant. Un général de l’armée française, sur le point de rencontrer les forces alliées, a été assassiné. L’enquête (simulée) a alors été confiée à l’Office central de lutte contre les crimes contre l’humanité et les crimes de haine (OCLCH). Il est ainsi établi que le général a utilisé son véhicule de fonction pour se rendre à l’aéroport. 

L’Unité nationale cyber (UNCyber), rattachée à l’Unité nationale de police judiciaire (UNPJ) de la Gendarmerie nationale, est alors saisie afin d’investiguer sur les traces numériques laissées dans la voiture du militaire. Un nouvel exercice est ainsi organisé au profit du commissariat des Armées, le 13 février, à Paris, sur le site de l’Hexagone Balard, avec l’appui de la Division technique (D.T.) de l’UNCyber et du Centre national d’expertise numérique (CNENUM) de l’Institut de recherche criminelle de la Gendarmerie nationale (IRCGN). Dans ce lieu hautement sécurisé, regroupant les états-majors des Armées françaises, les techniciens passent au crible le véhicule de fonction du général, à la recherche de tout indice susceptible de faire avancer l’enquête. Dans un premier temps, la voiture est passée au peigne fin par l’équipe de l’UNCyber, à l’aide d’un détecteur de données électroniques. « Nous recherchons tout élément pouvant se trouver dans l’habitacle comme à l’extérieur du véhicule, tel qu’un dispositif de localisation, fréquemment utilisé par les criminels », explique le chef d’escadron Pierrick, de la Division technique de l’UNCyber.

Place ensuite aux cyberenquêteurs du Département Véhicules du CNENUM, qui procèdent à l’extraction des traces numériques stockées dans la voiture afin qu’elles soient analysées. « Toutes les données liées à la navigation (destinations, trajets empruntés, position du véhicule…), mais aussi celles contenues dans les téléphones qui ont été connectés à l’occasion d’un trajet, peuvent présenter un intérêt majeur pour l’enquête. L’analyse du Système multimédia embarqué (SME) peut notamment livrer des éléments déterminants dans le cadre des investigations », observe l’adjudant-chef Adrien, du Département Véhicules. « Les données collectées, qui peuvent être chiffrées, sont extraites et placées sur une clé USB. Elles feront l’objet d’une analyse ultérieure. Le parc automobile est extrêmement varié. Chaque marque dispose d’un système qui lui est propre. Nous sommes donc confrontés à une grande diversité des systèmes de navigation. » Le Département Véhicules compte aujourd’hui une vingtaine de gendarmes, dont cinq sont spécialisés dans le traitement des données numériques.

Séquence phare de la manœuvre cyber de l’exercice ORION, l’analyse du véhicule présente une forte dimension pédagogique. « Tous les véhicules qui aujourd’hui se trouvent au sein des unités peuvent laisser des traces numériques potentiellement exploitables par nos adversaires », souligne le lieutenant-colonel Ludovic Boncompain, officier de liaison Gendarmerie, affecté au Commandement de la cyberdéfense (ministère des Armées), et coordonnateur de la manœuvre Cyber d’ORION 26, aux côtés de l’Unité Nationale Cyber. « Concernant les véhicules utilisés pour le transport d’autorités, l’enjeu revêt une importance particulière. Le recueil de données à des fins malveillantes peut ainsi avoir une incidence directe sur la sécurité nationale. La Gendarmerie nationale est dotée de techniciens cyber extrêmement aguerris, qui interviennent chaque jour dans des environnements complexes. Outre la démonstration de ses capacités techniques, l’exercice a été l’occasion d’une sensibilisation collective à la menace. Conçue et réalisée au plus près des missions quotidiennes de nos militaires, cette séquence a en outre permis de travailler l’axe interservices et interarmées. »

La menace 3 D également au cœur de l’exercice

Quelques jours plus tard, un autre événement décisif se joue au cœur du Commandement de la cyberdéfense, situé à Saint-Jacques-de-la-Lande, près de Rennes (Ille-et-Vilaine). L’affaire débute lorsqu’un laboratoire d’analyses médicales reçoit un courriel proposant des tarifs préférentiels pour l’achat de chocolats de Pâques, émanant d’un médecin exerçant dans un hôpital militaire de Marseille, avec lequel collabore habituellement le laboratoire. Il s’agit en fait d’un courriel frauduleux déclenchant un « cryptolocker », logiciel malveillant qui verrouille le système informatique du laboratoire. Une rançon est exigée par les cybercriminels. Le laboratoire dépose alors plainte auprès de la Gendarmerie. En raison de l’implication d’un l’hôpital des Armées, une procédure cyber est enclenchée, faisant appel à la chaîne nationale CyberGend. Un groupe d’investigations cyber, formé de trois enquêteurs spécialisés en technologies numériques, est aussitôt créé. Placé sous le commandement d’un lieutenant de Gendarmerie, récemment affecté à l’UNCyber, ce groupe se projette à Saint-Jacques-de-la-Lande, où un travail conjoint est engagé avec les militaires du Service de santé des Armées (SSA), du Centre d’audits de la sécurité des systèmes d’information (CASSI), ainsi que du COMCYBER. L’enquête s’articule alors autour de deux volets : technique et judiciaire.

Durant le temps de l’enquête survient un nouvel incident. La ville de Toulon, dans le Var, est la cible d’une attaque de drone provoquant l’explosion d’un dépôt de carburant. Les enquêteurs spécialisés de la Section de recherches de l’Air et de l’Espace établissent des liens avec certains éléments recueillis à la faveur des différentes enquêtes, conduites dans le cadre de l’exercice. Les cybercriminels ont ainsi fait l’acquisition de dix drones. Soit autant d’attaques planifiées. Il s’avère que huit attaques ont pu être déjouées. L’un des dix aéronefs est celui impliqué dans l’attaque de la capitale varoise. Le dernier drone demeure introuvable. Les enquêteurs parviennent alors à établir, à la lumière des éléments techniques collectés sur les téléphones et les ordinateurs saisis, que la prochaine cible des cybercriminels n’est autre que le quartier Stéphant, siège du commandement du groupement de cyberdéfense des Armées.

Face à la menace identifiée, un exercice a été organisé le 20 février afin de tester les capacités de réaction des militaires en conditions réelles – notamment des Sentinelles – ainsi que l’efficience de la chaîne de remontée d’informations en cas d’alerte. Un drone a ainsi survolé la base Stéphant durant un quart d’heure. Une fois l’appareil neutralisé, une démonstration de Lutte anti-drone (LAD) a été réalisée par une équipe de la Région de Gendarmerie Bretagne (RGBRET) au profit des militaires du quartier.

Un engagement à la hauteur de l’enjeu

Diversifiées et jouées aux quatre coins du territoire national, les différentes séquences cyber élaborées dans le cadre d’ORION 26 ont constitué les briques d’un scénario global de grande ampleur.
Au fil des enquêtes parallèles, des événements et des rebondissements qui se sont succédé durant quatre semaines, les enquêteurs sont parvenus à déjouer les dangers et établir des rapprochements entre les différentes séquences. Un scénario s’est alors dessiné. De l’assassinat du général au projet d’attaque 3 D du Commandement de la cyberdéfense, en passant par les campagnes d’hameçonnage ciblé et les attaques par rançongiciel… Une seule et même équipe « criminelle » est finalement à l’origine de l’ensemble des faits.

Conçu sur la base de scénarios crédibles, inspirés des méthodes qu’utilisent les criminels et les acteurs étatiques, parfois en concertation, ces exercices cyber ont permis de répondre à plusieurs objectifs clés que sont :
– l’amélioration de la détection d’actions suspectes à proximité d’emprises sensibles ;
– la capacité à apporter une réponse efficace et ciblée en cas d’Atteinte à un système de traitement automatisé de données (ASTAD) survenant en zone Gendarmerie, et à identifier les points de vulnérabilité de nos systèmes, entrées potentielles en cas d’attaque cyber ;
– la coordination et la subsidiarité des unités, ainsi que la remontée et le partage de renseignement d’intérêt cyber entre la gendarmerie et ses partenaires ;
– la validation de la chaîne de transmission de l’information captée à destination des organes de commandement ;
– le renforcement des compétences cyber des enquêteurs ;
– la sensibilisation aux actions de cybermalveillance et aux évolutions technologiques associées.

L’exercice cyber ORION 26, qui s’est achevé par l’organisation d’un « VIP DAY », ayant réuni les partenaires civils et militaires, dont les généraux Patrick Touak (chef du COMCYBER-MI) et Hervé Pétry (chef de l’UNCyber), a démontré la pleine capacité des forces armées à réagir collectivement et monter en puissance dans des délais très courts, par le déploiement structuré de compétences et de moyens, quels que soient la nature et le niveau de la menace.