Un seul homme, des dizaines de victimes
Le 20 avril 2026, en Vendée, la Brigade de lutte contre la cybercriminalité (BL2C) de la Préfecture de police de Paris interpelle un jeune homme de 21 ans. Né en août 2004, il est soupçonné d’être l’individu caché derrière le pseudonyme « HexDex », un acteur devenu, en quelques mois à peine, l’un des visages les plus actifs de la cybercriminalité française. Mis en examen le 23 avril pour six infractions, dont quatre en bande organisée, il a été placé en détention provisoire.
Ce qui rend cette affaire exceptionnelle, ce n’est pas la sophistication technique des attaques. C’est leur ampleur, leur diversité et surtout ce qu’elles révèlent de l’état réel de la cybersécurité dans les institutions françaises. Un seul individu, âgé de 21 ans, aurait compromis en quelques mois : une dizaine de fédérations sportives (voile, athlétisme, sport automobile, gymnastique, ski, rugby à XIII, aïkido, sport universitaire, montagne, escalade, handisport), le Système d’Information sur les Armes (SIA) du ministère de l’Intérieur, la plateforme e-campus de l’Éducation nationale, ainsi que la base Compas utilisée pour la gestion des stagiaires de l’Éducation nationale.
Plus d’une centaine de signalements ont été adressés au parquet de Paris à partir du 19 décembre 2025. La section J3 de lutte contre la cybercriminalité a ouvert une enquête pour « atteintes à un système de traitement automatisé de données ». Le 20 avril, lors de son interpellation, HexDex s’apprêtait à publier de nouvelles bases de données sur les forums Breachforums et Darkforum, deux plateformes bien connues pour la revente de données volées.
« Sommes-nous réellement préparés à faire face à un adversaire qui n’a besoin ni d’infrastructure sophistiquée, ni de soutien étatique, ni même d’une équipe ? La réponse, au regard de cette affaire, est clairement non. »
Comprendre ce que cette affaire révèle vraiment
Le premier réflexe médiatique consiste à se rassurer : « le hacker a été arrêté, l’histoire se termine bien ». Cette lecture est dangereusement réductrice. Ce que l’affaire HexDex met en évidence, c’est une surface d’attaque systémique qui concerne la quasi-totalité des organisations françaises, publiques comme privées. Un individu isolé, sans moyens comparables à ceux d’un groupe d’État-nation, a pu compromettre des systèmes régaliens, des fichiers sensibles recensant les détenteurs d’armes en France, et des bases de données personnelles touchant potentiellement des centaines de milliers de licenciés sportifs.
Cela signifie une chose simple : les défenses de ces organisations étaient insuffisantes face à un attaquant opportuniste de niveau intermédiaire. Et si un acteur de ce profil a pu réussir, alors les acteurs organisés, les groupes ransomware professionnels, les APT étatiques ont une voie royale.
Le choix des cibles raconte lui-même une histoire. Les fédérations sportives ne sont pas, en apparence, des cibles stratégiques. Elles ne détiennent ni secrets industriels, ni informations classifiées. Mais elles détiennent des fichiers de licenciés massifs, avec des données personnelles, des adresses, des dates de naissance, parfois des certificats médicaux. Ces données se monétisent sur les places de marché cybercriminelles, alimentent des campagnes de phishing ciblé, et peuvent servir à des fraudes identitaires. Le SIA, lui, référence les détenteurs légaux d’armes : on mesure l’extrême sensibilité d’une telle liste, qui pourrait intéresser des acteurs malveillants bien au-delà d’un simple cybercriminel opportuniste.
La conformité n’est pas la sécurité
Rappelons un constat que nous répétons dans chacune de nos missions chez Ventury Technology : être en conformité avec un référentiel n’est pas être sécurisé. Beaucoup des structures touchées par HexDex étaient probablement « en règle » sur le plan déclaratif. Elles avaient peut-être désigné un délégué à la protection des données, rempli des registres de traitement, signé des contrats avec leurs prestataires. Cela n’a rien empêché.
La conformité RGPD, la conformité NIS2 désormais obligatoire pour un périmètre étendu d’entités essentielles et importantes, les certifications ISO 27001 : ce sont des cadres précieux. Mais ils attestent d’un niveau de maturité à un instant T, dans un environnement en mutation constante. Sans exercices réguliers, sans audit technique, sans tests d’intrusion, sans plan de réponse éprouvé, ces cadres restent des façades.
L’affaire HexDex rappelle brutalement que la cybersécurité se mesure à l’épreuve du réel, pas à la tenue des registres.
Pourquoi les fédérations sportives ? Le signal d’un angle mort
Il serait facile de stigmatiser les fédérations sportives pour leur supposée négligence. Ce serait passer à côté de l’essentiel. Ces structures, souvent associatives ou para-administratives, fonctionnent avec des budgets contraints, des équipes informatiques réduites, parfois un seul prestataire historique qui gère à la fois le site web, la base de licenciés et la facturation. Leur gouvernance cyber est embryonnaire, non par mauvaise volonté, mais par manque de moyens, de temps, et souvent de visibilité sur le risque réel.
Ce profil organisationnel ressemble, en réalité, à celui de milliers de TPE, PME, collectivités territoriales, associations, cabinets professionnels en France. Pas de RSSI dédié. Pas de comité de sécurité. Pas de cartographie des actifs critiques. Pas de plan de continuité. Pas d’exercice de crise. Et une exposition numérique qui, elle, ne cesse de croître. HexDex n’a pas choisi les fédérations sportives par hasard, ni par militantisme. Il les a choisies parce qu’elles étaient accessibles. C’est exactement la logique opportuniste de 80 % des attaquants : ils ne visent pas les mieux défendus, ils visent les plus vulnérables
Ce que nous enseigne la mécanique de l’attaque
Sans connaître encore les détails techniques précis des intrusions attribuées à HexDex, les éléments publics permettent de dégager un schéma classique, que nous rencontrons dans la quasi-totalité de nos interventions post-incident.
D’abord, l’exposition excessive des actifs numériques. Des sites web vieillissants, des CMS non mis à jour, des interfaces d’administration accessibles depuis Internet sans protection particulière, des API mal documentées et mal contrôlées. Chaque composant ancien non maintenu devient une porte d’entrée.
Ensuite, la faiblesse de l’authentification. Des comptes administrateurs sans double facteur, des mots de passe réutilisés, des accès de prestataires ouverts en permanence. Un attaquant motivé finit toujours par trouver un identifiant valide, via phishing, credential stuffing ou simple énumération.
Puis la latéralisation sans contrôle. Une fois à l’intérieur, rien ne segmente le système : la base de données des licenciés est accessible depuis le même périmètre que le site public. Les sauvegardes sont stockées sur le même serveur que les données de production. L’attaquant peut alors exfiltrer sans être détecté.
Enfin, et c’est peut-être le point le plus critique, l’absence de détection. Dans la plupart des cas rendus publics, les victimes n’ont pas découvert l’intrusion par leurs propres moyens. Elles l’ont découverte parce que les données étaient déjà publiées sur Breachforums ou Darkforum. C’est-à-dire après, parfois longtemps après, la compromission initiale.
Le signal stratégique : une génération d’attaquants qui monte
L’autre enseignement marquant de cette affaire, c’est le profil de l’attaquant. 21 ans. Opérant depuis la Vendée. Sans complices identifiés à ce stade, même si la qualification en bande organisée retenue par le parquet laisse penser à des ramifications. Ce n’est pas un cas isolé : fin janvier 2026, deux autres jeunes hackers français, âgés de 17 et 20 ans, avaient déjà été mis en examen pour des attaques sur les interfaces d’académies de La Réunion, Reims et Clermont-Ferrand.
Nous assistons à la structuration progressive d’un vivier d’attaquants francophones, jeunes, autodidactes, qui montent en compétence sur les forums, échangent des outils, revendent leurs prises. Ils ne sont ni idéologiques, ni étatiques. Ils sont motivés par la reconnaissance dans leur communauté, et, de plus en plus, par l’appât financier via la revente de données.
Ce vivier n’est plus marginal. Il constitue une menace permanente, mouvante, difficile à attribuer, et dont la trajectoire ne peut que s’intensifier.
Ce que chaque organisation doit faire maintenant
Au-delà de l’indignation ou de l’inquiétude, cette affaire appelle une action. Et cette action doit être structurée, méthodique, pérenne. Elle ne se résume pas à « acheter un antivirus » ou à « commander un pentest ».
La vraie démarche commence par la compréhension de son propre niveau d’exposition. Cela passe par une cartographie des actifs critiques (systèmes, données, processus vitaux) et une évaluation rigoureuse du risque. En France, la méthode de référence pour cette évaluation reste EBIOS Risk Manager, développée par l’ANSSI, et permettant de construire des scénarios d’attaque réalistes adaptés au profil réel de menace de l’organisation.
Vient ensuite la mise en place d’un cadre de gouvernance : désignation d’un responsable sécurité (RSSI dédié, RSSI à temps partagé, ou relais interne selon la taille), définition d’une PSSI (Politique de Sécurité des Systèmes d’Information), intégration de la cybersécurité aux processus de décision métiers.
Le travail sur les scénarios de crise est essentiel. Un PCA (Plan de Continuité d’Activité) et un PRA (Plan de Reprise d’Activité) ne valent que s’ils sont documentés, testés, et régulièrement mis à jour. Un BIA (Bilan d’Impact sur l’Activité) permet de prioriser les fonctions essentielles à protéger.
Enfin, et c’est souvent le maillon négligé, la préparation humaine. La cellule de crise doit exister avant l’incident, pas le jour J. Les rôles doivent être distribués, les canaux de communication redondants doivent être en place, et surtout les équipes doivent avoir déjà vécu la pression d’un exercice de crise immersif. On ne découvre pas la crise le jour J. On la répète.
Notre vision chez Ventury Technology
Cette affaire illustre exactement pourquoi nous avons construit une offre de services à 360° autour de la cybersécurité des organisations. Parce qu’aucune brique seule ne suffit, et parce que chaque organisation a un niveau de maturité, un contexte réglementaire, des contraintes budgétaires qui lui sont propres.
Nos équipes accompagnent nos clients sur l’ensemble de la chaîne de valeur cyber :
- AMOA pour piloter les projets de sécurité du cadrage à la recette,
- Audits ISO 27001 pour évaluer la maturité réelle des SMSI,
- Exercices de crise immersifs pour confronter les équipes à la réalité d’un incident,
- Suivi de conformité NIS2 pour les entités essentielles et importantes désormais régulées,
- Accompagnement à la rédaction des plans d’action issus des audits ou des incidents,
- Soutien sur tout type de projet de sécurité,
- Aide au recrutement du RSSI ou mission de RSSI à temps partagé pour les structures qui n’ont pas la taille critique pour un poste dédié,
- Accompagnement des procédures de dépôt de plainte auprès de la CNIL en cas de violation de données,
- Rédaction des documents cadres : PCA, PRA, BIA, PSSI.
Cette vision intégrée n’est pas un luxe. C’est exactement ce qui manquait aux structures touchées par HexDex. Un regard extérieur, expert, capable d’identifier les angles morts, de challenger les pratiques, et de construire avec les équipes internes une démarche durable.
Aujourd’hui la vraie question pour les dirigeants n’est plus de savoir s’il faut investir dans une démarche cyber structurée. Elle est de savoir s’ils peuvent se permettre de ne pas le faire.
Chez Ventury Technology, nous accompagnons les organisations, publiques comme privées, dans la construction d’une posture cyber solide : méthodologie de gestion des risques, outillage adapté, exercices immersifs, gouvernance opérationnelle. Pour discuter de votre contexte, contactez nos équipes.
