Afiq Sam - stock.adobe.com
Ransomware : léger recul en juin pour conclure un semestre intense
L’activité observable sur le front des cyberattaques avec rançongiciel a continué son recul séquentiel en juin. Mais elle reste marquée par un niveau bien supérieur à celui de 2025, sur fond d’écosystème fragmenté.
Pour le mois de juin 2026, nous avons compté, avec l’aide de ransomware.live, un total de 705 incidents de rançongiciel à travers le monde, marquant une légère décélération par rapport au mois précédent. Ce recul mensuel de 4,3 % marque un reflux temporaire de l’activité : traditionnellement, depuis six ans, elle baisse en juin jusqu’à atteindre son taux le plus bas annuel en juillet, avec une reprise en août.
En outre, une analyse plus large révèle une tendance structurelle alarmante. Comparé à juin 2025, le nombre d’incidents a augmenté de plus de 25 %, confirmant non seulement que la menace ne connaît pas de répit, mais qu’elle s’intensifie sur une base annuelle.
En perspective trimestrielle, le tableau global confirme la trajectoire ascendante de la menace. Le deuxième trimestre 2026 a vu un total de 2 253 incidents, ce qui représente une progression de 3,2 % par rapport au trimestre précédent.
Géographiquement, l’Amérique du Nord demeure le principal théâtre d’opérations, les États-Unis concentrant de loin la majorité des attaques. L’Allemagne et le Canada suivent, tandis que le Royaume-Uni et le Brésil apparaissent comme des cibles significatives, soulignant une diversification des zones d’impact.
Un écosystème toujours très fluide
En 2024, l’opération Cronos et l’exit-scam d’Alphv avaient fortement affecté l’écosystème du ransomware. Début 2025, la disparition de RansomHub avait ajouté au chaos ambiant pour conduire à une fragmentation inédite du secteur. Cette situation perdure aujourd’hui malgré l’apparition de Dragon Force, The Gentlemen. Sans compter le cartel INC Ransom, Lynx, Sinobi, et Safepay. Ce que souligne l’analyse comparative de l’activité observable des principales enseignes au cours des 12 derniers mois.
The Gentlemen se distingue comme le groupe ayant connu la progression la plus forte, passant d’une quasi-inactivité à un nombre d’incidents mensuels constamment élevé au cours de la seconde moitié de la période, ce qui suggère une forte expansion de ses activités.
À l’inverse, Akira et Play montrent des signes évidents de ralentissement, leur activité mensuelle diminuant régulièrement au cours des derniers mois. De quoi suggérer une contraction potentielle de leur champ d’action. Qilin conserve le volume global le plus élevé, mais présente une volatilité considérable, ses récentes tendances à la baisse suggérant d’éventuels changements internes ou externes dans ses priorités opérationnelles.
Le groupe intermédiaire se caractérise davantage par des divergences que par des convergences. Alors qu’INC Ransom maintient une présence stable et persistante, avec une activité constante faible à modérée, d’autres enseignes affichent une extrême irrégularité opérationnelle. Par exemple, Sinobi a connu des pics brusques et intermittents suivis d’une activité quasi nulle. À l’inverse, Nightspire affiche une trajectoire ascendante claire et régulière ces derniers mois, ce qui en fait une menace émergente prometteuse qui pourrait tirer parti des lacunes laissées sur le marché par des rivaux en recul.
Dans l’ensemble, les données laissent toujours voir une forte fragmentation du paysage des menaces. L’ère des groupes monolithiques, aux volumes d’activité toujours élevés, semble avoir durablement cédé la place à un environnement plus segmenté. Si des poids lourds bien établis comme Qilin restent très actifs, la dynamique s’oriente de plus en plus vers des enseignes plus petites et plus spécialisées, à l’instar d’un Worldleaks ou Silent Ransom Group.
Parallèlement, des revendications croisées, entre enseignes apparentes, continuent de suggérer que certaines vitrines émergentes appartiennent à de petits groupes fermés opérant aussi, ou ayant habituellement opéré, dans l’ombre de plus grandes « marques » de rançongiciel. À l’instar d’un Devman, qui fut notamment affidé de Qilin et d’INC Ransom avant d’ouvrir sa propre enseigne, au moins pour quelques mois.
En France, la menace s’est inscrite à un niveau stable, d’un mois sur l’autre, tant selon nos observations que selon les chiffres de Cybermalveillance.gouv.fr : 104 demandes d’assistance pour rançongiciel ont été reçues de la part d’entreprises, associations et collectivités en juin 2026, soit à peu près autant qu’en mai, et sensiblement moins qu’un an plus tôt (126 demandes en juin 2025).
