Le 161e centre de formation spécialisé, une façade administrative
L’unité 29155 est officiellement désignée comme le 161e centre de formation spécialisé du GRU, le renseignement militaire russe. Selon les enquêtes occidentales publiées depuis 2024, elle emploie environ 400 personnes, dont une soixantaine dans une sous-unité dédiée au sabotage et une dizaine dans un volet cyber plus restreint mais particulièrement actif. Elle serait placée sous le commandement du général Andreï Averianov, une figure du renseignement militaire russe déjà associée à plusieurs opérations extérieures controversées.
Cette unité n’a pas été créée pour la guerre en Ukraine. Elle existait bien avant, avec un historique documenté d’opérations de sabotage et d’assassinat en Europe : elle est notamment liée à la tentative d’empoisonnement de l’ex-espion Sergueï Skripal au Royaume-Uni en 2018, à une tentative de coup d’État au Monténégro en 2016, ainsi qu’à des explosions dans des dépôts de munitions en République tchèque et en Bulgarie.
Un passage du sabotage physique au piratage numérique
Ce basculement vers la cyberguerre s’est accéléré autour de l’invasion de 2022. Selon des enquêtes conjointes de plusieurs services occidentaux, cette unité a été directement impliquée dans le déploiement du logiciel malveillant WhisperGate contre plus de soixante-dix systèmes gouvernementaux ukrainiens le 13 janvier 2022, quelques semaines seulement avant l’invasion à grande échelle.
Ce détail chronologique compte énormément : la cyberattaque a précédé les chars. Le sabotage numérique n’était pas une réaction à la guerre, il en a été un prélude calculé, conçu pour désorganiser l’État ukrainien avant même le premier coup de feu.
Ce qui me frappe le plus dans cet historique, c’est la préméditation. WhisperGate n’était pas un test aléatoire. C’était une opération de déstabilisation lancée des semaines avant l’invasion, preuve que le Kremlin planifiait sa guerre hybride bien avant de la reconnaître publiquement.
Le bureau présidentiel, cible directe des campagnes de spear-phishing
Des ministères visés par des courriels piégés
Les enquêtes occidentales indiquent que l’unité 29155 a mené des campagnes de spear-phishing — des courriels frauduleux ciblés et personnalisés — contre le bureau présidentiel ukrainien et plusieurs ministères. L’objectif de ce type d’attaque n’est pas la destruction immédiate de données, mais l’infiltration silencieuse : obtenir un accès prolongé aux communications internes d’un gouvernement en guerre.
Le brigadier général Volodymyr Karastelov a confirmé publiquement que les agences gouvernementales figurent parmi les cibles prioritaires de ces campagnes russes, aux côtés des institutions financières et des infrastructures critiques. Cette confirmation officielle transforme ce qui pourrait sembler une hypothèse d’experts en fait établi par les autorités ukrainiennes elles-mêmes.
Le Service de sécurité ukrainien revendique des milliers d’attaques neutralisées
Depuis le début de la guerre, le Service de sécurité d’Ukraine, le SBU, affirme avoir neutralisé plus de 16 000 cyberattaques russes visant des systèmes ukrainiens. Ce chiffre, difficile à vérifier de manière indépendante dans son détail technique, donne néanmoins la mesure de l’intensité de cette guerre invisible qui se déroule en parallèle du front physique.
Ce volume d’attaques révèle une réalité simple : la cyberguerre russe contre l’Ukraine n’est pas un phénomène occasionnel. C’est une pression continue, quotidienne, qui mobilise des ressources humaines et techniques considérables du côté russe comme du côté ukrainien pour s’en défendre.
Seize mille attaques neutralisées, c’est un chiffre qui donne le vertige. Cela signifie que chaque jour de cette guerre comporte, en moyenne, plusieurs tentatives d’intrusion informatique contre l’État ukrainien. On ne peut plus parler d’incidents isolés.
Les médias ukrainiens, cibles privilégiées de la guerre numérique
Une attaque par déni de service d’une intensité rare
Selon Euromaidan Press, un site de télévision ukrainien a récemment subi une attaque par déni de service distribué atteignant 200 000 requêtes par minute, soutenue pendant environ trois heures par un réseau de machines compromises réparties entre l’Asie, l’Europe et les États-Unis. Ce type d’attaque vise à submerger un serveur de trafic frauduleux jusqu’à le rendre inaccessible au public.
Ce n’est pas un cas isolé. En 2025 déjà, un autre groupe audiovisuel ukrainien avait subi une attaque en deux temps : d’abord une campagne de phishing pour obtenir un premier accès, puis une tentative de pénétration plus profonde de l’infrastructure technique, déjouée par les services de sécurité ukrainiens avant qu’elle ne cause de dégâts irréversibles.
Pourquoi les médias sont une cible stratégique
Frapper les médias ukrainiens pendant une guerre a un objectif clair : couper ou perturber l’accès du public à une information fiable, au moment précis où cette information est la plus vitale. Un pays qui ne peut plus diffuser ses alertes, ses bilans ou ses vérifications factuelles devient plus vulnérable à la désinformation qui circule en parallèle sur les réseaux sociaux.
Cette logique explique pourquoi le Conseil national de la télévision et de la radiodiffusion d’Ukraine a lancé, en collaboration avec les autorités, un programme de résilience cybernétique couvrant vingt lieux régionaux dans vingt et un oblasts, avec environ 450 participants formés en 2026 aux bonnes pratiques de cybersécurité pour les rédactions.
Cibler la presse en temps de guerre n’a jamais été un hasard technique. C’est une stratégie vieille comme la propagande elle-même, simplement mise à jour avec des botnets modernes. Protéger les rédactions ukrainiennes, c’est protéger la vérité elle-même.
Un passé judiciaire déjà documenté par la justice occidentale
Cinq officiers du GRU inculpés aux États-Unis
En 2024, le département de la Justice américain a inculpé cinq officiers du GRU ainsi qu’un civil pour leur rôle présumé dans des opérations attribuées à l’unité 29155, offrant des récompenses allant jusqu’à 10 millions de dollars pour toute information menant à leur arrestation. Cette démarche judiciaire, rare pour ce type d’unité militaire étrangère, illustre la gravité avec laquelle Washington considère désormais ces activités.
Le centre national de cybersécurité britannique a publié, la même année, un avis conjoint avec plusieurs alliés occidentaux confirmant que cette unité militaire russe menait des campagnes de cyberattaques et de sabotage numérique dépassant largement le cadre du théâtre ukrainien, avec des cibles identifiées en Europe et en Amérique du Nord.
Des sanctions coordonnées mais encore incomplètes
La Nouvelle-Zélande a sanctionné en 2025 plusieurs membres présumés de cette unité, tandis que l’Union européenne a imposé des sanctions à trois officiers du GRU pour des piratages visant l’Estonie. Ces mesures, bien réelles, restent dispersées entre plusieurs juridictions plutôt que coordonnées dans un cadre unique et systématique.
Cette fragmentation des réponses occidentales pose une question de fond : tant que les sanctions resteront morcelées entre pays, l’unité 29155 continuera d’opérer avec un niveau de risque juridique personnel limité pour ses membres, protégés par le territoire russe où ils demeurent hors de portée des mandats d’arrêt occidentaux.
Des inculpations aux États-Unis, des sanctions néo-zélandaises, des mesures européennes ciblées : tout cela est utile, mais dispersé. Sans coordination internationale plus étroite, ces officiers du GRU continueront d’opérer en toute impunité derrière leurs frontières.
Le contexte plus large de la guerre hybride russe
Une guerre qui ne se limite jamais au champ de bataille
La guerre menée par la Russie contre l’Ukraine ne se résume pas aux lignes de front du Donbass. Elle comprend un volet numérique permanent, un volet énergétique, un volet informationnel, et désormais un volet maritime avec l’utilisation controversée de sa flotte pétrolière pour des opérations de surveillance en Europe. L’unité 29155 s’inscrit dans cette logique de guerre hybride multi-domaines qui caractérise la stratégie du Kremlin depuis plusieurs années.
Cette approche multidimensionnelle complique considérablement la tâche des alliés occidentaux de l’Ukraine, qui doivent défendre simultanément des infrastructures physiques, numériques et informationnelles contre un adversaire capable de frapper sur plusieurs fronts à la fois, souvent sans revendication officielle.
Pourquoi cela concerne directement l’Occident
Les cibles de l’unité 29155 ne se limitent pas à l’Ukraine. Les enquêtes occidentales ont documenté des opérations similaires en Europe et en Amérique du Nord, ce qui signifie que cette unité représente une menace transnationale, pas seulement un problème bilatéral russo-ukrainien.
C’est cette dimension transnationale qui justifie, selon plusieurs analystes occidentaux, une réponse coordonnée entre l’Ukraine et ses alliés, plutôt qu’une défense isolée limitée au territoire ukrainien.
Je le répète depuis des mois dans mes textes : ce qui frappe Kyiv aujourd’hui teste les défenses que Moscou déploiera ailleurs demain. Traiter cette unité comme un problème strictement ukrainien serait une erreur stratégique occidentale.
La réponse ukrainienne, entre formation et vigilance technique
Un effort de formation sans précédent pour les médias
Le programme de résilience cybernétique lancé par le Conseil national de la télévision et de la radiodiffusion ukrainien illustre une prise de conscience institutionnelle : la cybersécurité n’est plus seulement l’affaire des services de renseignement, elle doit devenir une compétence de base pour les rédactions elles-mêmes. Vingt lieux régionaux, vingt et un oblasts couverts, environ 450 participants formés en 2026 : ces chiffres montrent une volonté de démocratiser les réflexes de cyberdéfense au-delà des cercles spécialisés.
Cette approche décentralisée répond à une réalité simple : une rédaction régionale mal protégée peut devenir le maillon faible par lequel une attaque plus large s’infiltre dans l’écosystème médiatique national.
Les limites structurelles de cette défense
Malgré ces efforts, les autorités ukrainiennes elles-mêmes reconnaissent que la menace évolue plus vite que certaines défenses. Le brigadier général Karastelov n’a pas prétendu que la menace était sous contrôle total ; il a plutôt confirmé sa persistance et son ciblage précis des secteurs les plus sensibles de l’État ukrainien.
Cette honnêteté institutionnelle mérite d’être soulignée : reconnaître publiquement l’ampleur d’une menace, plutôt que de la minimiser, est une condition nécessaire pour mobiliser les ressources et les alliances nécessaires à une défense efficace sur la durée.
Je respecte cette transparence ukrainienne. Reconnaître qu’on est visé, plutôt que de le cacher par orgueil national, c’est une maturité institutionnelle rare en temps de guerre, et c’est exactement ce dont l’Ukraine a besoin pour rallier ses alliés.
Ce que révèle la préméditation de WhisperGate
Une opération conçue avant même l’invasion
Il faut revenir sur la chronologie de WhisperGate, ce logiciel malveillant déployé le 13 janvier 2022 contre plus de soixante-dix systèmes gouvernementaux ukrainiens, soit environ six semaines avant l’invasion à grande échelle du 24 février. Ce détail temporel n’est pas anecdotique : il démontre que la préparation numérique de cette guerre a précédé sa dimension militaire conventionnelle.
Les analystes occidentaux qui ont étudié ce logiciel ont noté qu’il était conçu pour ressembler à une attaque par rançongiciel classique, tout en étant en réalité un outil de destruction pure, sans intention réelle de restaurer les données contre paiement. Cette dissimulation délibérée visait à brouiller l’attribution et à ralentir la réponse ukrainienne dans les jours critiques précédant l’invasion.
Une leçon stratégique pour la suite du conflit
Cette préméditation numérique documentée en 2022 doit rester présente à l’esprit aujourd’hui, alors que les mêmes acteurs continuent leurs campagnes contre le bureau présidentiel et les médias ukrainiens. Le schéma se répète : préparer le terrain numérique avant, pendant, et potentiellement avant toute nouvelle escalade militaire.
Comprendre cette logique permet aux alliés occidentaux d’anticiper, plutôt que de simplement réagir, aux prochaines vagues de cyberattaques russes contre l’Ukraine ou contre eux-mêmes.
WhisperGate reste, pour moi, la preuve la plus glaçante de la préméditation russe. On ne déguise pas un outil de destruction en rançongiciel par accident. C’était calculé, testé, prêt à l’emploi des semaines avant les premiers chars.
La dimension financière des cyberattaques russes
Les institutions financières, cible parallèle aux ministères
Le brigadier général Karastelov a précisé que les institutions financières ukrainiennes figurent également parmi les cibles prioritaires de ces campagnes russes, aux côtés des agences gouvernementales et des médias. Une attaque réussie contre le système bancaire d’un pays en guerre pourrait avoir des conséquences bien plus larges qu’une simple interruption de service : elle toucherait directement la capacité de l’État à financer son effort de défense et à maintenir la confiance de sa population dans ses institutions.
Cette dimension financière de la guerre hybride russe reste moins documentée publiquement que les attaques contre les médias ou le gouvernement, en partie parce que les institutions financières communiquent généralement avec plus de prudence sur les incidents de sécurité qu’elles subissent, par crainte d’éroder la confiance des déposants.
Un risque systémique sous-évalué
Ce silence relatif ne signifie pas absence de risque. Au contraire, plusieurs experts en cybersécurité occidentaux estiment que les infrastructures financières critiques restent parmi les cibles les plus dangereuses en cas de réussite d’une attaque majeure, précisément parce que leurs effets se propagent rapidement à l’ensemble de l’économie d’un pays en guerre.
C’est un front que l’Ukraine et ses alliés doivent continuer de surveiller avec autant de vigilance que les cibles plus visibles comme les médias ou le bureau présidentiel.
Ce que le silence des banques ukrainiennes sur ces attaques ne dit pas m’inquiète parfois plus que ce que les rapports publics révèlent. Le secteur financier est un angle mort de cette guerre numérique qui mérite plus d’attention publique.
Le rôle trouble du général Andreï Averianov
Un commandant déjà cité dans plusieurs dossiers occidentaux
Le nom du général Andreï Averianov revient de façon récurrente dans les enquêtes occidentales consacrées à l’unité 29155. Il aurait supervisé, selon plusieurs services de renseignement européens, une série d’opérations extérieures allant du sabotage physique en Europe centrale jusqu’aux campagnes de cyberattaques plus récentes contre l’Ukraine. Sa présence à la tête de cette structure depuis plusieurs années illustre une continuité de commandement rare pour ce type d’unité clandestine.
Cette continuité n’est pas anodine. Elle signifie que les méthodes, les réseaux et les contacts opérationnels développés lors des précédentes opérations en République tchèque, en Bulgarie ou au Royaume-Uni ont pu être directement réinvestis dans la campagne numérique menée contre Kyiv depuis 2022.
Une chaîne de commandement qui protège ses officiers
Malgré les inculpations américaines et les sanctions européennes, aucune source occidentale n’a confirmé de sanction personnelle directe contre le général Averianov lui-même à ce jour, ce qui souligne les limites pratiques des mécanismes judiciaires internationaux face à des officiers protégés par leur propre État.
Cette impunité relative constitue, pour plusieurs analystes occidentaux, l’un des obstacles les plus sérieux à une dissuasion efficace contre ce type d’unité militaire spécialisée.
Tant qu’un général comme Averianov peut superviser ces opérations sans jamais craindre une conséquence personnelle directe, la dissuasion occidentale restera largement théorique. Sanctionner des officiers subalternes ne suffit pas si le sommet de la chaîne reste intouchable.
Pourquoi cette unité incarne la vision russe de la souveraineté ukrainienne
Un mépris systémique pour les institutions démocratiques
Consacrer une unité militaire entière, avec un commandement identifié et un historique documenté d’opérations en Europe, au piratage du bureau d’un président démocratiquement élu revient à nier, dans les faits, la légitimité même de cette élection et de cette souveraineté nationale. Ce n’est pas un hasard si le bureau de Volodymyr Zelensky figure explicitement parmi les cibles confirmées de ces campagnes.
Cette logique s’inscrit dans un discours plus large du Kremlin qui, depuis des années, conteste publiquement la légitimité de l’État ukrainien en tant qu’entité politique distincte de la Russie. Le piratage numérique devient alors un prolongement de cette contestation idéologique par des moyens techniques.
Un précédent inquiétant pour d’autres démocraties
Ce qui se joue contre le bureau présidentiel ukrainien aujourd’hui pourrait préfigurer ce que d’autres démocraties occidentales pourraient affronter demain, si des acteurs hostiles décidaient d’appliquer des méthodes similaires contre leurs propres institutions élues.
C’est précisément pour cette raison que la coopération entre les services ukrainiens et leurs homologues occidentaux, déjà documentée par les avis conjoints de cybersécurité publiés depuis 2024, doit continuer de s’approfondir plutôt que de se relâcher.
Piratage du bureau présidentiel, contestation de la légitimité ukrainienne, mépris pour le vote populaire : tout cela raconte la même histoire. Moscou ne voit pas Kyiv comme un partenaire souverain, mais comme une province récalcitrante à reprendre en main par tous les moyens, y compris numériques.
Les limites de ce que l'on peut affirmer aujourd'hui
Ce que les sources confirment et ce qu’elles ne confirment pas
Il est important de distinguer ce qui relève de faits confirmés publiquement — l’existence de l’unité 29155, son rôle dans WhisperGate, les inculpations américaines de 2024, les déclarations du brigadier général Karastelov sur les cibles prioritaires — de ce qui reste, à ce stade, non détaillé publiquement : le contenu exact des courriels de spear-phishing les plus récents, ou l’ampleur précise de la pénétration éventuelle des systèmes ciblés en 2026.
Cette prudence n’affaiblit pas le constat général. Elle le rend au contraire plus solide : ce que l’on sait avec certitude suffit déjà à établir la réalité d’une campagne russe structurée et persistante contre les institutions ukrainiennes.
Une vigilance qui doit rester documentée, jamais spéculative
Face à ce type de dossier, la tentation est grande d’extrapoler au-delà des faits confirmés. Ce texte a choisi de s’en tenir aux déclarations officielles et aux enquêtes vérifiables, plutôt que d’ajouter des détails invérifiables qui affaibliraient la crédibilité du constat global.
C’est cette rigueur qui permet, en définitive, de nommer clairement la responsabilité russe sans jamais franchir la ligne de la spéculation non fondée.
Je préfère un constat plus modeste mais entièrement vérifiable à une accusation spectaculaire mais fragile. Sur ce dossier comme sur tous les autres, la crédibilité se gagne par la rigueur, jamais par l’exagération.
Ce que cela signifie pour les mois à venir
Une menace qui ne va pas s’estomper d’elle-même
Rien dans l’historique de l’unité 29155 ne suggère qu’elle réduira ses activités contre l’Ukraine tant que la guerre se poursuivra. Au contraire, la persistance de ses méthodes depuis 2022, malgré les inculpations et les sanctions occidentales, montre que ces mesures juridiques et diplomatiques n’ont pas encore atteint un niveau suffisant pour dissuader concrètement ce type d’opération.
Les prochains mois devraient voir se poursuivre, sinon s’intensifier, ce type de campagnes, notamment autour de moments politiquement sensibles pour l’Ukraine, où la désorganisation des communications gouvernementales ou médiatiques offrirait au Kremlin un avantage tactique supplémentaire.
Ce que l’Occident devrait en tirer comme leçon
La leçon la plus importante de ce dossier n’est pas seulement ukrainienne. Elle concerne l’ensemble des démocraties occidentales confrontées à des acteurs étatiques prêts à utiliser des unités militaires entières pour saper des institutions démocratiques élues, par des moyens qui échappent largement aux catégories juridiques classiques de la guerre.
Renforcer la coordination internationale sur ce dossier, au-delà des sanctions dispersées actuelles, semble être la seule réponse à la hauteur de la persistance démontrée par cette unité depuis maintenant plusieurs années.
Je ne crois pas aux solutions rapides sur ce dossier. Mais je crois que chaque sanction coordonnée, chaque inculpation, chaque avis conjoint de cybersécurité rend la tâche un peu plus difficile pour ces officiers du GRU. La patience occidentale doit simplement durer plus longtemps que la leur.
Ce que Washington et Bruxelles pourraient encore faire
Des options concrètes encore sur la table
Plusieurs analystes occidentaux plaident pour une harmonisation des sanctions visant spécifiquement les membres identifiés de l’unité 29155, plutôt que la mosaïque actuelle de mesures américaines, européennes et néo-zélandaises appliquées séparément. Une liste commune, partagée entre Washington, Bruxelles et leurs partenaires du G7, renforcerait la portée symbolique et pratique de ces sanctions.
Un renforcement du partage de renseignement technique entre les services ukrainiens et occidentaux, déjà amorcé depuis 2024 via les avis conjoints de cybersécurité, pourrait également accélérer la détection précoce de nouvelles campagnes avant qu’elles n’atteignent leurs cibles finales.
Le coût politique de l’inaction
Ne rien faire de plus a également un coût : chaque mois sans réponse coordonnée renforce le sentiment, au sein du Kremlin, que ces opérations peuvent se poursuivre sans conséquence significative pour leurs commanditaires. C’est un signal que l’Occident ne peut plus se permettre d’envoyer, alors que la guerre entre dans sa cinquième année.
Ce constat vaut autant pour la cyberguerre que pour les autres dimensions du conflit : la lenteur de la réponse occidentale a, historiquement, toujours profité à Moscou.
Je le redis sans détour : l’inaction a un prix, et ce prix se paie en confiance ukrainienne envers ses alliés. Chaque mois de retard sur une réponse coordonnée est un mois de plus offert gratuitement au GRU.
Conclusion : nommer la menace ne suffit pas, il faut la contenir
Un dossier qui dépasse la seule Ukraine
L’unité 29155 du GRU n’est pas une curiosité technique réservée aux experts en cybersécurité. C’est l’instrument d’une stratégie délibérée visant à affaiblir un État souverain par des moyens numériques, avant, pendant et probablement après toute évolution du conflit sur le terrain. Son ciblage confirmé du bureau présidentiel ukrainien, des ministères, des institutions financières et des médias dessine une carte cohérente : celle d’une guerre hybride qui ne connaît pas de trêve, même quand les canons se taisent temporairement.
Les inculpations américaines, les sanctions européennes et néo-zélandaises, ainsi que les efforts ukrainiens de formation à la cyberrésilience constituent des réponses réelles, mais encore insuffisamment coordonnées face à la persistance de cette menace.
Ce qu’il faudra surveiller dans les prochains mois
La vraie mesure du sérieux occidental sur ce dossier se lira dans la capacité, ou l’incapacité, des alliés de l’Ukraine à harmoniser leurs sanctions et leurs mécanismes de défense cybernétique face à une unité qui, elle, continue d’opérer avec une remarquable continuité stratégique depuis maintenant plus de quatre ans de guerre ouverte.
C’est cette continuité russe, plus que n’importe quelle déclaration ponctuelle, qui devrait guider la vigilance occidentale dans les mois à venir.
Je referme ce commentaire avec une conviction simple : tant que le bureau d’un président élu pourra être ciblé sans conséquence sérieuse pour ses auteurs, la souveraineté numérique de toutes les démocraties restera fragile, pas seulement celle de l’Ukraine.
Signé Maxime Marquette, chroniqueur
Sources
Sources primaires
Ministère de la Défense d’Ukraine — contexte de sécurité et cyberdéfense, juillet 2026
Euromaidan Press — les médias ukrainiens, cible numéro un des cyberattaques russes, 1er juillet 2026
Army Inform — actualité de défense et de cybersécurité ukrainienne, juillet 2026
Sources secondaires
Foreign Policy — analyse de la guerre hybride russe
The Guardian International — couverture des cyberattaques russes contre l’Ukraine
Axios — contexte géopolitique de la cyberguerre russo-ukrainienne
Ce contenu a été créé avec l'aide de l'IA.