5 groupes ransomware français à bloquer maintenant (mai 2026)

TL;DR

• Akira & Qilin dominent les attaques PME/ETI en France en 2026 (via VPN non patchés, phishing IA) • France 5e cible mondiale (+29% incidents vs 2025), santé & collectivités en première ligne • À faire d'ici fin mai: patch critique, test MFA, inventaire VPN, plan incident. Coûts: peu cher maintenant, catastrophique après.

Qui les vise vraiment maintenant en France?

Les cinq groupes les plus actifs contre les entreprises françaises en 2025-2026 sont Akira (spécialisé PME-ETI via VPN non patchés), RansomHub, Qilin (santé et collectivités), DragonForce et Medusa.

Attention: ce n'est pas abstrait.

France a connu 58 incidents ransomware en début 2026, une augmentation de 29%, ce qui en fait le 5e pays le plus ciblé au monde. Et vous savez quoi? La CNIL a sanctionné Free Mobile à 27 millions d'euros et Free à 15 millions, suite à une violation de données de 24 millions d'abonnés en octobre 2024.

C'est à votre niveau maintenant. L'année 2026 marque le basculement vers l'usage d'agents IA autonomes dans la cybercriminalité. Ces systèmes peuvent cartographier une cible en quelques minutes, enchaîner plusieurs vulnérabilités et générer des campagnes de phishing très à grande échelle.

Pourquoi Akira vous vise spécifiquement? Votre VPN Fort ou Cisco expose une faille vieille de 6 mois? Il le sait. Vos équipes cliquent sur un email qui paraît venir de la DSI? L'IA de Qilin l'a personnalisé en 4 secondes.

Les tactiques qu'ils utilisent sur vous en ce moment

Phase 1: Reconnaissance IA (0-5 minutes)

Les systèmes IA autonomes peuvent enchaîner l'exploitation de plusieurs vulnérabilités et générer des campagnes de phishing calibrées selon les données contextuelles disponibles. Akira scanne vos équipements réseau via Shodan, trouve votre VPN Fortinet version 7.0 (oui, celle de 2023), teste 50 exploits publics en parallèle.

Phase 2: Phishing IA + MFA bypass (5-48h)

En 2026, 40 % des attaques par phishing intègrent des éléments générés par IA selon une étude de Capgemini. Le directeur finance reçoit un email qui imite votre style interne, demande une validation urgente sur un lien de "renouvellement de MFA". Mot de passe + code TOTP volés en 2 clics.

Phase 3: Entrée latérale + exfiltration (2-7 jours)

Une fois dedans, Akira utilise vos propres outils (RDP, PowerShell) pour traverser le réseau. Pas de malware bruyant. En 2026, 74% des attaques ransomware impliquent une exfiltration de données, avec un nombre croissant sautant complètement le chiffrement. L'exfiltration de données prend quelques minutes; le chiffrement demande des heures.

Vos données client + RIB + contrats financiers partent sur le dark web. Puis demande de rançon: "Payer ou on les vend".

MITRE ATT&CK simplifié:

• T1566.002 (Phishing: pièce jointe) → Email piégé IA
• T1078.004 (Accès validé: compte par défaut) → VPN non patché
• T1570 (Latéral: transfert over network) → RDP, SMB
• T1567.002 (Exfiltration: transfert vers serveur cloud) → Mega.nz, gofile
• T1486 (Données: chiffrement) → Optionnel en 2026, juste le vol suffit

Ce qu'il faut faire avant fin mai (liste de course)

Immédiat (cette semaine):

1. Patch critique VPN & pare-feu — Fortinet (CVE-2023-50868 et autres), Cisco ASA, Palo Alto. L'exploitation de vulnérabilités non patchées est la méthode d'entrée la plus courante et la plus dommageable. Les vulnérabilités Fortinet, notamment celles affectant FortiOS et FortiProxy, ont été régulièrement exploitées par les affiliés LockBit. Vérifiez votre version d'ici jeudi.

1. Inventaire: qui utilise RDP/VPN externe? Notamment l'équipe support. Activez l'authentification multifactorielle (MFA) sur chaque accès distant, pas sur 60%. C'est mécanique: pas de MFA = entrée facile.

1. Test de phishing interne — Faites envoyer 1 email test par CyberTool ou interne, avec un lien piégé. Combien cliquent? Si > 5 %, formation d'urgence.

Avant fin mai:

1. Plan de réponse incident écrit — Qui appelle qui? Qui déconnecte le réseau? Qui documente? 60 % des entreprises n'ont pas de plan de réponse aux incidents, ce qui les rend vulnérables.

1. Sauvegarde hors ligne testée — Faites une restauration test depuis votre sauvegarde. Une copie sur serveur Windows relié au réseau n'est pas une sauvegarde, c'est du faux. Les sauvegardes résistantes aux rançongiciels doivent être immuables, isolées de l'air (air-gapped) et isolées autant que possible.

1. Audit gratuit CyberTool — Décrivez votre infrastructure, recevez un rapport IOC (indicateurs de compromission) pour les 5 groupes ci-dessus, détectez si vous êtes déjà analysés en veille.

Comment savoir si vous êtes ciblé (IOC simples à chercher)

Les IOC (Indicators of Compromise) = indices techniques que vous avez été scanné.

Dans vos logs VPN/pare-feu, cherchez:

• Tentatives répétées sur ports FortiOS (8443) ou SSH (22) depuis IPs non connues
• Sessions RDP longues la nuit (sign of lateral movement)
• Accès SMB depuis VPN sans raison métier

Dans Defender/antivirus:

• Fichiers .exe ou .ps1 téléchargés dans %TEMP% sans raison
• Processus PowerShell lancé avec arguments suspects ("IEX", "DownloadString")
• Connexions HTTPS vers IP non-HTTPS (signe de C2, commande & contrôle)

Conseil opérationnel: Demandez à votre support informatique un scan GRATUIT avec Shodan (shodan.io) sur votre adresse IP publique. Vous verrez exactement ce que les hackers voient. Si vous voyez "Fortinet FortiOS", c'est déjà scruté.

Notification obligatoire: Si vous repérez une intrusion active, les entreprises devront notifier les incidents significatifs à l'ANSSI dans des délais stricts. Appelez cyber.gouv.fr ou le CERT-FR en cas de doute (ils sont gratuits et confidentiels).

Frequently asked questions

Related reading

• 📡 Détection
  Détecter un ransomware avant le chiffrement: 3 signaux à surveiller en 2026
• 🚨 Incident
  Cyberattaque : que faire dans les 24 premières heures (plan d'action PME)
• 🎯 Pentest
  OWASP Top 10 expliqué simplement : les 10 failles qui menacent votre site en 2026