Des attaquants ont utilisé un compte client pour exploiter une vulnérabilité des systèmes du distributeur canadien London Hydro, accédant potentiellement aux noms, coordonnées et informations de compte d'autres clients.
Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.
Le 11 mai 2026, le fournisseur coopératif d'énergie renouvelable Enercoop a subi un incident de sécurité au cours duquel des adresses e-mail liées à des comptes clients, prospects et sociétaires ont été compromises puis utilisées pour envoyer des messages frauduleux usurpant son service client.
En avril 2026, le groupe d'extorsion Coinbase Cartel a inscrit le géant français de l'énergie Engie sur son site de fuites, affirmant avoir volé des données sensibles et menaçant de tout publier faute de rançon ; Engie n'a pas confirmé publiquement l'intrusion.
En décembre 2025, les activités françaises du groupe énergétique italien ENI ont subi une fuite de données revendiquée par le groupe Lapsus$, exposant les coordonnées professionnelles de dizaines de milliers de clients entreprises ; ENI a confirmé l'incident et notifié la CNIL.
Le 28 février 2025, un pirate a affirmé avoir dérobé une base de données de la division hydraulique d'EDF (DPIH), exposant des plans d'intervention et de maintenance des centrales, des résultats de contrôles de sécurité et des identifiants d'agents ; EDF et les chercheurs ont contesté les allégations nucléaires.
En janvier 2025, la plateforme Prime énergie d'E.Leclerc a subi des accès frauduleux à des comptes, exposant les nom, prénom, adresse email, identifiants d'accès, numéro de dossier, montant de prime et libellé de prestation des clients ; la fuite a été notifiée aux clients concernés le 24 janvier 2025.
Le gang de rançongiciels Lynx a compromis Electrica Group, l'un des plus grands fournisseurs d'électricité de Roumanie desservant 3,8 millions d'utilisateurs, perturbant les services clients tandis que les systèmes SCADA et autres systèmes critiques du réseau étaient isolés et maintenus en service.
Le rançongiciel RansomHub a contraint le raffineur public costaricien RECOPE à basculer tout son réseau de distribution de carburant en mode manuel, déclenchant le premier déploiement réel du programme de cyber-réponse FALCON du département d'État américain.
En novembre 2024, le fournisseur d'électricité allemand Tibber a subi une fuite de données qui a exposé les informations personnelles de 50 000 clients. Les données comprenaient des noms, des adresses e-mail, des localisations géographiques (ville et code postal) et le total des dépenses d'achat.
RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.
Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.
Victim
Schneider Electric — division Sustainability Business
En novembre 2023, l'application de gestion de cuisine KitchenPal a subi une fuite de données qui a exposé 146 k lignes de données. Contacté au sujet de l'incident, KitchenPal a indiqué que le corpus de données provenait d'un environnement de pré-production, tout en reconnaissant qu'il contenait un petit nombre d'utilisateurs à des fins de débogage…
En mai 2023, des vagues coordonnées d'attaques ont exploité des vulnérabilités des pare-feu Zyxel pour compromettre 22 entreprises énergétiques danoises, forçant certains opérateurs à passer en mode îlotage, dans ce que SektorCERT a qualifié de plus grand incident cyber visant les infrastructures critiques du Danemark à ce jour.
Le gang de rançongiciel BlackCat/ALPHV a paralysé Empresas Públicas de Medellín, la plus grande entreprise publique de services de Colombie, forçant 4 000 employés à travailler hors ligne et perturbant la facturation de l'électricité, de l'eau et du gaz dans 123 municipalités.
En novembre 2022, la compagnie pétrolière et gazière indonésienne Pertamina a subi une fuite de données de son service MyPertamina. L'incident a exposé 44 millions d'enregistrements avec 6 millions d'adresses e-mail uniques ainsi que des noms, des dates de naissance, des genres, des adresses postales et des achats.
Le gang de rançongiciels Hive a frappé Rompetrol, exploitant de la plus grande raffinerie de Roumanie Petromidia, exigeant une rançon de 2 millions de dollars et paralysant le service de paiement Fill&Go et les sites web, tandis que la raffinerie poursuivait sa production.
Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.
Une cyberattaque attribuée à Predatory Sparrow a désactivé le système des cartes de carburant subventionné de l'Iran, paralysant le paiement dans la totalité des 4 300 stations-service du pays et détournant des panneaux d'affichage autoroutiers pour railler le Guide suprême Khamenei.
Victim
National Iranian Oil Products Distribution Company (NIOPDC) — réseau de cartes de carburant
Un acteur malveillant se faisant appeler ZeroX a exfiltré 1 To de données de Saudi Aramco via un sous-traitant tiers et a exigé une rançon de 50 millions de dollars, publiant des échantillons sur un forum de pirates derrière un compte à rebours de 662 heures.
Un mot de passe VPN réutilisé a permis à DarkSide de chiffrer les systèmes de facturation de Colonial Pipeline. L’opérateur a arrêté 5 500 miles de pipeline pendant six jours, payé 4,4 M$, et déclenché une urgence fédérale.
En décembre 2020, le fournisseur d'électricité britannique People's Energy a subi une fuite de données. La fuite a exposé près de 7 Go de fichiers contenant 359 000 adresses e-mail uniques, ainsi que des noms, des numéros de téléphone, des adresses physiques et des dates de naissance.
Le rançongiciel NetWalker a paralysé les systèmes de facturation et en ligne de l'unique fournisseur d'électricité de Karachi et exigé une rançon de 3,85 millions de dollars qui devait doubler à 7,7 millions ; face au refus de K-Electric, le groupe a divulgué en ligne une archive de 8,5 Go de données volées.
Le rançongiciel Clop a chiffré des serveurs dorsaux d'INA Group, la plus grande compagnie pétrolière et chaîne de stations-service de Croatie, paralysant la facturation, les cartes de fidélité, les vignettes électroniques, les recharges mobiles et le paiement des factures de gaz, tandis que la vente de carburant se poursuivait.
Le rançongiciel DoppelPaymer a paralysé les systèmes informatiques d'entreprise de la compagnie pétrolière publique mexicaine Pemex, gelant pendant des semaines paiements et communications. Les attaquants exigeaient 565 BTC (~5 M$). Pemex a refusé de payer ; le coût total de remédiation a atteint environ 71 millions de dollars.
Le producteur d'aluminium Norsk Hydro a perdu la majeure partie de son parc informatique mondial à cause du rançongiciel LockerGoga. Hydro a publiquement refusé de payer, a fait fonctionner ses activités sur papier pendant des semaines et a établi la référence éditoriale en matière de communication transparente sur les incidents.
Kaspersky a découvert StoneDrill, un nouveau wiper sophistiqué qui a détruit des données chez des cibles pétrochimiques et industrielles saoudiennes parallèlement à la campagne Shamoon 2, et qui s'était propagé jusqu'à une victime en Europe.
Victim
Organisations pétrochimiques et industrielles saoudiennes
Le groupe Sandworm, lié à la Russie, a déployé Industroyer (CrashOverride), le premier logiciel malveillant conçu spécifiquement pour attaquer les réseaux électriques, contre un poste de transmission de Kyiv, coupant l'électricité d'environ un cinquième de la capitale pendant près d'une heure.
Le groupe Sandworm, lié à la Russie, a utilisé l'hameçonnage ciblé, BlackEnergy3 et KillDisk pour actionner à distance les disjoncteurs de trois distributeurs régionaux d'électricité ukrainiens, coupant l'électricité d'environ 230 000 clients pendant 1 à 6 heures. Il s'agit de la première cyberattaque réussie publiquement reconnue contre un réseau électrique de l'histoire.
Le wiper Shamoon, attribué à l'Iran, a détruit les données d'environ 30 000 postes de travail de Saudi Aramco en une seule journée, mettant hors ligne pendant deux semaines le parc informatique de la plus grande compagnie pétrolière au monde. La première grande opération cyber iranienne de représailles.
Les services de renseignement américains et israéliens ont conjointement développé et déployé Stuxnet — la première cyberarme largement connue à avoir causé des dommages physiques. Le ver visait l'installation d'enrichissement d'uranium iranienne de Natanz et a détruit environ 1 000 centrifugeuses IR-1 entre 2009 et 2010.
Victim
Installation d'enrichissement d'uranium de Natanz (Iran)