À travers un rapport technique inédit élaboré par le Centre de Coordination des Crises Cyber (C4), qui réunit l'ANSSI, le COMCYBER, la DGSE, la DGSI et la DGA, document rendu publique le 13 juillet 2026, le 16ᵉ Centre du Service fédéral de sécurité de la Fédération de Russie (FSB) est désigné comme responsable d'une campagne de cyberespionnage de grande ampleur menée contre des intérêts français et européens.
Au cœur de cette attribution figure Turla, un mode opératoire d'attaque (MOA) identifié comme l'un des principaux outils offensifs du renseignement russe. Les investigations menées par les membres du C4 ont permis d'établir que le 16ᵉ Centre du FSB, également connu sous le nom d'unité militaire 71330, met en œuvre plusieurs modes opératoires destinés à conduire des opérations de renseignement contre les intérêts français et européens, parmi lesquels Turla occupe une place centrale.
Actif depuis au moins 2004, Turla est utilisé dans des campagnes de collecte clandestine de renseignements à l'échelle mondiale. Ses cibles couvrent un spectre particulièrement large : administrations gouvernementales, représentations diplomatiques, ministères de la Défense, organismes de recherche, entreprises développant des technologies avancées, établissements d'enseignement, médias, acteurs du secteur énergétique, mais également certaines personnes physiques présentant un intérêt stratégique.
L'objectif est clair : accéder durablement à des informations sensibles au profit des services de renseignement russes.
Le rapport souligne que cette menace s'inscrit dans la durée et repose sur une organisation particulièrement structurée. Les opérateurs de Turla privilégient des campagnes d'espionnage discrètes, fondées sur des techniques d'hameçonnage ciblé, l'exploitation de vulnérabilités informatiques, la compromission de serveurs et l'utilisation d'infrastructures légitimes détournées afin de masquer leurs activités. Ils développent également leurs propres logiciels malveillants tout en réutilisant des outils déjà connus pour maintenir un haut niveau de furtivité.
Les investigations françaises révèlent que plusieurs organisations nationales ont été directement visées au cours de la dernière décennie. Parmi les victimes figurent notamment le ministère des Armées, dont des comptes de messagerie ont été compromis à partir de 2017, l'ambassade de France à Moscou en 2018, une entité du secteur de la Justice en 2019 ainsi qu'une entreprise française spécialisée dans les technologies avancées en 2025.
Les experts du C4 ont également identifié de nombreuses victimes dites « intermédiaires » – associations, PME, entreprises ou particuliers – dont les systèmes d'information ont été détournés afin de servir de relais techniques aux campagnes de Turla.
Cette publication marque une évolution importante de la doctrine française en matière de cyberdéfense. En rendant publique cette attribution, la France affirme sa capacité à identifier les auteurs d'opérations cyber complexes grâce à ses propres moyens d'analyse et de renseignement technique. Elle adresse également un message politique fort en inscrivant cette démarche dans une réponse coordonnée avec l'Union européenne face aux opérations hybrides menées par la Russie.
Au-delà de l'identification de l'auteur, ce rapport rappelle que le cyberespace est désormais un champ d'affrontement stratégique permanent. Les infrastructures publiques comme les entreprises privées constituent des cibles privilégiées, non seulement pour les informations qu'elles détiennent, mais aussi pour les capacités qu'elles peuvent offrir aux attaquants. Dans ce contexte, la coopération entre les acteurs de la cybersécurité, les services de renseignement et les organisations publiques et privées apparaît plus que jamais comme un levier essentiel de la résilience nationale.
