Le cyberespace n’est plus seulement un terrain d’attaque contre les entreprises. Il devient l’infrastructure opérationnelle du crime organisé : repérage des victimes, achat de données, compromission de comptes, extorsion, blanchiment en cryptoactifs, intimidation physique. La criminalité utilise aujourd’hui le numérique pour frapper plus vite, plus loin et plus efficacement dans le monde réel.
Le crime organisé est entré dans l’âge de la plateforme. Ses acteurs louent des accès, achètent des données issues de fuites, recrutent des complices, sous-traitent le blanchiment, exploitent des messageries chiffrées et monétisent les attaques via des circuits crypto. Le ministère de l’Intérieur a recensé 453 200 atteintes numériques en 2025, en hausse de 87 % sur cinq ans, et décrit le passage d’un cybercrime opportuniste à un écosystème structuré mêlant outils techniques, ingénierie sociale, marchés noirs et circuits financiers spécialisés. Ce n’est plus du bricolage criminel. C’est une industrie.
Le crime organisé passe en mode plateforme
Les exemples sont suffisamment nombreux pour sortir du registre de l’alerte théorique. EncroChat a montré l’ampleur du phénomène : le démantèlement de cette messagerie utilisée par des groupes criminels a conduit, selon Europol, à plus de 6 500 arrestations et près de 900 millions d’euros saisis. Sky ECC, puis Ghost, ont confirmé le même schéma : des outils conçus ou détournés pour permettre à des réseaux de trafic de drogue, de blanchiment et de violences organisées d’échapper aux investigations.
Le ransomware fonctionne sur la même logique. LockBit n’était pas seulement un logiciel malveillant, mais une organisation en réseau, avec affiliés, outils, marque, site de fuite, infrastructure de paiement et mécanique de pression. L’opération Cronos, coordonnée en 2024 avec Europol, le FBI, la NCA britannique et plusieurs pays, a visé cette infrastructure (à savoir des serveurs, des comptes crypto, des clés de déchiffrement, des affiliés..). Pour frapper une organisation criminelle numérique, il faut casser son outil de production.
Cette industrialisation touche aussi le monde physique. Données personnelles, fonctions professionnelles, adresses, liens familiaux ou signes extérieurs de richesse deviennent des matériaux de ciblage. Le ministère de l’Intérieur a reconnu en 2025 une montée des enlèvements et tentatives d’enlèvement visant des professionnels du secteur crypto, avec demandes de rançon en cryptoactifs, parfois accompagnées de violences extrêmes. Le numérique ne remplace pas la criminalité classique. Il l’augmente.
Pour les défenseurs, la réponse ne peut plus être en silos
Cette hybridation oblige magistrats, policiers et gendarmes à changer d’échelle. Une affaire ne se résume plus à un serveur compromis, à un portefeuille crypto ou à une victime isolée. Elle relie souvent fuite de données, compte compromis, infrastructure d’hébergement, messagerie, flux financiers, complices internationaux et parfois violences physiques. C’est l’intérêt de la section J3 du parquet de Paris, intégrée à la Junalco : centraliser les dossiers cyber complexes et traiter les affaires à forte dimension internationale, technique ou stratégique.
Mais le vrai point faible reste la fragmentation. Les criminels coopèrent mieux que leurs adversaires. Ils partagent des outils, revendent des accès, recyclent des données et déplacent les profits. En face, l’entreprise hésite à signaler, le prestataire conserve une partie des traces, l’assureur raisonne en sinistre, le RSSI en incident, le juriste en risque, l’enquêteur en procédure et le magistrat en qualification pénale. Ce découpage est logique administrativement, mais dangereux opérationnellement.
La coopération public-privé devient donc une condition de défense. Les entreprises doivent conserver les journaux techniques, qualifier rapidement les faits, documenter la chaîne de preuve, signaler les compromissions, partager les indicateurs utiles et préparer le dialogue avec les autorités avant la crise. Quant aux plateformes crypto, aux hébergeurs, aux éditeurs, aux opérateurs télécoms, aux prestataires de réponse à incident et aux services d’enquête, ils doivent travailler plus vite sans dégrader la preuve ni les droits fondamentaux.
La criminalité organisée a compris qu’elle pouvait fonctionner comme un écosystème numérique. Les défenseurs n’ont donc plus le luxe de rester organisés comme des guichets séparés.
