Sur le campus du FBI à Redstone Arsenal, à Huntsville en Alabama, se cache un lieu unique au monde. Le Kinetic Cyber Range (KCR) occupe 22 000 pieds carrés — soit environ 2 000 m² — entièrement indoor. À l’intérieur, le décor est saisissant : une rue principale bordée de bâtiments aux façades soignées, un hôpital équipé de lits et de matériel médical, un hôtel avec ses chambres, une centrale électrique avec ses tableaux de bord, une station-service avec ses pompes, et plusieurs maisons individuelles. Rien ne manque, pas même les lampadaires. Sauf qu’ici, personne n’y habite. Les façades sont réelles, les réseaux aussi, mais ce décor sert un seul objectif : former les agents du FBI aux cyberattaques les plus dévastatrices. Bienvenue à Kinetic City, un terrain d’entraînement de 2 000 m² où chaque ransomware, chaque faille SCADA et chaque crise humaine est rejouée grandeur nature. Ce projet hors norme révèle l’ampleur de la menace qui pèse sur les infrastructures critiques, des grandes métropoles aux plus petites communes.
Bienvenue à Kinetic City : la fausse ville du FBI qui simule l’impensable
Ouvert en février 2025, le Kinetic Cyber Range (KCR) a déjà formé plus de 1 400 étudiants, incluant des agents du FBI et des personnels d’agences partenaires. L’ambition est claire : préparer les forces de l’ordre à des scénarios que les simulations virtuelles ne peuvent pas reproduire.
Un décor grandeur nature pour des scénarios réels
L’illusion s’arrête là où commence la technique. Chaque bâtiment est câblé avec des systèmes informatiques fonctionnels. Les réseaux tournent en conditions réelles : Active Directory, bases de données patients, systèmes de contrôle industriel SCADA, serveurs de fichiers. Rien n’est simulé sur un écran vert. Tout est concret, physique, opérationnel.
Dave Beachboard, responsable du KCR, résume l’ambition du projet : « This is about as real as it's going to get before people go out in the field. » Traduction : on ne fait pas plus réaliste avant d’envoyer les agents sur le terrain. Et le besoin est pressant. Selon les données du FBI, le secteur de la santé a subi 460 attaques ransomware en 2025 aux États-Unis — un record. L’hôpital fictif du KCR permet de rejouer ces scénarios sans mettre de vies en danger.
Hôpital, centrale électrique, hôtel : immersion totale pour les stagiaires
Les stagiaires qui pénètrent dans Kinetic City ne sont pas prévenus du scénario exact. Ils arrivent dans un décor qui ressemble à s’y méprendre à une ville américaine moyenne. L’hôpital possède de vrais postes de travail médicaux, des écrans de monitoring et des systèmes de gestion des patients. La centrale électrique affiche des jauges et des alarmes. Les chambres d’hôtel contiennent des ordinateurs et des routeurs.
Ce qui frappe les visiteurs, c’est le souci du détail. Les façades ne sont pas des décors de théâtre : ce sont de vrais murs, de vraies portes, de vraies fenêtres. Derrière chaque mur, des kilomètres de câbles relient les équipements. Les agents s’entraînent à intervenir dans des conditions proches de la réalité : bruit des serveurs, lumière tamisée, stress des communications radio.
Beachboard insiste sur l’importance de ce réalisme. Les exercices sur table ou les simulations virtuelles ne préparent pas à la gestion d’une crise réelle. Ici, les stagiaires doivent se déplacer physiquement, identifier les équipements, brancher des câbles, dialoguer avec des acteurs jouant le rôle du personnel soignant ou des élus locaux.
200 serveurs et un data center glacé : l’école du ransomware version FBI
Au cœur du KCR se trouve un data center qui ferait pâlir d’envie n’importe quelle PME. Plus de 200 serveurs sous Windows et Linux tournent en permanence, générant une chaleur intense que des systèmes de climatisation industrielle peinent à contenir. L’ambiance est caractéristique : froid, bruyant, sombre, avec des rangées de leds clignotantes.
Les scénarios d’entraînement sont calqués sur des attaques réelles. L’un des plus célèbres implique un ransomware qui verrouille l’intégralité du système informatique de l’hôpital fictif. Les stagiaires doivent identifier la brèche, contenir la propagation, récupérer les sauvegardes et gérer la crise en parallèle. Le tout sous la pression du temps réel.
Ce qui rend l’exercice unique, c’est la combinaison des défis. Il ne suffit pas de comprendre la technique : il faut aussi savoir communiquer avec les équipes sur place, prioriser les actions, et garder son calme quand les écrans deviennent noirs. Les 460 ransomwares ayant frappé les hôpitaux américains en 2025 montrent que ces compétences ne sont pas un luxe.
De Fumel à Kinetic City : pourquoi les petites villes sont dans le viseur des hackers
Le choix d’une petite ville comme décor n’est pas anodin. Aux États-Unis comme en France, les communes de taille modeste sont devenues des cibles privilégiées pour les cybercriminels. L’exemple de Fumel, dans le Lot-et-Garonne, illustre parfaitement cette tendance.
En octobre 2025, cette commune de 5 000 habitants a été frappée par le cartel Dragon Force Ransomware, basé en Malaisie. Les attaquants ont exploité une faille dans un pare-feu qui n’avait pas été mis à jour depuis 2024. Pendant plusieurs semaines, plus de 1 200 tentatives d’intrusion ont précédé la brèche finale. Une fois à l’intérieur, les hackers ont chiffré l’ensemble des données : serveurs, postes de travail, imprimantes, bases de données municipales.
1 200 tentatives avant la brèche : le récit d’une cyberattaque française
La chronique de l’attaque de Fumel est édifiante. Tout commence par une alerte banale : des logs montrent des tentatives de connexion suspectes depuis des adresses IP étrangères. Le personnel technique, externalisé, ne donne pas suite. Les tentatives se multiplient, passant de quelques dizaines par jour à plusieurs centaines. Le pare-feu, un modèle d’entrée de gamme non mis à jour, finit par céder.
Le jour de l’exploitation, les écrans de la mairie deviennent noirs les uns après les autres. Les serveurs refusent toute connexion. Les imprimantes crachent des messages de rançon. C’est la panique dans une administration qui n’a pas de plan de continuité d’activité. Les employés se retrouvent sans accès aux fichiers, aux e-mails, aux logiciels de gestion.
La rançon demandée était inhabituelle. Au lieu d’un paiement unique, les attaquants exigeaient une « discussion » annuelle — un abonnement au chantage. Le maire Jean-Louis Costes a refusé catégoriquement : « Nous n'avons pas payé. » Grâce à des sauvegardes externes déconnectées du réseau principal, la commune a pu reconstruire ses systèmes sans céder au racket. La reconstruction a pris plusieurs semaines, avec des équipes techniques travaillant jour et nuit. Le coût humain et financier a été lourd, mais la commune a gardé sa dignité.
Pare-feu obsolètes, budgets serrés : la vulnérabilité chronique des petites communes
Le cas de Fumel n’est pas isolé. Les petites communes partagent des fragilités structurelles qui les rendent attrayantes pour les hackers. D’abord, le budget : une mairie de 5 000 habitants consacre souvent moins de 10 000 euros par an à la cybersécurité, quand elle y consacre quoi que ce soit. Ensuite, le personnel : l’informatique est souvent externalisée auprès d’un prestataire local qui gère plusieurs dizaines de clients avec des moyens limités.
Les infrastructures critiques simulées dans le KCR — eau, électricité, services publics — sont exactement celles que gèrent les communes françaises. Un réseau d’eau potable repose sur des automates programmables (PLC) souvent anciens, rarement mis à jour, et accessibles depuis Internet sans grande protection. Une faille dans ce réseau peut priver des milliers d’habitants d’eau potable.
La mutualisation des moyens de cybersécurité entre communes est une piste explorée par l’ANSSI, mais elle reste balbutiante. Trop de mairies considèrent encore le risque cyber comme hypothétique, jusqu’au jour où les écrans deviennent noirs.
Cyberattaques inter-étatiques récentes : le KCR, laboratoire d’une guerre future
Les petites villes ne sont pas seulement la cible de cartels de ransomware. Les acteurs étatiques — Chine, Russie, Iran — testent aussi leurs capacités sur ces infrastructures locales. Stephanie Cassioppi, responsable de l'unité qui gère la formation cyber à Huntsville, le confirme : « For us, our threat actors are overseas. The odds are I'm never going to get my hands on their computer or their phone. »
Le KCR permet de s’entraîner contre ces profils sophistiqués. Les scénarios incluent des attaques multi-vecteurs où un groupe étatique utilise une petite commune comme porte d’entrée vers des infrastructures régionales. Un réseau de distribution d’eau municipal peut servir de tremplin pour compromettre un barrage hydroélectrique. Un système de gestion des feux de circulation peut être détourné pour paralyser une ville entière.
Quand les hackers d’État s’attaquent aux infrastructures critiques
Le lien entre les scénarios du KCR et les cibles géopolitiques est direct. Une centrale électrique simulée dans l’Alabama peut ressembler à une centrale en Ukraine, en Allemagne ou au Japon. Un hôpital fictif prépare les agents à intervenir sur des infrastructures de santé attaquées par des groupes parrainés par des États.
Le concept de « porte d’entrée » est central. Un petit réseau communal, mal protégé, peut servir de passerelle vers des infrastructures régionales interconnectées. Les hackers d’État exploitent systématiquement ces maillons faibles pour mener des opérations de reconnaissance, de sabotage ou d’espionnage.
Les exercices du KCR intègrent cette dimension stratégique. Les stagiaires doivent non seulement neutraliser la menace immédiate, mais aussi identifier les ramifications potentielles. Un ransomware dans une mairie peut cacher une tentative d’accès à un réseau électrique régional. La formation apprend à penser en termes de système, pas d’incident isolé.
Soft skills et scènes de crime : la pédagogie unique du FBI
Cassioppi insiste sur un point souvent négligé dans la formation cyber : « Cyber is not just technical. It's also practicing those soft skills, the dealing with people. » Dans une crise réelle, l’agent spécial ne passe pas son temps devant un écran. Il doit gérer la panique du maire, rassurer le personnel hospitalier, communiquer avec la presse, préserver la chaîne de preuves.
Le KCR simule ces situations humaines avec des acteurs professionnels. Les stagiaires doivent annoncer à un directeur d’hôpital que son système est verrouillé, expliquer à des employés terrifiés pourquoi ils ne peuvent plus accéder à leurs dossiers, et négocier avec des élus inquiets pour l’image de leur commune.
Ces compétences relationnelles sont impossibles à simuler sur un simple écran. C’est pourquoi le FBI a investi dans un décor physique : parce que la cybercriminalité, contrairement à son nom, a des conséquences très humaines. Les agents doivent apprendre à gérer des larmes, des colères, des peurs — et à garder leur sang-froid pour analyser techniquement la situation.
Le prix de la résilience : qui paie la facture du village factice du FBI ?
Un tel projet a un coût. Les 22 000 pieds carrés de bâtiments, les 200 serveurs, l’équipe dédiée, les scénaristes, les acteurs, la maintenance : tout cela représente un investissement considérable. Le FBI ne communique pas le budget exact du KCR, mais les experts estiment le montant à plusieurs millions de dollars.
La question centrale est celle du rapport coût-efficacité. Le KCR a déjà formé plus de 1 400 étudiants depuis son ouverture en février 2025, incluant des agents du FBI et des personnels d’agences partenaires. Si chaque formation permet d’éviter une seule attaque majeure sur un hôpital ou une centrale électrique, l’investissement est rentabilisé.
Des millions de dollars pour une simulation : l’investissement XXL du FBI
Pour comprendre l’ampleur du budget, il faut décomposer les postes de dépense. La construction du bâtiment lui-même, avec ses façades réalistes et ses infrastructures techniques, a coûté plusieurs millions. Les 200 serveurs et l’équipement réseau représentent un investissement supplémentaire. L’équipe permanente — ingénieurs, scénaristes, formateurs, techniciens — est salariée à l’année.
En comparaison, le coût d’une grosse cyberattaque est vertigineux. Aux États-Unis, le coût moyen d’un ransomware dans le secteur de la santé dépasse 1,5 million de dollars, sans compter les dommages d’image et les poursuites judiciaires. Une attaque réussie sur une centrale électrique peut coûter des dizaines de millions en réparations et en pertes d’exploitation.
Le ratio est donc favorable, même avec un budget de plusieurs millions. Mais ce calcul ne tient pas compte des coûts indirects : le temps des agents détournés d’autres missions, l’immobilisation des équipements, l’obsolescence rapide des technologies.
Contribuables américains ou partenaires privés : qui finance vraiment le KCR ?
Le FBI est une agence fédérale financée par le budget américain, donc par les contribuables. Mais des partenariats privés ne sont pas exclus. Des équipementiers réseau comme Cisco ou Palo Alto Networks pourraient fournir du matériel en échange de visibilité. Des sociétés de cybersécurité comme CrowdStrike ou Mandiant pourraient cofinancer des scénarios spécifiques.
Le manque de transparence sur le budget exact alimente les spéculations. En France, le budget de l’ANSSI est d’environ 100 millions d’euros par an, pour l’ensemble de ses missions. Les collectivités territoriales françaises, elles, consacrent en moyenne 0,5 % de leur budget informatique à la cybersécurité. Le contraste est saisissant.
Le modèle américain mise sur des investissements massifs dans des infrastructures physiques. Le modèle français, plus frugal, privilégie la mutualisation et les outils gratuits. Les deux approches ont leurs forces et leurs faiblesses.
Face au FBI, l’ANSSI sort son kit de survie : la riposte française aux cyberattaques
La France n’est pas en reste. Le 18 septembre 2025, l’ANSSI a organisé REMPAR25, un exercice de crise cyber d’une ampleur inédite. Plus de 5 000 professionnels issus de 1 000 organisations publiques et privées ont participé à une simulation de blackout numérique systémique. Vincent Strubel, directeur de l’ANSSI, a résumé l’enjeu : « La menace cyber est une réalité au quotidien. Toute organisation peut être amenée à gérer une crise cyber, d'où l'importance de s'entraîner pour être prêt le jour J. »
L’approche française diffère radicalement de celle du FBI. Pas de décor physique, pas de serveurs dédiés, pas d’acteurs professionnels. À la place, un exercice de coordination massive entre des centaines d’acteurs, utilisant leurs propres systèmes et infrastructures. L’idée est de tester la résilience collective plutôt que les compétences individuelles.
REMPAR25 : un blackout numérique géant pour tester la résilience nationale
L’exercice REMPAR25 a simulé une panne numérique généralisée affectant simultanément des hôpitaux, des transports, des réseaux électriques et des administrations. Les participants devaient gérer la crise en temps réel, avec des informations partielles et contradictoires. L’objectif était de tester les plans de continuité d’activité, les circuits de décision et la communication entre acteurs.
Ce qui distingue REMPAR25 du KCR, c’est l’échelle. Là où le FBI forme des individus dans un environnement contrôlé, l’ANSSI entraîne un écosystème entier à réagir de manière coordonnée. Les deux approches sont complémentaires : l’une prépare les experts techniques, l’autre prépare les organisations à fonctionner en crise.
Le retour d’expérience de REMPAR25 a mis en lumière des lacunes dans la communication interservices et dans la gestion des priorités. Plusieurs participants ont admis n’avoir jamais envisagé un scénario de panne généralisée. L’exercice a permis de corriger ces angles morts.
Le kit d’exercice gratuit de l’ANSSI : l’arme anti-chaos des petites communes
Pour les collectivités territoriales, l’ANSSI propose une solution low-cost mais efficace : un kit d’exercice gratuit téléchargeable sur cyber.gouv.fr. Ce kit contient des scénarios personnalisables, des templates de communication de crise, des checklists de bonnes pratiques et des guides d’animation.
Une commune de 500 habitants peut ainsi organiser son propre exercice de crise cyber sans embaucher de consultant ni investir dans du matériel. Le kit propose par exemple un scénario de ransomware sur le système de gestion des actes d’état civil, ou une attaque sur le réseau d’eau potable.
La limite de cette approche est évidente : pas de simulation réseau en conditions réelles, pas d’immersion physique, pas de stress technique authentique. Mais pour des communes qui n’ont pas les moyens de construire un KCR, c’est une première étape cruciale. L’essentiel est de créer un réflexe de crise, même imparfait.
Votre ville est-elle la prochaine cible ? Ce que la simulation du FBI nous apprend
L’existence du KCR en dit long sur la maturité de la menace cyber. Le FBI ne construit pas un décor de cinéma à plusieurs millions de dollars pour le plaisir. Il répond à une réalité : les infrastructures critiques sont sous le feu constant des hackers, et les petites villes sont en première ligne.
Ce que le KCR nous apprend, c’est que la préparation technique ne suffit pas. La dimension humaine est tout aussi cruciale. Savoir gérer la panique d’un maire, communiquer avec la presse, préserver les preuves : ces soft skills s’acquièrent par la pratique, pas par la théorie.
La cybersécurité, nouveau front des métiers d’avenir
Pour les jeunes générations, le KCR est une vitrine des opportunités de carrière dans la cybersécurité. Le secteur recrute massivement, dans le public comme dans le privé. L’ANSSI, les ministères, l’armée, les collectivités, les entreprises : tous cherchent des talents capables de protéger les infrastructures critiques.
Les formations se multiplient, des BTS aux écoles d’ingénieurs, en passant par les bootcamps et les certifications internationales. La demande est telle que les salaires d’entrée dépassent souvent ceux d’autres filières techniques. Et le travail a du sens : protéger des hôpitaux, des réseaux électriques, des services publics.
À l’image du modèle de simulation développé par Decart, qui permet d’entraîner des intelligences artificielles à la conduite dans des environnements photoréalistes, le KCR montre que la simulation est devenue un outil indispensable pour préparer les humains aux crises de demain.
Des exercices à la réalité : le gap à combler pour les communes françaises
Les leçons de Fumel et du KCR sont claires. D’abord, l’importance cruciale des sauvegardes déconnectées : sans elles, Fumel aurait dû payer ou perdre ses données. Ensuite, la nécessité des mises à jour régulières : le pare-feu obsolète a été la porte d’entrée des hackers. Enfin, l’urgence d’un réflexe de crise : savoir qui appeler, quoi faire, dans quel ordre.
Jean-Louis Costes, maire de Fumel, a livré une conclusion qui devrait être gravée dans chaque mairie : « Une cyberattaque n'est pas une honte. C'est un risque contemporain. Et comme tout risque, il doit être anticipé. » La honte ne serait pas d’être attaqué, mais de ne rien faire pour se préparer.
Le gap entre les exercices et la réalité reste pourtant immense. Les communes françaises manquent de moyens, de compétences et de temps. Le kit de l’ANSSI est une première réponse, mais il ne remplace pas une culture de la cybersécurité ancrée dans les pratiques quotidiennes.
Conclusion
Le paradoxe est frappant. D’un côté, le FBI construit des décors de cinéma à plusieurs millions de dollars pour former ses agents. De l’autre, l’ANSSI distribue des kits gratuits aux communes françaises. Les deux camps préparent pourtant le même combat : protéger les infrastructures critiques contre des hackers de plus en plus sophistiqués.
L’essentiel est la prise de conscience locale. La menace cyber n’est pas une abstraction lointaine. Elle est réelle, concrète, quotidienne. Elle peut frapper une mairie de 5 000 habitants comme un hôpital de 500 lits. Le citoyen a un rôle à jouer, ne serait-ce qu’en exigeant de sa mairie qu’elle se forme et qu’elle investisse dans la sécurité.
Les chiffres parlent d’eux-mêmes : 460 ransomwares dans la santé américaine en 2025, plus de 1 200 tentatives avant la brèche de Fumel, 5 000 professionnels mobilisés pour REMPAR25. La menace est massive, mais la réponse peut l’être aussi. À condition de ne pas attendre que les écrans deviennent noirs pour agir.
