Une centrale de chauffage dans l’ouest de la Suède devait passer à la casse. Au printemps 2025, des hackers liés aux services de renseignement russes se sont glissés dans le système qui pilote les turbines. Un mécanisme de protection intégré les a stoppés avant qu’ils ne coupent quoi que ce soit. Pendant un an, Stockholm n’a rien dit. Ce mercredi, le gouvernement suédois a enfin parlé.
La révélation qui change tout
Carl-Oskar Bohlin, ministre suédois de la Défense civile, a réuni la presse pour révéler l’incident. Son message tient en une phrase : la Russie ne se contente plus de faire tomber des sites web, elle cherche à casser des machines. « La Säpo a pris le dossier en main et a pu identifier l’acteur. Par chance, aucune conséquence sérieuse ne s’est produite grâce à un mécanisme de protection intégré », a-t-il déclaré selon The Local Sweden. Le nom de la centrale n’a pas été rendu public, ni celui du groupe pro-russe responsable.
L’attaque visait ce que les spécialistes appellent un système OT, pour « operational technology ». Derrière ce jargon se cache le logiciel qui contrôle les vannes, les turbines, les capteurs de température, les automates qui pilotent physiquement la centrale. Quand un hacker prend la main sur un OT, il ne vole pas des données. Il peut éteindre une chaudière, faire sauter un disjoncteur, ou forcer une pompe à tourner jusqu’à la casse. C’est ce genre de sabotage que les enquêteurs suédois ont repéré à temps.
Un an de silence, une annonce calculée
Pourquoi révéler un incident vieux de douze mois précisément maintenant ? Bohlin n’a pas voulu détailler. Mais le calendrier parle. L’OTAN tient sa prochaine réunion ministérielle fin avril, et l’Union européenne négocie un nouveau paquet de sanctions cyber contre Moscou. Stockholm, qui soutient militairement Kiev, a besoin de montrer que la menace russe dépasse l’Ukraine et atteint désormais directement le territoire d’un État membre de l’Alliance.
Le ministre a employé trois mots qui ont fait tilter les analystes : « plus risquée, plus imprudente ». Selon lui, le comportement de la Russie « pointe vers une conduite changée, plus tolérante au risque, plus imprudente, pouvant avoir des effets très néfastes sur la société ». Dans la diplomatie suédoise, ce vocabulaire équivaut à un signal d’alarme. L’ancien pays neutre, qui a rejoint l’OTAN en mars 2024, ne veut plus jouer la discrétion quand des infrastructures vitales sont visées.
Du déni de service au sabotage physique
Pendant des années, les groupes pro-russes se sont contentés d’attaques par déni de service (DDoS) : saturer un site jusqu’à le faire tomber quelques heures. Gênant, spectaculaire, mais rarement grave. La mutation décrite par Bohlin est d’une autre nature. « Ces groupes qui menaient autrefois des attaques de déni de service tentent maintenant des cyberattaques destructrices contre des organisations en Europe », a rapporté TechCrunch en citant le ministre.
Deux collectifs reviennent régulièrement dans les rapports occidentaux : NoName057(16) et CyberArmyofRussia_Reborn. Les autorités américaines les ont classés groupes soutenus par le gouvernement russe, accusés de viser les secteurs de l’énergie, de l’eau et de l’agroalimentaire en Occident. Les deux affichent une vitrine « hacktiviste », mais leurs outils et leurs cibles trahissent une coordination avec des services étatiques, selon plusieurs analyses de Recorded Future.
La Scandinavie dans la ligne de mire
La Suède n’est pas un cas isolé. Le think tank américain CSIS, qui tient un registre public des incidents cyber majeurs, recense plusieurs attaques jumelles sur l’arc nordique et baltique. En novembre 2023, vingt-deux compagnies d’électricité danoises ont été piratées dans ce que les autorités de Copenhague ont qualifié de plus grande cyberattaque jamais subie par leurs infrastructures critiques. En avril 2025, un barrage norvégien à Bremanger a été brièvement pris en main par des attaquants russes, provoquant une ouverture intempestive de ses vannes, selon une attribution officielle publiée à Oslo en août.
La Pologne cumule plusieurs assauts. Un acte de sabotage a bloqué ses trains en 2023 via une interception des fréquences radio ferroviaires. En mai 2025, une centrale hydroélectrique à Tczew a été perturbée, avant une seconde attaque plus destructrice à l’été. Varsovie a désigné le groupe Sandworm, unité connue des services de renseignement militaires russes, comme responsable. Chaque incident suit le même schéma : intrusion dans l’OT, tentative de manipulation physique, défaillance contenue de justesse par les équipes locales.
Stockholm serre les boulons
Face à cette pression, la Suède accélère. Bohlin a annoncé la montée en puissance du nouveau Centre national de cybersécurité, qui vient de publier un guide technique destiné aux opérateurs d’infrastructures critiques. Le document détaille les bonnes pratiques pour cloisonner les réseaux OT, couper les accès distants inutiles, et auditer les automates programmables. Le ministre a aussi appelé les directions d’entreprise à faire remonter la cybersécurité au niveau du conseil d’administration, plutôt que de la laisser aux équipes IT.
La Säpo, le service de sécurité suédois, a de son côté élargi ses effectifs dédiés au contre-espionnage cyber depuis l’adhésion à l’OTAN. Le budget de la défense civile suédoise a bondi de 40 % entre 2022 et 2025, avec une priorité affichée sur la résilience énergétique. Le pays scandinave, qui chauffe une partie de sa population grâce à des réseaux de chaleur alimentés par ces centrales thermiques, considère toute coupure comme un risque vital en hiver.
Ce que l’Europe retient
L’annonce de Bohlin résonne comme un avertissement adressé à tout le continent européen. L’agence européenne ENISA a chiffré à plus de 300 le nombre d’incidents cyber visant des infrastructures critiques en 2024 dans l’Union, contre 150 en 2022. La tendance ne faiblit pas. Les opérateurs français de transport d’électricité et de gaz ont été placés en vigilance renforcée depuis le début de l’année, selon les informations confirmées par l’ANSSI.
Reste une question que les experts posent à voix basse : combien d’attaques similaires ont échoué sans être rendues publiques ? Les entreprises n’ont aucun intérêt commercial à publier leurs incidents, et les États n’ont pas toujours envie de reconnaître leurs vulnérabilités. En rompant le silence après un an, la Suède a fait un choix. Le prochain conseil européen des ministres de l’Énergie se tient le 23 avril à Bruxelles, avec un point dédié à la cybersécurité des réseaux de chaleur et d’électricité.
