Une nuit, un clic, 350 000 entreprises à genoux. Le documentaire réalisé par Ludoc pour Orange Cyberdefense retrace l’une des cyberattaques les plus destructrices jamais subies par le tissu économique français. Mais derrière le film, une histoire moins glorieuse : celle d’une gestion de crise qui a laissé des centaines de professionnels dans un silence assourdissant.
Le film : une enquête internationale née d’une PME du Lot-et-Garonne
Le 8 décembre 2023, à 4h50 du matin, un appel téléphonique réveille Coaxis, une PME du Lot-et-Garonne qui héberge des logiciels comptables. En quelques heures, c’est toute une filière qui est paralysée par une attaque informatique de type ransomware, derrière laquelle on retrouve LockBit, mastodonte du cybercrime.
Le documentaire, disponible gratuitement en plusieurs langues, propose 52 minutes d’enquête inédite sur le monde du cybercrime, son mode de fonctionnement et son impact mondial. Il réunit 18 professionnels multidisciplinaires dont le directeur de Coaxis Joseph Veigas, Rodrigue Le Bayon responsable CERT chez Orange Cyberdefense, le journaliste d’investigation britannique Geoff White, et les analystes Jon DiMaggio (Analyst1) et Azim Khodjibaev (Talos), tous deux infiltrés au sein de LockBit.
L’avant-première a eu lieu le 11 mars 2026 dans le cadre du Grand Rex à Paris, réunissant plus de 2 000 personnes. Le documentaire est disponible gratuitement sur un site web dédié en français, anglais et allemand.
Le réalisateur Ludoc, ancien directeur artistique de la Création Digitale chez Canal+ et auteur de clips pour Snoop Dogg, Akon ou Lily Allen orangecyberdefense, signe ici un format hybride entre enquête journalistique et thriller documentaire. L’ambition d’Orange Cyberdefense est clairement affichée : faire sortir la cybersécurité du seul cercle des experts pour la positionner comme un véritable phénomène de société, à l’image du narcotrafic.
Ce que le film montre : un braquage numérique d’une précision chirurgicale
La veille de l’attaque, à 22h43, un intrus s’est faufilé dans le réseau grâce à l’identifiant d’un commercial de l’agroalimentaire, client de Coaxis, à l’aide d’un lien « mlcrosoft », avec un « L » minuscule, au lieu de « microsoft ». L’usurpation d’identité est presque parfaite. Le hacker cartographie les serveurs les plus critiques, règle son timer et déclenche le chiffrement à 4h32 très exactement.
Les dégâts collatéraux ont été vertigineux : plus de 1 200 cabinets d’expertise comptable ont été coupés de leurs outils du jour au lendemain, des établissements de soins ont perdu l’accès à leurs données. Des manœuvres d’intimidation physique ont eu lieu, à Toulon notamment dans une boîte d’intérim qui ne pouvait plus payer ses salariés.
Plutôt que de payer, Coaxis a activé une cellule de crise avec Orange Cyberdefense dès 8h le matin de l’attaque. À midi, une « zone propre » était déjà en construction : des serveurs nouveaux, isolés, où la reconstruction pouvait commencer sans risque de contamination. Coaxis a finalement reconstruit 25 ans de systèmes informatiques en seulement un mois, quand les experts annonçaient au moins trois mois de travaux.
Ce que le film ne montre pas : la chronique d’un fiasco de communication
C’est ici que l’enquête indépendante révèle une réalité bien moins héroïque. Si Orange Cyberdefense a effectivement travaillé vite, la gestion de la communication vers les clients de Coaxis a été, elle, catastrophique.
Onze heures après la panne, à 11h10 du matin, ACD envoie un mail à ses clients indiquant qu’une « panne » est en cours, sans même mentionner la cyberattaque. Lundi matin, les équipes d’ACD apprennent par leurs propres clients que Coaxis a été victime d’un piratage. L’assistance téléphonique est injoignable.
Lundi à 16 heures, ACD envoie un SMS reprenant les bulletins de Coaxis en indiquant qu’ACD se met en retrait pour laisser Coaxis gérer « l’incident ». À la même heure, ACD et Coaxis participent à une Keynote pour présenter leurs ambitions sur la facturation électronique et les nouveautés du logiciel, sans une seule mention de la crise.
Des commentaires critiques apparaissent rapidement sous les articles LinkedIn. Certains cabinets ont leur boîte mail via ACD et ne peuvent ni communiquer avec le monde extérieur, ni envoyer les déclarations sociales et fiscales en mode EDI.
Pire encore, initialement prévu pour le 18 décembre, le rétablissement a été successivement repoussé au 20, puis au 22 décembre. Finalement, vendredi à 17h, il est annoncé que la situation ne sera pas résolue avant le mardi 26 décembre 2023. Le blog d’ACD n’a plus été mis à jour depuis le 21 décembre. DPO PARTAGE
Depuis le 23 décembre 2023, Coaxis n’a fourni aucune information actualisée, laissant de nombreux cabinets dans une incertitude profonde. Certains experts-comptables rapportent des pertes de données estimées à 20 jours en comptabilité, ce qui soulève des interrogations sur la fréquence et l’efficacité réelles des sauvegardes. DPO PARTAGE
Un blog de professionnels comptables a résumé la situation en une formule sans appel : « la crise elle-même a été vite oubliée en comparaison de la gestion de la crise qui s’est avérée catastrophique ».
Les victimes oubliées : 1 200 cabinets laissés sans voix
Depuis le 8 décembre 2023, les cabinets d’expertise comptable utilisateurs de la solution ACD n’ont plus accès aux données de leurs clients hébergées en SaaS chez Coaxis, ni à leurs emails. L’incident a entraîné des retards concernant les déclarations de TVA et les déclarations sociales nominatives du mois de décembre.
L’URSSAF PACA a précisé qu’elle n’appliquerait pas de pénalités pour les professionnels impactés dans la limite du terme toléré fixé au 12 janvier 2024. L’Ordre des experts-comptables a dû intervenir auprès de l’ensemble des services des impôts pour signaler l’incident. Les services des finances publiques ont été invités à faire preuve de bienveillance dans le traitement des demandes de remise gracieuse des pénalités susceptibles d’être présentées par les clients du prestataire.
Coaxis était par ailleurs certifiée hébergeur de données de santé (HDS). Cette certification constitue un gage de conformité aux normes les plus strictes en matière de protection des données dans le secteur de la santé. L’attaque par rançongiciel représentait donc non seulement une violation de la sécurité informatique, mais aussi un défi direct à la réputation et à la fiabilité de Coaxis en tant qu’hébergeur certifié HDS. DPO PARTAGE
La contre-attaque mondiale : Opération Cronos et le visage de LockBit
Le documentaire retrace la suite de l’histoire avec un souffle épique. Le 20 février 2024, au terme d’une opération internationale baptisée « Opération Cronos » incluant le FBI américain, l’ANSSI, la Gendarmerie nationale, CERT Santé et Europol, une importante partie de l’infrastructure du groupe LockBit a été démantelée. Cette opération menée par 10 pays a entraîné la saisie de 34 serveurs à travers l’Europe, le Royaume-Uni et les États-Unis, le gel de 200 comptes en cryptomonnaies et la fermeture de 14 000 comptes utilisés pour lancer les opérations du groupe.
Le créateur du réseau, Dmitry Khoroshev, a été officiellement identifié en mai 2024. Ce ressortissant russe se cache en Russie, mais un mandat d’arrêt a été lancé contre lui par le FBI, avec une récompense à la clé. Il est poursuivi sur 26 chefs d’accusation passibles d’une peine maximale de 185 ans de prison.
En octobre 2024, quatre nouvelles arrestations ont été annoncées. La Gendarmerie nationale a obtenu l’arrestation d’un potentiel développeur du ransomware LockBit alors qu’il était en vacances en dehors de Russie, tandis que la NCA britannique a interpellé deux acteurs suspectés de blanchiment d’argent et de chantage.
Les autorités ont en outre révélé que Khoroshev conservait des copies des données volées même lorsque les victimes avaient payé la rançon, alors que lui et ses affiliés avaient promis de supprimer les données après paiement. Une trahison dans la trahison.
Un film à portée pédagogique, mais un angle narratif qui interroge
Le documentaire est incontestablement utile, bien réalisé et accessible au grand public. Il remplit sa mission de sensibilisation avec une efficacité rare pour un contenu d’entreprise.
Pourtant, la perspective reste celle d’Orange Cyberdefense, co-producteur du film. Les cabinets comptables dévastés, les entreprises qui ont attendu Noël sans accès à leurs outils, les données comptables perdues, les assureurs sollicités, les pénalités fiscales négociées de justesse : tout cela n’apparaît qu’en filigrane dans un documentaire centré sur la rédemption technique et la traque internationale.
Les experts le répètent en boucle sans toujours se faire entendre : dans le cybercrime, la faille, c’est presque toujours l’humain. C’est vrai. Mais dans la gestion de crise, la faille, c’est presque toujours la communication. Et cela, le film évite soigneusement de le montrer.« Don’t Go to the Police » : quand Orange Cyberdefense transforme une cyberattaque dévastatrice en film événement
