Le 24 mars 2026, la Commission européenne confirmait une cyberattaque majeure visant l’infrastructure cloud qui héberge le portail Europa.eu. Quelques jours plus tard, le groupe ShinyHunters revendiquait l’exfiltration de plus de 350 gigaoctets de données : courriels confidentiels, comptes d’authentification unique (SSO) et clés cryptographiques. Aucune rançon n’a été réclamée. La menace, elle, tenait en un mot : publication. Cet épisode résume la mutation du ransomware en Europe en 2026, où l’extorsion ne passe plus seulement par le chiffrement, mais par le chantage à la divulgation.
Les chiffres confirment l’ampleur du basculement. Selon le Security Navigator 2026 d’Orange Cyberdefense, le nombre de victimes de cyber-extorsion a bondi de 44,5 % en 2025 dans le monde, et a triplé depuis 2020. La France enregistre une hausse de 54 %, l’Allemagne de 91 %. Le ransomware n’est plus un risque parmi d’autres : c’est une industrie. Cette analyse décrypte les acteurs, les méthodes, les chiffres vérifiés et la réponse réglementaire européenne face à cette vague sans précédent.
Ransomware en Europe : une vague sans précédent en 2026
La trajectoire est nette. Depuis 2020, le nombre de victimes de cyber-extorsion suivies par Orange Cyberdefense a triplé. Sur la seule année 2025, la hausse atteint 44,5 % à l’échelle mondiale, sur une base d’étude de 19 000 entreprises. Cette progression n’épargne aucune région, mais l’Europe occidentale figure parmi les plus exposées, avec une France à +54 % et une Allemagne à +91 %.
Le terme même de ransomware devient réducteur. Les attaquants ne se contentent plus de chiffrer les fichiers d’une victime pour exiger une clé de déchiffrement. Ils exfiltrent d’abord les données, puis menacent de les publier ou de les revendre. Cette technique, dite de double extorsion, transforme chaque intrusion en crise réputationnelle et juridique, bien au-delà du simple blocage technique. C’est précisément ce que montre l’incident de la Commission européenne, où aucune clé de déchiffrement n’était en jeu.
Pour le Forum économique mondial, dans son Global Cybersecurity Outlook 2026, le ransomware demeure la première préoccupation des responsables de la sécurité des systèmes d’information (RSSI). Fait nouveau, les dirigeants d’entreprise placent désormais la fraude assistée par cyberattaque et l’hameçonnage en tête de leurs craintes, signe que la menace se diffuse dans toute la chaîne de valeur.
L’attaque de la Commission européenne par ShinyHunters
L’incident le plus retentissant du premier semestre 2026 vise le cœur institutionnel de l’Union. Le 24 mars 2026, la Commission européenne reconnaît une cyberattaque majeure contre l’infrastructure cloud hébergeant Europa.eu. Entre le 28 et le 30 mars, le groupe ShinyHunters revendique l’opération sur son site de fuites et affiche un butin de plus de 350 gigaoctets.
Le contenu exfiltré est sensible : courriels internes confidentiels, comptes SSO permettant l’accès à de multiples services, et clés cryptographiques. Ces dernières sont particulièrement préoccupantes, car elles peuvent servir à usurper des identités ou à signer des communications frauduleuses. Selon les éléments disponibles, il s’agirait de la deuxième cyberattaque majeure contre la Commission en 2026, ce qui interroge sur la résilience des systèmes européens face à des adversaires expérimentés.
ShinyHunters n’est pas un groupe de ransomware classique. Connu pour ses opérations de vol et de revente de bases de données, il incarne la dérive vers l’extorsion pure : pas de chiffrement, pas de demande de rançon publique dans ce cas précis, mais une menace de divulgation qui pèse sur la réputation et la conformité de la cible. Pour les institutions européennes, soumises au RGPD comme tout responsable de traitement, l’enjeu juridique est considérable.
Akira, Qilin, Medusa : qui domine le marché du ransomware ?
Le paysage du ransomware en Europe s’est recomposé après le démantèlement partiel de plusieurs grandes franchises. Les observateurs sectoriels citent aujourd’hui Akira, Qilin, Medusa, DragonForce et RansomHub parmi les acteurs les plus actifs contre les entreprises européennes et françaises en 2025 et 2026. Selon des analyses sectorielles, une poignée de groupes concentrerait plus de la moitié des attaques recensées, signe d’une professionnalisation poussée.
Ces chiffres de parts de marché restent à manier avec prudence : ils dépendent de la méthodologie de comptage et des sites de fuites observés, et aucune autorité ne publie de recensement exhaustif. La tendance de fond, en revanche, est solidement documentée : le modèle du ransomware-as-a-service (RaaS) industrialise l’attaque.
| Groupe | Modèle | Profil en 2025-2026 |
|---|---|---|
| Akira | RaaS | Parmi les plus actifs contre les PME européennes |
| Qilin | RaaS | Montée en puissance, cibles variées |
| Medusa | RaaS | Cité contre des entreprises françaises |
| DragonForce | RaaS | Acteur émergent, double extorsion |
| RansomHub | RaaS | Recomposition après démantèlements antérieurs |
Le ransomware-as-a-service, moteur de l’industrialisation
Dans le modèle RaaS, des développeurs conçoivent et louent le logiciel malveillant à des affiliés qui mènent les attaques, en échange d’une commission sur les rançons. Cette division du travail abaisse drastiquement la barrière d’entrée : un affilié n’a plus besoin de savoir coder un chiffreur, il achète l’outil et l’accès. Le résultat est une multiplication des attaques et une rotation rapide des marques, qui réapparaissent sous d’autres noms après chaque coup de filet policier.
La cyber-extorsion frappe surtout les PME et la santé
Une idée reçue voudrait que les rançongiciels visent d’abord les grands groupes. Les données d’Orange Cyberdefense racontent l’inverse : environ deux tiers des victimes de cyber-extorsion dans le monde sont des petites et moyennes entreprises. Moins armées, dotées de budgets de sécurité réduits, elles offrent un rapport effort-rançon attractif pour des affiliés cherchant le volume.
Certains secteurs subissent une accélération particulièrement brutale en 2025. La santé voit le nombre de structures touchées progresser de 69 %, la finance et l’assurance de 71 %, les transports de 67 %. Ces secteurs partagent un point commun : l’interruption de service y est intolérable, ce qui augmente la probabilité qu’une victime paie pour rétablir au plus vite ses opérations. Les hôpitaux, en particulier, sont devenus des cibles de choix, avec des conséquences directes sur la prise en charge des patients.
| Zone ou secteur | Évolution des victimes en 2025 | Source |
|---|---|---|
| Monde (toutes victimes Cy-X) | +44,5 % | Security Navigator 2026, Orange Cyberdefense |
| France | +54 % | Security Navigator 2026, Orange Cyberdefense |
| Allemagne | +91 % | Security Navigator 2026, Orange Cyberdefense |
| Santé | +69 % | Security Navigator 2026, Orange Cyberdefense |
| Finance et assurance | +71 % | Security Navigator 2026, Orange Cyberdefense |
| Transports | +67 % | Security Navigator 2026, Orange Cyberdefense |
Comment se déroule une attaque par ransomware
Une attaque moderne suit une chorégraphie en plusieurs temps. L’accès initial passe le plus souvent par l’hameçonnage, par des identifiants volés ou par l’exploitation d’une faille sur un service exposé. Les attaquants achètent parfois cet accès à des courtiers spécialisés, les initial access brokers, qui se sont multipliés. Pour comprendre ce premier maillon, voir notre dossier sur l’hameçonnage et la manière de le déjouer.
Vient ensuite la phase de mouvement latéral : l’attaquant cartographie le réseau, élève ses privilèges et identifie les données les plus sensibles. Il les exfiltre discrètement, parfois pendant des semaines. Le chiffrement, lorsqu’il a lieu, n’intervient qu’en dernier, une fois le vol consommé. La double extorsion combine alors deux leviers : la paralysie opérationnelle et la menace de publication. Certains groupes ajoutent un troisième étage, le harcèlement direct des clients ou partenaires de la victime, voire des attaques par déni de service pour accentuer la pression.
Chronologie des grandes attaques en Europe début 2026
Le premier semestre 2026 a enchaîné les incidents marquants, des attaques par déni de service aux extorsions de grande ampleur. Le tableau ci-dessous reprend des cas documentés touchant des organisations européennes et françaises.
| Cible | Date | Type d’incident | Élément clé |
|---|---|---|---|
| La Poste (groupe) | 1er janvier 2026 | Déni de service (DDoS) | Seconde offensive après celle du 22 décembre 2025 |
| ManoMano | 30 janvier 2026 | Cyberattaque | Plateforme de e-commerce française visée |
| Commission européenne (Europa.eu) | 24 mars 2026 | Extorsion (ShinyHunters) | Plus de 350 Go exfiltrés, sans demande de rançon |
Cette succession d’attaques s’inscrit dans un contexte français déjà tendu, marqué par une série de fuites administratives massives. Notre bilan des fuites de données en France en 2026 et le panorama de la cybermenace de l’ANSSI détaillent l’environnement dans lequel ces groupes prospèrent.
Le ransomware, une arme économique selon les experts
Les analystes convergent sur un diagnostic : le rançongiciel a quitté le registre de la délinquance opportuniste pour devenir un instrument économique structuré. Orange Cyberdefense, dans son Security Navigator 2026, décrit une cybercriminalité qui s’industrialise, avec des chaînes d’approvisionnement, des outils sur mesure et des modèles de revenus calqués sur l’économie légale.
Pour Gérôme Billois, associé en cybersécurité chez Wavestone et l’une des voix de référence en France, la mutation est avant tout organisationnelle. « Nous ne faisons plus face à des pirates isolés, mais à des structures qui recrutent, sous-traitent et optimisent leurs marges comme des entreprises », résume-t-il en substance lors de ses interventions publiques au printemps 2026. Cette lecture déplace la défense du seul terrain technique vers la résilience globale : sauvegardes, plans de continuité, gestion de crise.
L’Agence européenne pour la cybersécurité (ENISA) classe régulièrement le ransomware parmi les principales menaces pesant sur l’Union, tandis que l’ANSSI, en France, en fait un axe prioritaire de sa stratégie. Le Forum économique mondial confirme que cette menace reste, en 2026, la première préoccupation des responsables sécurité, malgré la montée d’autres risques comme la fraude assistée par intelligence artificielle.
Faut-il interdire le paiement des rançons ?
Le débat structure la réponse publique. Payer alimente le modèle économique des attaquants et n’offre aucune garantie de récupération des données. Ne pas payer peut condamner une PME ou paralyser un hôpital. Entre ces deux écueils, les États cherchent une voie médiane.
En France, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI), promulguée début 2023, conditionne le remboursement d’une rançon par l’assurance cyber au dépôt d’une plainte dans un délai de 72 heures après le paiement. L’objectif est double : tracer les flux et décourager le règlement silencieux. Plusieurs pays européens et l’Union débattent de mesures plus strictes, allant jusqu’à l’interdiction pure et simple pour les opérateurs d’infrastructures critiques.
Le cadre réglementaire se durcit en parallèle. La directive NIS2, dont la transposition française fait l’objet d’un suivi attentif, impose à des milliers d’entités de nouvelles obligations de sécurité et de notification. Notre dossier sur NIS2 en France détaille ces exigences et leur portée.
Comment se protéger face au ransomware
Aucune mesure unique n’élimine le risque, mais une combinaison de bonnes pratiques réduit fortement la surface d’attaque et l’impact d’un incident. Les fondamentaux restent d’une efficacité redoutable.
- Sauvegardes hors ligne testées : conservez des copies déconnectées et vérifiez régulièrement leur restauration, car une sauvegarde non testée n’en est pas une.
- Authentification multifacteur : généralisez-la sur tous les accès, en priorité les accès distants et administrateurs, pour neutraliser les identifiants volés.
- Correctifs rapides : appliquez sans délai les mises à jour des services exposés, vecteur d’accès initial fréquent.
- Segmentation du réseau : cloisonnez pour freiner le mouvement latéral et contenir une intrusion.
- Sensibilisation à l’hameçonnage : formez les équipes, car l’humain reste le premier point d’entrée.
- Plan de réponse à incident : préparez et répétez la gestion de crise, y compris la communication et le volet juridique.
Impact économique et marché de l’assurance cyber
Au-delà de la rançon elle-même, le coût d’une attaque englobe l’interruption d’activité, la remédiation technique, les frais juridiques, la communication de crise et la perte de confiance. Pour beaucoup d’organisations, l’arrêt de production pèse davantage que le montant exigé par les attaquants.
Le marché de l’assurance cyber s’est ajusté en conséquence. Les assureurs ont relevé leurs primes, durci leurs conditions d’éligibilité et exigent désormais des mesures de sécurité minimales, comme l’authentification multifacteur, avant d’accorder une couverture. Cette discipline imposée par le marché a un effet vertueux : elle pousse les entreprises à élever leur niveau de protection, indépendamment de toute contrainte réglementaire.
Cinq prédictions pour 2026 et 2027
- L’extorsion sans chiffrement va se généraliser. Voler et menacer de publier suffit souvent, comme l’a montré l’attaque de la Commission européenne, et demande moins d’efforts techniques.
- Les PME et la santé resteront les cibles prioritaires. Leur dépendance opérationnelle et leurs budgets de sécurité limités en font des proies à fort rendement.
- L’intelligence artificielle accélérera les attaques. Hameçonnage plus crédible, automatisation de la reconnaissance et personnalisation des messages renforceront l’efficacité des affiliés.
- La pression réglementaire montera. Entre NIS2, le durcissement des conditions d’assurance et le débat sur l’interdiction des paiements, l’étau se resserre sur les organisations comme sur les payeurs.
- La rotation des marques de ransomware continuera. Après chaque démantèlement, les groupes réapparaîtront sous d’autres noms, compliquant le suivi et l’attribution.
Questions fréquentes sur le ransomware en Europe
Quelle est l’ampleur du ransomware en Europe en 2026 ?
Selon le Security Navigator 2026 d’Orange Cyberdefense, les victimes de cyber-extorsion ont augmenté de 44,5 % dans le monde en 2025, et ont triplé depuis 2020. La France affiche +54 % et l’Allemagne +91 %, ce qui place l’Europe occidentale parmi les zones les plus touchées.
Qu’est-ce que la double extorsion ?
C’est une technique où les attaquants exfiltrent les données avant de chiffrer les systèmes, puis menacent de publier ces données si la rançon n’est pas payée. Elle combine la paralysie opérationnelle et le chantage à la divulgation. Dans certains cas, comme l’attaque de la Commission européenne, il n’y a même plus de chiffrement, seulement la menace de publication.
Quels sont les groupes de ransomware les plus actifs en 2026 ?
Les observateurs sectoriels citent fréquemment Akira, Qilin, Medusa, DragonForce et RansomHub parmi les acteurs les plus actifs contre les organisations européennes en 2025 et 2026. Ces classements varient selon les méthodes de comptage, et aucune autorité ne publie de recensement exhaustif.
Faut-il payer une rançon ?
Les autorités déconseillent le paiement, car il finance les attaquants sans garantir la récupération des données. En France, la loi LOPMI conditionne le remboursement par l’assurance au dépôt d’une plainte dans les 72 heures suivant le paiement. La décision relève d’un arbitrage difficile entre survie de l’organisation et lutte contre le modèle criminel.
Qui est le groupe ShinyHunters ?
ShinyHunters est un groupe spécialisé dans le vol et la revente de grandes bases de données. En mars 2026, il a revendiqué l’exfiltration de plus de 350 Go de données de la Commission européenne, sans demande de rançon publique, en misant sur la menace de publication. Il illustre la dérive vers l’extorsion sans chiffrement.
Comment une PME peut-elle se protéger ?
Les priorités sont les sauvegardes hors ligne testées, l’authentification multifacteur, l’application rapide des correctifs, la segmentation du réseau et la sensibilisation des équipes à l’hameçonnage. Un plan de réponse à incident préparé à l’avance réduit fortement l’impact en cas d’attaque.
Related Coverage
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents
- Fuite de données France 2026 : 250 M exposés
- NIS2 France : 15 000 entités, la CJUE saisie
- Hameçonnage : reconnaître la tromperie et réagir
- Cyberattaque infrastructures critiques : 5 aéroports
- Sécurité en ligne : protéger ses données et ses comptes
Sources externes
- Analyse de la cyberattaque contre la Commission européenne (Europa.eu)
- ENISA, Agence européenne pour la cybersécurité
- ANSSI, agence nationale française de cybersécurité
- Sophos, State of Ransomware
- Coveware, données sur les rançons et la remédiation
Article publié le 13 juin 2026. Les statistiques de hausse des victimes proviennent du Security Navigator 2026 d’Orange Cyberdefense. Les détails de l’attaque contre la Commission européenne reposent sur la communication institutionnelle et les revendications publiques du groupe ShinyHunters. Les classements de groupes de ransomware, issus d’analyses sectorielles, sont signalés comme indicatifs.
