Les autorités polonaises et des chercheurs indépendants ont attribué une cyberattaque à grande échelle contre le réseau électrique polonais fin décembre 2025 à des hackers d’État liés à la Russie. L’attaque visait les systèmes qui gèrent la production et la distribution d’énergie et impliquait des logiciels malveillants conçus pour effacer les données des systèmes de contrôle industriel et perturber les opérations. L’incident n’a pas provoqué de pannes massives, mais les responsables l’ont décrit comme l’une des opérations cyber les plus importantes jamais dirigées contre les infrastructures critiques polonaises.
Le gouvernement polonais a rapporté que des systèmes les 29 et 30 décembre avaient été soumis à des tentatives d’intrusion numérique visant les réseaux de technologies de l’information et de technologie opérationnelle des centrales thermiques et électriques combinées ainsi que les systèmes de gestion des installations d’énergie renouvelable. Ces systèmes coordonnent la production d’électricité provenant des éoliens, des parcs solaires et d’autres sources d’énergie distribuées. Les autorités polonaises ont déclaré que les attaques avaient été repoussées avant toute coupure de courant.
Les analystes de sécurité d’une société ESET de cybersécurité ont identifié le malware utilisé dans l’incident comme une nouvelle variante du logiciel d’essuie-glace appelé DynoWiper. ESET a attribué l’attaque à un groupe de menace persistante avancé russe de longue date, largement connu sous le nom de Ver des sables, que les gouvernements occidentaux associent à la Direction principale du renseignement russe (GRU). Le groupe a été lié à des campagnes cybernétiques perturbatrices précédentes, notamment une attaque contre le réseau électrique ukrainien en 2015.
Le ministre polonais des Affaires numériques a déclaré que cet incident était la première attaque à grande échelle connue contre les ressources énergétiques distribuées et a décrit le ciblage des grandes et petites installations renouvelables comme une escalade des cybermenaces pour le secteur de l’énergie. Les responsables ont indiqué que l’attaque montrait comment les systèmes numériques reliant les actifs de production d’énergie aux infrastructures de contrôle du réseau peuvent être exploités.
Le Premier ministre Donald Tusk et des responsables de l’énergie ont déclaré que l’opération semblait destinée à perturber la communication entre les centrales de production et les opérateurs du réseau. L’ampleur et la sophistication de l’attaque ont suscité des avertissements des autorités nationales selon lesquelles les infrastructures critiques restaient vulnérables à de futures incursions d’acteurs liés à l’État. Malgré l’absence de pannes, cet épisode a déclenché des plans visant à renforcer les exigences en cybersécurité des systèmes énergétiques et à doter les opérateurs publics et privés d’outils avancés pour la détection et la réponse aux menaces.
Des rapports indépendants ont indiqué que les chercheurs ayant analysé les malwares et les techniques d’intrusion ont constaté de fortes similitudes avec les campagnes précédentes de Sandworm, notamment des chevauchements de code et des tactiques compatibles avec des acteurs liés au GRU. Les gouvernements occidentaux ont, par le passé, officiellement attribué les cyberattaques destructrices contre les infrastructures européennes à des unités du renseignement militaire russe et imposé des sanctions liées à de telles opérations.
Le ministre polonais de l’Énergie a qualifié l’événement de fin décembre de cyberattaque la plus puissante contre le système énergétique national depuis des années et a confirmé que les mesures défensives avaient permis d’éviter les coupures de courant des consommateurs en période de froid. L’évaluation du gouvernement a souligné l’importance de la vigilance et d’une protection renforcée des réseaux d’infrastructures critiques.