Ransomware 2026 : les 5 groupes qui ciblent les PME françaises

Fin 2024, les cybercriminels ont opéré un glissement discret mais décisif : ils ne chiffrent plus d'emblée. Ils copient d'abord, restent invisibles plusieurs semaines, puis frappent. Pour une PME, ça change tout : vos sauvegardes ne suffisent plus à vous protéger d'une publication de données.

Pendant longtemps, le ransomware suivait un schéma simple : entrer, chiffrer, demander. Les PME qui tenaient leurs sauvegardes à jour s'en sortaient sans payer.

Ce modèle est obsolète.

Les groupes actifs en 2026 pratiquent quasi-systématiquement la double extorsion :

1. Phase 1 — J-30 à J-7

   Exfiltration silencieuse

   L'attaquant entre, cartographie le réseau, identifie les données sensibles (RH, comptabilité, contrats) et les copie discrètement vers un serveur externe.

2. Phase 2 — J-0

   Déclenchement du chiffrement

   En quelques heures, serveurs, postes et sauvegardes connectées au réseau sont chiffrés. La note de rançon apparaît.

3. Phase 3 — J+1

   Double pression

   Payer pour la clé de déchiffrement ET payer pour que les données ne soient pas publiées sur un site de leak public.

1. Akira — Le spécialiste des VPN non patchés

Cible : ETI entre 50 et 500 salariés, industrie et services B2B.

Akira entre par des VPN Cisco non mis à jour, se déplace latéralement pendant 2 à 3 semaines, exfiltre comptabilité et contrats, puis chiffre.

2. RansomHub — La plateforme criminelle industrialisée

Cible : Toutes tailles, tous secteurs. Modèle RaaS : des affiliés louent la plateforme et gardent 90 % de la rançon.

RansomHub est devenu en 18 mois la plateforme la plus utilisée par les affiliés francophones. Particularité : un compteur public « temps avant publication » pour maximaliser la pression.

3. Qilin — Santé et sous-traitants de collectivités

Cible : Établissements de santé, collectivités, prestataires numériques.

Si vous êtes sous-traitant d'un hôpital ou d'une collectivité, vous pouvez être la porte d'entrée. Qilin entre par des credentials volés sur des services exposés (RDP, portails métier).

4. DragonForce — La supply chain comme vecteur

Cible : Fabricants, distributeurs, transporteurs.

DragonForce cible les sous-traitants de grands groupes pour remonter vers la cible finale. Votre PME n'est pas la cible — mais le passage obligé.

5. Medusa — Patient, méthodique et public

Cible : Cabinets d'expertise-comptable, cabinets juridiques, PME avec données clients sensibles.

30 à 60 jours de présence avant l'attaque. Medusa publie la négociation en direct sur un blog public, visible de vos clients.

• Patcher vos équipements de périmètre sous 72 h après publication d'une CVE critique (VPN, firewall, RDP). C'est le vecteur d'Akira, DragonForce et la majorité des affiliés RansomHub.
• Segmenter vos sauvegardes du réseau principal : une sauvegarde connectée est une sauvegarde chiffrable. Règle 3-2-1 : 3 copies, 2 supports, 1 hors site.
• Activer la MFA sur tous les accès distants : VPN, messagerie, outils de gestion. Un credential volé par phishing ne suffit plus à ouvrir la porte.
• Surveiller les sorties de données inhabituelles : une exfiltration génère du bruit réseau. Un EDR correctement paramétré peut le détecter avant le chiffrement.
• Tester votre plan de reprise : combien de temps pour remettre en production depuis zéro ? Beaucoup de PME ont des sauvegardes mais n'ont jamais testé la restauration complète.

Si vous voulez évaluer votre exposition réelle, demandez une analyse gratuite : 30 minutes pour identifier vos vecteurs d'entrée exposés et votre capacité de récupération réelle.