{"id":108,"date":"2026-06-13T08:28:41","date_gmt":"2026-06-13T08:28:41","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/13\/ransomware-europe-cyber-extorsion-2026\/"},"modified":"2026-06-13T08:30:06","modified_gmt":"2026-06-13T08:30:06","slug":"ransomware-europe-cyber-extorsion-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/13\/ransomware-europe-cyber-extorsion-2026\/","title":{"rendered":"Ransomware en Europe : +44,5 % de victimes [2026]"},"content":{"rendered":"\n

Le 24 mars 2026, la Commission europ\u00e9enne confirmait une cyberattaque majeure visant l’infrastructure cloud qui h\u00e9berge le portail Europa.eu. Quelques jours plus tard, le groupe ShinyHunters revendiquait l’exfiltration de plus de 350 gigaoctets de donn\u00e9es : courriels confidentiels, comptes d’authentification unique (SSO) et cl\u00e9s cryptographiques. Aucune ran\u00e7on n’a \u00e9t\u00e9 r\u00e9clam\u00e9e. La menace, elle, tenait en un mot : publication. Cet \u00e9pisode r\u00e9sume la mutation du ransomware en Europe<\/strong> en 2026, o\u00f9 l’extorsion ne passe plus seulement par le chiffrement, mais par le chantage \u00e0 la divulgation.<\/p>\n\n\n\n

Les chiffres confirment l’ampleur du basculement. Selon le Security Navigator 2026 d’Orange Cyberdefense, le nombre de victimes de cyber-extorsion a bondi de 44,5 % en 2025 dans le monde, et a tripl\u00e9 depuis 2020. La France enregistre une hausse de 54 %, l’Allemagne de 91 %. Le ransomware n’est plus un risque parmi d’autres : c’est une industrie. Cette analyse d\u00e9crypte les acteurs, les m\u00e9thodes, les chiffres v\u00e9rifi\u00e9s et la r\u00e9ponse r\u00e9glementaire europ\u00e9enne face \u00e0 cette vague sans pr\u00e9c\u00e9dent.<\/p>\n\n\n\n

Ransomware en Europe : une vague sans pr\u00e9c\u00e9dent en 2026<\/h2>\n\n\n\n

La trajectoire est nette. Depuis 2020, le nombre de victimes de cyber-extorsion suivies par Orange Cyberdefense a tripl\u00e9. Sur la seule ann\u00e9e 2025, la hausse atteint 44,5 % \u00e0 l’\u00e9chelle mondiale, sur une base d’\u00e9tude de 19 000 entreprises. Cette progression n’\u00e9pargne aucune r\u00e9gion, mais l’Europe occidentale figure parmi les plus expos\u00e9es, avec une France \u00e0 +54 % et une Allemagne \u00e0 +91 %.<\/p>\n\n\n\n

Le terme m\u00eame de ransomware devient r\u00e9ducteur. Les attaquants ne se contentent plus de chiffrer les fichiers d’une victime pour exiger une cl\u00e9 de d\u00e9chiffrement. Ils exfiltrent d’abord les donn\u00e9es, puis menacent de les publier ou de les revendre. Cette technique, dite de double extorsion, transforme chaque intrusion en crise r\u00e9putationnelle et juridique, bien au-del\u00e0 du simple blocage technique. C’est pr\u00e9cis\u00e9ment ce que montre l’incident de la Commission europ\u00e9enne, o\u00f9 aucune cl\u00e9 de d\u00e9chiffrement n’\u00e9tait en jeu.<\/p>\n\n\n\n

Pour le Forum \u00e9conomique mondial, dans son Global Cybersecurity Outlook 2026, le ransomware demeure la premi\u00e8re pr\u00e9occupation des responsables de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (RSSI). Fait nouveau, les dirigeants d’entreprise placent d\u00e9sormais la fraude assist\u00e9e par cyberattaque et l’hame\u00e7onnage en t\u00eate de leurs craintes, signe que la menace se diffuse dans toute la cha\u00eene de valeur.<\/p>\n\n\n\n

L’attaque de la Commission europ\u00e9enne par ShinyHunters<\/h2>\n\n\n\n

L’incident le plus retentissant du premier semestre 2026 vise le c\u0153ur institutionnel de l’Union. Le 24 mars 2026, la Commission europ\u00e9enne reconna\u00eet une cyberattaque majeure contre l’infrastructure cloud h\u00e9bergeant Europa.eu. Entre le 28 et le 30 mars, le groupe ShinyHunters revendique l’op\u00e9ration sur son site de fuites et affiche un butin de plus de 350 gigaoctets.<\/p>\n\n\n\n

Le contenu exfiltr\u00e9 est sensible : courriels internes confidentiels, comptes SSO permettant l’acc\u00e8s \u00e0 de multiples services, et cl\u00e9s cryptographiques. Ces derni\u00e8res sont particuli\u00e8rement pr\u00e9occupantes, car elles peuvent servir \u00e0 usurper des identit\u00e9s ou \u00e0 signer des communications frauduleuses. Selon les \u00e9l\u00e9ments disponibles, il s’agirait de la deuxi\u00e8me cyberattaque majeure contre la Commission en 2026, ce qui interroge sur la r\u00e9silience des syst\u00e8mes europ\u00e9ens face \u00e0 des adversaires exp\u00e9riment\u00e9s.<\/p>\n\n\n\n

ShinyHunters n’est pas un groupe de ransomware classique. Connu pour ses op\u00e9rations de vol et de revente de bases de donn\u00e9es, il incarne la d\u00e9rive vers l’extorsion pure : pas de chiffrement, pas de demande de ran\u00e7on publique dans ce cas pr\u00e9cis, mais une menace de divulgation qui p\u00e8se sur la r\u00e9putation et la conformit\u00e9 de la cible. Pour les institutions europ\u00e9ennes, soumises au RGPD comme tout responsable de traitement, l’enjeu juridique est consid\u00e9rable.<\/p>\n\n\n\n

Akira, Qilin, Medusa : qui domine le march\u00e9 du ransomware ?<\/h2>\n\n\n\n

Le paysage du ransomware en Europe<\/strong> s’est recompos\u00e9 apr\u00e8s le d\u00e9mant\u00e8lement partiel de plusieurs grandes franchises. Les observateurs sectoriels citent aujourd’hui Akira, Qilin, Medusa, DragonForce et RansomHub parmi les acteurs les plus actifs contre les entreprises europ\u00e9ennes et fran\u00e7aises en 2025 et 2026. Selon des analyses sectorielles, une poign\u00e9e de groupes concentrerait plus de la moiti\u00e9 des attaques recens\u00e9es, signe d’une professionnalisation pouss\u00e9e.<\/p>\n\n\n\n

Ces chiffres de parts de march\u00e9 restent \u00e0 manier avec prudence : ils d\u00e9pendent de la m\u00e9thodologie de comptage et des sites de fuites observ\u00e9s, et aucune autorit\u00e9 ne publie de recensement exhaustif. La tendance de fond, en revanche, est solidement document\u00e9e : le mod\u00e8le du ransomware-as-a-service (RaaS) industrialise l’attaque.<\/p>\n\n\n\n

\n
Groupe<\/th>Mod\u00e8le<\/th>Profil en 2025-2026<\/th><\/tr><\/thead>
Akira<\/td>RaaS<\/td>Parmi les plus actifs contre les PME europ\u00e9ennes<\/td><\/tr>\n
Qilin<\/td>RaaS<\/td>Mont\u00e9e en puissance, cibles vari\u00e9es<\/td><\/tr>\n
Medusa<\/td>RaaS<\/td>Cit\u00e9 contre des entreprises fran\u00e7aises<\/td><\/tr>\n
DragonForce<\/td>RaaS<\/td>Acteur \u00e9mergent, double extorsion<\/td><\/tr>\n
RansomHub<\/td>RaaS<\/td>Recomposition apr\u00e8s d\u00e9mant\u00e8lements ant\u00e9rieurs<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Le ransomware-as-a-service, moteur de l’industrialisation<\/h3>\n\n\n\n

Dans le mod\u00e8le RaaS, des d\u00e9veloppeurs con\u00e7oivent et louent le logiciel malveillant \u00e0 des affili\u00e9s qui m\u00e8nent les attaques, en \u00e9change d’une commission sur les ran\u00e7ons. Cette division du travail abaisse drastiquement la barri\u00e8re d’entr\u00e9e : un affili\u00e9 n’a plus besoin de savoir coder un chiffreur, il ach\u00e8te l’outil et l’acc\u00e8s. Le r\u00e9sultat est une multiplication des attaques et une rotation rapide des marques, qui r\u00e9apparaissent sous d’autres noms apr\u00e8s chaque coup de filet policier.<\/p>\n\n\n\n

La cyber-extorsion frappe surtout les PME et la sant\u00e9<\/h2>\n\n\n\n

Une id\u00e9e re\u00e7ue voudrait que les ran\u00e7ongiciels visent d’abord les grands groupes. Les donn\u00e9es d’Orange Cyberdefense racontent l’inverse : environ deux tiers des victimes de cyber-extorsion dans le monde sont des petites et moyennes entreprises. Moins arm\u00e9es, dot\u00e9es de budgets de s\u00e9curit\u00e9 r\u00e9duits, elles offrent un rapport effort-ran\u00e7on attractif pour des affili\u00e9s cherchant le volume.<\/p>\n\n\n\n

Certains secteurs subissent une acc\u00e9l\u00e9ration particuli\u00e8rement brutale en 2025. La sant\u00e9 voit le nombre de structures touch\u00e9es progresser de 69 %, la finance et l’assurance de 71 %, les transports de 67 %. Ces secteurs partagent un point commun : l’interruption de service y est intol\u00e9rable, ce qui augmente la probabilit\u00e9 qu’une victime paie pour r\u00e9tablir au plus vite ses op\u00e9rations. Les h\u00f4pitaux, en particulier, sont devenus des cibles de choix, avec des cons\u00e9quences directes sur la prise en charge des patients.<\/p>\n\n\n\n

\n
Zone ou secteur<\/th>\u00c9volution des victimes en 2025<\/th>Source<\/th><\/tr><\/thead>
Monde (toutes victimes Cy-X)<\/td>+44,5 %<\/td>Security Navigator 2026, Orange Cyberdefense<\/td><\/tr>\n
France<\/td>+54 %<\/td>Security Navigator 2026, Orange Cyberdefense<\/td><\/tr>\n
Allemagne<\/td>+91 %<\/td>Security Navigator 2026, Orange Cyberdefense<\/td><\/tr>\n
Sant\u00e9<\/td>+69 %<\/td>Security Navigator 2026, Orange Cyberdefense<\/td><\/tr>\n
Finance et assurance<\/td>+71 %<\/td>Security Navigator 2026, Orange Cyberdefense<\/td><\/tr>\n
Transports<\/td>+67 %<\/td>Security Navigator 2026, Orange Cyberdefense<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Comment se d\u00e9roule une attaque par ransomware<\/h2>\n\n\n\n

Une attaque moderne suit une chor\u00e9graphie en plusieurs temps. L’acc\u00e8s initial passe le plus souvent par l’hame\u00e7onnage, par des identifiants vol\u00e9s ou par l’exploitation d’une faille sur un service expos\u00e9. Les attaquants ach\u00e8tent parfois cet acc\u00e8s \u00e0 des courtiers sp\u00e9cialis\u00e9s, les initial access brokers, qui se sont multipli\u00e9s. Pour comprendre ce premier maillon, voir notre dossier sur l’hame\u00e7onnage et la mani\u00e8re de le d\u00e9jouer<\/a>.<\/p>\n\n\n\n

Vient ensuite la phase de mouvement lat\u00e9ral : l’attaquant cartographie le r\u00e9seau, \u00e9l\u00e8ve ses privil\u00e8ges et identifie les donn\u00e9es les plus sensibles. Il les exfiltre discr\u00e8tement, parfois pendant des semaines. Le chiffrement, lorsqu’il a lieu, n’intervient qu’en dernier, une fois le vol consomm\u00e9. La double extorsion combine alors deux leviers : la paralysie op\u00e9rationnelle et la menace de publication. Certains groupes ajoutent un troisi\u00e8me \u00e9tage, le harc\u00e8lement direct des clients ou partenaires de la victime, voire des attaques par d\u00e9ni de service pour accentuer la pression.<\/p>\n\n\n\n

Chronologie des grandes attaques en Europe d\u00e9but 2026<\/h2>\n\n\n\n

Le premier semestre 2026 a encha\u00een\u00e9 les incidents marquants, des attaques par d\u00e9ni de service aux extorsions de grande ampleur. Le tableau ci-dessous reprend des cas document\u00e9s touchant des organisations europ\u00e9ennes et fran\u00e7aises.<\/p>\n\n\n\n

\n
Cible<\/th>Date<\/th>Type d’incident<\/th>\u00c9l\u00e9ment cl\u00e9<\/th><\/tr><\/thead>
La Poste (groupe)<\/td>1er janvier 2026<\/td>D\u00e9ni de service (DDoS)<\/td>Seconde offensive apr\u00e8s celle du 22 d\u00e9cembre 2025<\/td><\/tr>\n
ManoMano<\/td>30 janvier 2026<\/td>Cyberattaque<\/td>Plateforme de e-commerce fran\u00e7aise vis\u00e9e<\/td><\/tr>\n
Commission europ\u00e9enne (Europa.eu)<\/td>24 mars 2026<\/td>Extorsion (ShinyHunters)<\/td>Plus de 350 Go exfiltr\u00e9s, sans demande de ran\u00e7on<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Cette succession d’attaques s’inscrit dans un contexte fran\u00e7ais d\u00e9j\u00e0 tendu, marqu\u00e9 par une s\u00e9rie de fuites administratives massives. Notre bilan des fuites de donn\u00e9es en France en 2026<\/a> et le panorama de la cybermenace de l’ANSSI<\/a> d\u00e9taillent l’environnement dans lequel ces groupes prosp\u00e8rent.<\/p>\n\n\n\n

Le ransomware, une arme \u00e9conomique selon les experts<\/h2>\n\n\n\n

Les analystes convergent sur un diagnostic : le ran\u00e7ongiciel a quitt\u00e9 le registre de la d\u00e9linquance opportuniste pour devenir un instrument \u00e9conomique structur\u00e9. Orange Cyberdefense, dans son Security Navigator 2026, d\u00e9crit une cybercriminalit\u00e9 qui s’industrialise, avec des cha\u00eenes d’approvisionnement, des outils sur mesure et des mod\u00e8les de revenus calqu\u00e9s sur l’\u00e9conomie l\u00e9gale.<\/p>\n\n\n\n

Pour G\u00e9r\u00f4me Billois, associ\u00e9 en cybers\u00e9curit\u00e9 chez Wavestone et l’une des voix de r\u00e9f\u00e9rence en France, la mutation est avant tout organisationnelle. \u00ab Nous ne faisons plus face \u00e0 des pirates isol\u00e9s, mais \u00e0 des structures qui recrutent, sous-traitent et optimisent leurs marges comme des entreprises \u00bb, r\u00e9sume-t-il en substance lors de ses interventions publiques au printemps 2026. Cette lecture d\u00e9place la d\u00e9fense du seul terrain technique vers la r\u00e9silience globale : sauvegardes, plans de continuit\u00e9, gestion de crise.<\/p>\n\n\n\n

L’Agence europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA) classe r\u00e9guli\u00e8rement le ransomware parmi les principales menaces pesant sur l’Union, tandis que l’ANSSI, en France, en fait un axe prioritaire de sa strat\u00e9gie. Le Forum \u00e9conomique mondial confirme que cette menace reste, en 2026, la premi\u00e8re pr\u00e9occupation des responsables s\u00e9curit\u00e9, malgr\u00e9 la mont\u00e9e d’autres risques comme la fraude assist\u00e9e par intelligence artificielle.<\/p>\n\n\n\n

Faut-il interdire le paiement des ran\u00e7ons ?<\/h2>\n\n\n\n

Le d\u00e9bat structure la r\u00e9ponse publique. Payer alimente le mod\u00e8le \u00e9conomique des attaquants et n’offre aucune garantie de r\u00e9cup\u00e9ration des donn\u00e9es. Ne pas payer peut condamner une PME ou paralyser un h\u00f4pital. Entre ces deux \u00e9cueils, les \u00c9tats cherchent une voie m\u00e9diane.<\/p>\n\n\n\n

En France, la loi d’orientation et de programmation du minist\u00e8re de l’Int\u00e9rieur (LOPMI), promulgu\u00e9e d\u00e9but 2023, conditionne le remboursement d’une ran\u00e7on par l’assurance cyber au d\u00e9p\u00f4t d’une plainte dans un d\u00e9lai de 72 heures apr\u00e8s le paiement. L’objectif est double : tracer les flux et d\u00e9courager le r\u00e8glement silencieux. Plusieurs pays europ\u00e9ens et l’Union d\u00e9battent de mesures plus strictes, allant jusqu’\u00e0 l’interdiction pure et simple pour les op\u00e9rateurs d’infrastructures critiques.<\/p>\n\n\n\n

Le cadre r\u00e9glementaire se durcit en parall\u00e8le. La directive NIS2, dont la transposition fran\u00e7aise fait l’objet d’un suivi attentif, impose \u00e0 des milliers d’entit\u00e9s de nouvelles obligations de s\u00e9curit\u00e9 et de notification. Notre dossier sur NIS2 en France<\/a> d\u00e9taille ces exigences et leur port\u00e9e.<\/p>\n\n\n\n

Comment se prot\u00e9ger face au ransomware<\/h2>\n\n\n\n

Aucune mesure unique n’\u00e9limine le risque, mais une combinaison de bonnes pratiques r\u00e9duit fortement la surface d’attaque et l’impact d’un incident. Les fondamentaux restent d’une efficacit\u00e9 redoutable.<\/p>\n\n\n\n