84 groupes de rançongiciels, une vérité difficile à accepter : les démantèlements fragmentent l'écosystème, sans pour autant l'éliminer
Le rapport de Travelers pour le premier trimestre 2026 montre des chiffres de victimes proches d'un record historique et une montée en puissance de nouveaux groupes criminels, révélant pourquoi le démantèlement des noms les plus connus du ransomware pourrait rendre le problème global plus difficile à résoudre.
Les forces de l'ordre ont eu de quoi fêter le démantèlement de LockBit. Le champagne a coulé, au sens figuré, les communiqués de presse ont afflué, et le message était clair : le problème des rançongiciels reculait enfin. Puis Travelers a publié son rapport sur les cybermenaces du T1 2026, et les chiffres ont raconté une tout autre histoire.
Le tableau de bord que personne ne voulait voir
Au premier trimestre 2026, les opérateurs de rançongiciels ont publié 2 405 victimes sur des sites de fuite du dark web, selon le rapport sur les cybermenaces du T1 2026 de Travelers, tel que synthétisé par PropertyCasualty360. Ce chiffre n'est en recul que de 2 % par rapport au record absolu établi au T4 2025, et en hausse de 7 % par rapport au même trimestre un an plus tôt. Pour replacer l'évolution dans une perspective plus large : les sinistres liés aux rançongiciels ont augmenté de 80 % depuis 2022, et l'activité globale des rançongiciels a triplé sur la même période, selon les données de Travelers rapportées par PropertyCasualty360. Le nombre de victimes publiées sur des sites de fuite a augmenté de 50 % en 2025 seulement, d'après le Travelers Institute. Il ne s'agit pas d'erreurs d'arrondi. Ce sont des tendances pointant dans une seule et même direction.
Le chiffre le plus saisissant, toutefois, n'est pas le nombre de victimes. C'est le nombre de groupes actifs. Selon le rapport de Travelers, tel que relayé par PropertyCasualty360, 84 groupes criminels distincts étaient actifs au T1 2026, soit le nombre le plus élevé enregistré par Travelers depuis 2020. Un an auparavant, ce chiffre s'établissait à 70. Parmi ces 84 groupes, 19 faisaient leur toute première apparition dans les données des sites de fuite, selon Corvus by Travelers. Des nouveaux entrants. Une nouvelle génération d'opérateurs, débarquant précisément à la période où les grandes opérations répressives étaient censées refroidir le marché.
Le problème de la fragmentation, expliqué
Voici l'enseignement stratégique inconfortable enfoui dans ces données : démanteler un groupe de rançongiciels dominant n'élimine pas la capacité criminelle que ce groupe représentait. Elle se redistribue. Lorsqu'une opération majeure est perturbée, ses affiliés, ses outils et parfois ses développeurs se dispersent. Certains prennent leur retraite. Beaucoup ne le font pas. Ils lancent de nouvelles opérations, rejoignent des équipes plus petites ou créent des marques indépendantes. Le résultat est un écosystème avec davantage de nœuds, et non moins.
Travelers aborde cette dynamique directement. Comme l'a rapporté PropertyCasualty360, l'assureur a noté que la fragmentation rend les rançongiciels plus difficiles à combattre, car neutraliser un groupe devient moins décisif quand les attaques sont réparties entre de multiples acteurs en constante évolution. Une menace concentrée est, paradoxalement, plus facile à surveiller et à perturber qu'une menace diffuse.
La communauté de la sécurité le comprenait intellectuellement depuis des années. Les données du T1 2026 en constituent désormais la preuve empirique.
Les groupes les plus actifs au T1 2026 illustrent à la fois la persistance des acteurs établis et le chaos du nouveau paysage. Qilin a publié 414 victimes pour s'emparer de la première place, tandis qu'un groupe appelé the Gentlemen en a affiché 207, selon PropertyCasualty360. Les organisations ciblées comprenaient des entités dans les services financiers, selon le même rapport. Deux opérateurs très différents, tous deux prospérant au cours du même trimestre. Voilà à quoi ressemble en pratique un écosystème fragmenté.
La porte VPN est toujours grande ouverte
La fragmentation des acteurs de la menace ne signifie pas une absence de cohérence dans les points d'entrée. Les données de Travelers révèlent une constance frappante du côté des intrusions : plus de 85 % des sinistres cyber de Travelers déposés entre août et décembre 2025 impliquaient des VPN comme point d'entrée initial, selon le Travelers Institute.
Ce chiffre mérite d'être lu attentivement. Pas une pluralité. Pas une majorité. Plus de 85 %. Les réseaux privés virtuels, conçus comme un contrôle de sécurité, sont devenus l'une des portes d'entrée les plus fiables dans les environnements d'entreprise.
Le mécanisme n'a rien de mystérieux. Les appliances VPN non corrigées, les identifiants volés utilisés contre les portails VPN, et l'authentification multifacteur mal configurée autour des accès VPN sont des surfaces d'attaque bien documentées.
L'analyse de l'état des rançongiciels au T1 2026 réalisée par Emsisoft note que le paysage actuel se définit non seulement par le volume, mais aussi par l'intention, les acteurs de la menace donnant de plus en plus la priorité à des objectifs qui dépassent le simple chiffrement pour rançon. Le glissement vers le vol de données plutôt que la perturbation, documenté par Industrial Cyber en citant les conclusions de BlackFog pour le T1 2026, vient renforcer ce constat : les opérateurs exfiltrent de plus en plus les données avant de les chiffrer, ou à la place du chiffrement, car les données volées génèrent un levier d'extorsion même lorsque les victimes restaurent leurs systèmes à partir de sauvegardes. Le VPN est la porte d'entrée ; ce qui se passe après l'intrusion ressemble de plus en plus à un vol de données, et pas seulement à un verrouillage.
Ce que cela signifie concrètement pour vous
Si vous gérez la sécurité d'une organisation, l'implication stratégique du constat de fragmentation est que votre modèle de menace ne peut pas être construit autour du suivi de groupes nommés. Surveiller les indicateurs de compromission de LockBit pendant que 19 nouveaux groupes font leurs débuts en un seul trimestre, c'est comme changer les serrures après avoir distribué des clés à des inconnus que vous n'avez jamais rencontrés.
La réponse pratique consiste à se concentrer sur les éléments invariants du problème : les vecteurs d'accès initiaux (corrigez vos appliances VPN, imposez une authentification multifacteur résistante au phishing), la détection des mouvements latéraux et les contrôles d'exfiltration des données — car même si le groupe que vous surveillez disparaît demain, le suivant utilisera la même porte.
Le Travelers Institute note que l'assureur recommande cinq pratiques de préparation cyber pour aider les organisations à se protéger contre les menaces en évolution, bien que les détails de ces pratiques soient exposés dans le rapport complet sur les cybermenaces du T1 2026 de Travelers. Ce rapport mérite d'être lu en intégralité, non pas pour les groupes nommés (ceux-là changeront), mais pour les schémas structurels qui, eux, ne changeront pas.
Le tableau de bord des 84 groupes actifs aura un tout autre visage au T2. La leçon qu'il enseigne sera la même.
Sources
- Travelers : les attaques par rançongiciel atteignent un niveau quasi record - PropertyCasualty360(opens in new tab)
- Les rançongiciels atteignent des niveaux quasi records tandis que les lacunes en matière de gouvernance de l'IA se creusent au sein des organisations - Risk & Insurance(opens in new tab)
- Face au paysage actuel des cybermenaces | Travelers Institute(opens in new tab)
- Informations du renseignement sur les menaces de Corvus by Travelers(opens in new tab)
- L'état des rançongiciels au T1 2026(opens in new tab)
- L'activité des rançongiciels reste stable au T1 2026 tandis que les acteurs de la menace privilégient le vol de données à la perturbation, selon BlackFog - Industrial Cyber(opens in new tab)
Sources
- Les rançongiciels atteignent des niveaux quasi records tandis que les lacunes en matière de gouvernance de l'IA se creusent au sein des organisations - Risk & Insurance : Risk & Insurance(opens in new tab)
- Face au paysage actuel des cybermenaces | Travelers Institute(opens in new tab)
- L'activité des rançongiciels reste stable au T1 2026 tandis que les acteurs de la menace...(opens in new tab)
- Informations du renseignement sur les menaces de Corvus by Travelers(opens in new tab)
- L'état des rançongiciels au T1 2026(opens in new tab)
- Travelers : les attaques par rançongiciel atteignent un niveau quasi record - PropertyCasualty360(opens in new tab)
- Les rançongiciels atteignent des niveaux quasi records tandis que les lacunes en matière de gouvernance de l'IA se creusent...(opens in new tab)
- L'activité des rançongiciels reste stable au T1 2026 tandis que les acteurs de la menace...(opens in new tab)
- Face au paysage actuel des cybermenaces | Travelers Institute(opens in new tab)
- Informations du renseignement sur les menaces de Corvus by Travelers(opens in new tab)