Comment avez-vous découvert que Coaxis était attaquée ?
Joseph Veigas : À 5h du matin, le service d’astreinte m’appelle : une partie de l’infrastructure n’est plus visible. On pense d’abord à une panne. Mais très vite, quand j’arrive sur le site, je comprends que c’est une cyberattaque. Et imaginez le choc quand on découvre que l’assaillant est Lockbit, l’un des cyberattaquants les plus dangereux au monde, connu pour s’en prendre à des cibles dans la défense ou le renseignement, la sidération est totale. On se demande : pourquoi nous ? On fait juste notre travail, en région, sans bruit.
Vous aviez l’habitude de contrer des attaques. Qu’est-ce qui rend celle-ci différente ?
J.V. : Ce n'était pas la première attaque en effet. Les sujets de sécurité sont extrêmement prégnants dans notre activité comme chez la plupart des acteurs du numérique. Tous les jours ou presque, nous décelons des tentatives d'attaques sous des formats divers, allant de l'attaque de type DDos (ndlr : par déni de service distribué), jusqu'à des manœuvres beaucoup plus insidieuses.
Ce jour-là, la différence c’était la planification pointue de l’attaque. Ils ont usurpé l’identité d’un collaborateur d’un de nos clients, avancé sous les radars, testé nos défenses. Et quand ils se aperçus qu’ils ne pouvaient pas accéder à nos sauvegardes et qu’ils se sont retrouvés bloqués par nos parefeux , ils ont lancé un cryptolockage qui a chiffré 24 % de nos serveurs avant qu’on puisse tout bloquer dans la nuit du 8 au 9. Et ils nous ont envoyé un fichier de demande de rançon, un ransomware de 5 millions de dollars. C’était méthodique, violent, parfaitement exécuté.
(Ransomware = logiciel malveillant qui chiffre les données et exige une rançon. Cryptolockage = blocage par chiffrement.)
Le message commençait par "Don't go to the police", puis précisait qu’il fallait payer une rançon en cryptomonnaie. Il y avait même un lien explicatif : on aurait dit le paiement de la rançon pour les nuls.
Quel a été l’impact immédiat pour vos clients ?
J.V. : On connaît notre rôle : nous hébergeons les données de milliers d’entreprises, dont beaucoup de cabinets d’expertise comptable. Leur système d’information était indisponible. Les premiers ont pu remonter en huit jours, les derniers en un mois. Pour une PME comme nous, c’est un scénario atomique. On savait que ce serait très dur pour eux, et c’est aussi ce qui crée la sidération : on mesure immédiatement l’ampleur. Là où les experts annonçaient deux à trois mois de travail, il n’en aura fallu qu’un seul pour reconstruire 25 ans de système d’information.
Vous décrivez une violence psychologique forte. Comment l’avez-vous vécue ?
J.V. : Une cyberattaque c’est une action violente qui a un impact sur nos infrastructures, mais aussi sur nous, nos collaborateurs, nos clients, et les collaborateurs de nos clients. J’ai mis dix-huit mois à retrouver un sommeil normal. Nous n'avons pas eu d'armes pointées sous le nez, mais c'était tout comme.
Ce qui m'a le plus touché, c'est de voir nos efforts des années passées mis à l'épreuve d'un coup car, nous prenions soin d’accompagner nos clients sur ces sujets de manière continue et professionnelle. Nous avions le sentiment de bien faire notre travail, d'avoir bien renforcé nos sécurités au fur et à mesure que la menace cyber évoluait, et nous étions loin d'imaginer que nous pourrions être victimes d'une telle cyberattaque alors que nous étions préparés.
On ne sort jamais indemne d’une cyberattaque. Sur le plan financier, cela se chiffre à plusieurs millions et sur le plan humain, c’est si abrupt, si violent… Ce ne sera jamais complètement digéré. Mais nous avons protégé le patrimoine numérique de nos clients et aujourd’hui nous sommes plus vigilants que jamais face à un risque endémique.
Comment s’organise la réponse à une attaque de cette ampleur ?
J.V. : Dès 8h, le jour J, on active la cellule de crise avec Orange Cyberdefense. À midi, une “zone propre” est déjà en construction : des serveurs neufs, isolés, pour reconstruire sans risque de contamination. Tous les métiers sont mobilisés : technique, commerce, RH, juridique, communication. Certains collaborateurs restaient plus de 24 h sur site pour aider à la reconstruction des systèmes. Il a fallu gérer l’humain autant que la technique.
Ce que révèle le Security Navigator 2026
- Depuis 2020, le nombre de victimes de cyberextorsion (Cy-X) a triplé, avec une hausse de 44,5 % en 2025 dans le monde.
- 2/3 de ces attaques sont subies par des PME, avec des croissances significatives en Europe (+91 % en Allemagne, +54 % en France).
- Les cybercriminels ciblent désormais les PME pour atteindre l’écosystème des grandes entreprises car elles constituent un maillon essentiel des chaînes d’approvisionnement.
Le Security Navigator 2026 est l’enquête internationale annuelle conduite par Orange Cyberdefense. Ses conclusions s’appuient notamment sur l'analyse de plus de 139 000 incidents de sécurité entre octobre 2024 et septembre 2025 et de divers travaux de recherche reposant sur sa base de données de renseignement cyber propriétaire et des sources OSINT, Open Source Intelligence.
Qu’a apporté Orange Cyberdefense dans cette reconstruction ?
J.V. : Ils ont travaillé avec nous comme s’ils faisaient partie de l’entreprise. Nous devions remonter le système vite mais sans brûler d’étape au risque de passer à côté d’une faille par exemple. Et grâce à Orange Cyberdefense, nous avons pu bénéficier des conseils de leurs équipes pour faire les bons arbitrages. Résultat : aucune donnée client n’a été exfiltrée. Leur patrimoine numérique a été protégé. Et ça, c’est essentiel : les cybercriminels n’ont pas atteint leur objectif.
Quelles leçons tirez-vous de cette attaque ?
J.V. : Nous avons encore renforcé notre politique de cybersécurité, mais je ne veux pas laisser penser qu’avant, ce n’était pas pris au sérieux. Ce qui change, c’est la vitesse : entre l’apparition d’une vulnérabilité et son exploitation, il ne se passe parfois que quelques heures. On doit être capables de réagir immédiatement, y compris en débranchant certains équipements.
Quel message souhaitez-vous transmettre aux dirigeants de PME ?
J.V. : Il faut affronter ces sujets de manière factuelle et réaliste. Les raisonnements comme “ je suis trop petit pour être attaqué ” ou « nous n’avons jamais eu de problème jusqu’à présent » ne tiennent plus. Aujourd’hui, aucune entreprise ne peut fonctionner normalement si son système d’information est mis hors d’état. Il faut se préparer, anticiper. Et surtout comprendre que ce n’est pas fini : les scénarios évoluent en permanence.
Le film documentaire Don’t go to the police
L’expérience de Coaxis avec Orange Cyberdefense fait partie d'une enquête qui a dépassé les frontières françaises, relatée dans le film documentaire Don’t go to the police.
