L’essor des attaques hybrides dissipe l’illusion du tout-virtuel pour replacer l’infrastructure matérielle au centre des enjeux. Cette mutation exige désormais une fusion cohérente entre sécurité physique et protection numérique des organisations.
La transformation numérique accélérée fait oublier que nos données reposent sur des infrastructures matérielles bien concrètes. Or cette dématérialisation illusoire masque une faille béante où la sécurité physique s’efface devant les protections logiques. Baptiste Dupart, Directeur du développement chez STiD, constate une recrudescence inquiétante d’attaques hybrides ciblant directement ces actifs tangibles négligés. « Une attaque critique commence probablement hors de votre Système d’Information ».
L’illusion du 100% virtuel, l’IT oublie ses actifs physiques
Une grande tendance et la définition presque de l’innovation et du progrès : la virtualisation s’ancre partout. Les entreprises et les institutions embrassent une vision largement dématérialisée de leur système d’information.
Réseaux centralisés, généralisation du télétravail, migration massive vers le Cloud, digitalisation des documents et signatures électroniques… Cette vision de l’informatique « hors-sol » crée l’illusion d’un univers purement logique, où les menaces se limiteraient à des failles logicielles exploitées à distance.
Les frontières de l’entreprise semblent s’être évaporées dans le réseau. Un trompe-l’œil dangereux. Comme le souligne Baptiste Dupart, « nous vivons une digitalisation de notre vie sociale et de nos espaces de travail, mais les actifs physiques subsistent : bâtiments, badges, câbles et datacenters ».
Cette vision « désincarnée » de la menace a créé un déséquilibre dans les investissements de sécurité. Les entreprises aveuglent leurs pare-feu et multiplient les audits de code, mais laissent parfois la porte de leurs techniques locales vulnérables.
Le Directeur du développement chez STiD illustre ce risque d’un exemple simple. Un attaquant choisit la facilité pour son acte malveillant. Les hôpitaux sont des bâtiments ouverts au public donc il est important de sécuriser l’accès aux salles sensibles, comme les serveurs, grâce un contrôle des accès, de la vidéo, ou de la détection d’intrusion.
Une attaque hybride utilise, par définition, un levier physique — clé USB, copie de badge d’accès ou intrusion matérielle — pour orchestrer une cyberattaque sur un réseau IT. Dans ce cas de hôpital, cela peut entraîner le blocage des unités de soin, l’arrêt des admissions ou des sorties de patients, ainsi que l’impossibilité d’accéder aux dossiers médicaux etc…
« Si nous pensons que tout se passe en virtuel, nous laissons la porte ouverte à des compromissions « faciles » des installations physiques qui n’auront pas le niveau de sécurité adéquat », prévient Baptiste Dupart.
Anatomie de l’attaque hybride : du badge obsolète au sabotage d’infrastructure
Aujourd’hui, on estime que 10 % des vols de données passent par ces vecteurs hybrides. Plus alarmant encore, selon le Physical Security Report 2025 , 42 % des incidents de sécurité impliquent un accès physique non autorisé.
Les modes opératoires s’adaptent précisément à la maturité de chaque cible. L’assaillant manipule l’humain par l’ingénierie sociale ou surveille discrètement les rondes de sécurité.
Des techniques pointues ciblent ensuite les failles techniques des infrastructures. Les cybercriminels déploient alors des attaques relais ou interceptent les communications par sniffing.
Ils exploitent directement les câblages pour contourner les défenses logiques. À titre non exhaustif, les plus classiques sont :
- Le détournement d’outils connectés : les attaquants utilisent des « sniffers » ou des attaques relais pour intercepter des communications.
- L’intrusion par ruse : un individu peut se faire passer pour un prestataire ou profiter de la courtoisie d’un employé qui lui tient la porte alors qu’il transporte des cartons.
- Le « USB drop » : déposer une clé USB corrompue sur un parking pour qu’un employé, par curiosité ou bienveillance, l’insère dans le réseau interne.
- L’obsolescence technique : l’utilisation de badges RFID d’accès et de lecteurs fonctionnant sur des fréquences non sécurisées (comme le 125 kHz) facilite le clonage des badges des accès.
Les badges RFID nécessitent des investissements importants, souvent prévus sur plusieurs années. En moyenne, un lecteur de contrôle d’accès reste installé au minimum dix ans.
Les équipementiers doivent donc concevoir des systèmes secure by design, robustes et évolutifs afin de faciliter la gestion des parcs installés tout en respectant le futur cadre réglementaire européen.
Au-delà de l’espionnage industriel, ces méthodes servent des objectifs de déstabilisation étatique. Les épisodes de sabotages télécoms survenus en France en 2023 illustrent cette « guérilla infrastructurelle ».
En sectionnant des câbles ou en dégradant des relais, les attaquants peuvent paralyser une région entière, bloquant les services d’urgence, la logistique et les paiements. Pour Baptiste Dupart, ces actes visent à briser la confiance envers l’État : « La nation peut perdre confiance en son gouvernement et subir une mauvaise presse sur la scène internationale ».
Gouvernance et NIS 2… une fusion nécessaire du cyber et du physique
La sécurité physique gérait autrefois les flux logistiques tandis que le cyber relève de la stratégie pure. Cette séparation historique devient aujourd’hui totalement obsolète pour les entreprises modernes. « Les décideurs vont vers une gestion globale du risque : ils ont compris qu’il n’y a plus de frontière entre le cyber et le physique », observe le dirigeant de STid.
La directive européenne NIS 2 impose désormais une législation majeure tournante aux organisations. Elle transforme la contrainte réglementaire en une évolution indispensable pour la résilience collective.
Ce texte intègre la sécurité physique dans ses exigences techniques fondamentales. Les entités doivent ainsi auditer leurs logiciels, leurs contrôles d’accès et la traçabilité des équipements. Pourtant, des freins économiques ralentissent encore la mise aux normes des sites stratégiques.
Sécuriser un bâtiment requiert des investissements lourds dans des composants de haute technologie. Les experts doivent concevoir des systèmes sur-mesure pour éviter toute obsolescence précoce.
Toutefois, le maillon humain demeure le point de rupture le plus fragile de cette chaîne de contrôle. Les erreurs de manipulation et le manque de sensibilisation ouvrent souvent la porte aux intrusions.
Blinder les défenses logiques sans verrouiller les accès physiques condamne toute stratégie de défense. « Mon conseil ?Bien comprendre la menace que représente désormais l’intrusion physique et penser sa sécurité dans sa globalité plutôt que de compartimenter la logique et le physique » conclut Baptiste Dupart.
