Kubota North America a révélé qu'un tiers non autorisé avait eu un accès d'un mois à son réseau début 2026, atteignant des fichiers RH contenant les données personnelles d'employés et d'ayants droit.
Le groupe japonais de boissons Sapporo Holdings a révélé un accès non autorisé présumé à ses filiales étrangères Pokka (Singapour) et Sleeman Breweries (Canada), arrêtant les systèmes concernés pour enquêter.
Les activités de Nissan sur le continent américain ont révélé que des attaquants exploitant une faille zero-day d'Oracle PeopleSoft avaient accédé à des données sensibles d'employés actuels et anciens aux États-Unis, au Canada, au Mexique et au Brésil.
Le groupe d'extorsion en pleine expansion TheGentlemen a ajouté le 28 juin 2026 le fabricant allemand d'électronique de défense navale Atlas Elektronik à son site de fuite sur le dark web, revendiquant une attaque par double extorsion datée d'environ le 25 juin, bien que la filiale de TKMS n'ait confirmé publiquement aucune compromission.
Le constructeur indien Bajaj Auto a révélé qu'une attaque par rançongiciel détectée au matin du 23 juin 2026 avait affecté les systèmes de l'entreprise et de sa filiale technologique, déclenchant des mesures de confinement et des déclarations réglementaires auprès du CERT-In et du SEBI.
Le géant japonais des moteurs et de l'électronique Nidec a confirmé une attaque par rançongiciel contre sa filiale taïwanaise Nidec Chaun Choung Technology, après quoi le groupe Blackfield a revendiqué l'intrusion et exigé une rançon de 2 millions de dollars.
Tata Electronics a confirmé une cyberattaque après la publication par World Leaks de plus de 200 000 fichiers volés, dont des documents évoquant Apple et Tesla selon des chercheurs.
L'entreprise d'imagerie et de matériaux Eastman Kodak a confirmé qu'un tiers non autorisé avait temporairement accédé à une quantité limitée de données de l'entreprise, après que le groupe d'extorsion ShinyHunters a inscrit Kodak sur son site de fuite du dark web en prétendant détenir plus de 2,2 millions d'enregistrements de données clients et internes.
Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.
Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.
Début mai 2026, l’usine West Pharmaceutical du Nouvion-en-Thiérache (Aisne), qui emploie environ 770 personnes pour fabriquer des composants en caoutchouc destinés aux seringues et dispositifs médicaux, a été frappée par une cyberattaque ayant interrompu la production près de deux semaines ; aucune exfiltration de données n’a été confirmée.
Le 5 mai 2026, le groupe de ransomware SpaceBears a inscrit le fabricant français d'équipements industriels Erla Technologies SAS sur son site de fuites, affirmant avoir dérobé des données personnelles d'employés et de clients, des documents financiers et des fichiers projets — dont de la documentation liée à un client de l'armée française.
Révélée le 30 avril 2026, une fuite de données chez le fabricant français de domotique Delta Dore a exposé les données personnelles d’au moins 374 personnes inscrites sur son portail de formation professionnelle, formation-pro.deltadore.fr, donnant lieu à des notifications aux personnes concernées.
Filair, une entreprise française de fabrication métallique industrielle, a été visée par le groupe d’extorsion Lamashtu, qui a exfiltré et publié près de 50 ans d’archives internes — des dizaines de milliers de fichiers : données CAO, documents financiers et RH.
Gauthier Tissus, fabricant français de tissus techniques tissés et ennoblis, a été référencé sur le site de fuite du groupe d'extorsion Lamashtu, qui a publié environ 54 Go (près de 8 500 fichiers couvrant 1996–2026) de données internes financières, RH, commerciales et de R&D.
Le groupe champenois Vranken-Pommery a révélé le 10 avril 2026 qu'une attaque par rançongiciel visant son prestataire externe de billetterie en ligne avait exposé les données personnelles des visiteurs de ses sites touristiques rémois — noms, dates de naissance, coordonnées et détails de réservation — sans toutefois toucher les données bancaires.
Le 8 avril 2026, le fabricant français de caillebotis métalliques Diamond a été référencé sur le site de fuite du groupe de rançongiciel Gunra, qui revendique l’exfiltration de documents confidentiels OneDrive et SharePoint liés aux projets, clients et opérations internes.
Le 6 avril 2026, le groupe de ransomware Akira a revendiqué l'attaque du fabricant français de connecteurs aéronautiques Gauthier Connectique (groupe Nicomatic), menaçant de publier 42 Go de données exfiltrées : documents d'identité d'employés, plans techniques, données financières et NDA.
Le fabricant français de cosmétiques Aircos Pascual, filiale du groupe Anjac, est visé par une cyberattaque de type ransomware revendiquée par le groupe
La maison de champagne Veuve Clicquot a révélé en avril 2026 qu'une attaque par rançongiciel visant son prestataire externe de réservation de visites avait exposé les données personnelles des personnes ayant réservé une visite depuis au moins juillet 2024, dont noms, dates de naissance, téléphones et emails.
Début avril 2026, la conserverie française La Quiberonnaise a confirmé qu'un accès non autorisé à ses systèmes avait exposé des données personnelles de clients — noms, adresses postales, adresses email et numéros de téléphone — l'entreprise notifiant les clients concernés par email et signalant la violation à la CNIL.
Le fabricant français Serap, leader mondial des tanks de refroidissement du lait, a été frappé par une attaque par double extorsion du ransomware Akira divulguée le 2 avril 2026, le groupe menaçant de publier environ 50 Go de données internes volées.
Le groupe Handala, lié à l'État iranien, a compromis le compte administrateur Microsoft Intune de Stryker et utilisé l'outil de gestion des terminaux pour effacer plus de 200 000 serveurs, appareils mobiles et postes de travail d'entreprise dans 79 pays — paralysant les opérations de l'un des plus grands fabricants mondiaux de dispositifs médicaux.
Début mars 2026, le fabricant français de fixations aéronautiques et automobiles LISI Group a été visé par le gang de rançongiciel Qilin, qui a exfiltré un volume limité de données d'entreprise — coordonnées bancaires/IBAN, contrats de fourniture, accords de confidentialité et données d'employés — depuis deux sites annexes.
Le groupe de rançongiciel Akira a inscrit le fabricant français de composants de volets roulants Zurflüh-Feller parmi ses victimes début 2026, menaçant de publier environ 66 Go de données d'entreprise volées : documents d'identité d'employés, données financières, contrats et accords de confidentialité.
Le 2 janvier 2026, un membre d'un forum du dark web a affirmé mettre en vente une base de données clients interne de Trescal d'environ 70 981 enregistrements, exposant noms, e-mails professionnels, numéros de téléphone et de fax, fonctions, sociétés et numéros SIRET.
Le 12 décembre 2025, France Ventilation, spécialiste français de la ventilation et du traitement de l'air, a révélé une fuite de données exposant les coordonnées bancaires de ses clients — n° de carte, date d'expiration et CVV — avec un risque direct de fraude bancaire.
En novembre 2025, le groupe d'extorsion Cl0p a inscrit le manufacturier français de pneumatiques Michelin sur son site de fuites, affirmant avoir volé des fichiers internes (production, ingénierie, chaîne d'approvisionnement, finances, RH) via la faille zero-day Oracle E-Business Suite (CVE-2025-61882).
Les opérateurs du rançongiciel Qilin ont chiffré des serveurs dans les centres de données japonais d'Asahi, paralysant les commandes, les expéditions et la production dans 30 usines, exfiltrant 27 Go de données internes et exposant les informations personnelles d'environ 1,5 million de clients, employés et contacts.
Une cyberattaque contre le plus grand constructeur automobile britannique a contraint JLR à couper son réseau informatique mondial et a interrompu la production de véhicules au Royaume-Uni, en Chine, en Slovaquie, en Inde et au Brésil pendant cinq semaines — désormais considérée comme l'incident cyber le plus économiquement dommageable de l'histoire du Royaume-Uni.
Un stockage cloud Amazon mal configuré, exploité par la filiale logicielle de Volkswagen, Cariad, a exposé les données d'environ 800 000 propriétaires de véhicules électriques des marques VW, Audi, Seat et Skoda, dont des coordonnées et la géolocalisation précise d'environ 466 000 voitures.
Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.
Victim
Boeing — Activité Pièces détachées et Distribution
Ferrari a révélé qu'un acteur malveillant avait pénétré ses systèmes et exigé une rançon concernant des données de contact clients volées — noms, adresses, e-mails et numéros de téléphone — que le constructeur de luxe a refusé de payer.
Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.
Predatory Sparrow a compromis les systèmes de contrôle industriel de trois grands sidérurgistes iraniens, interrompant la production et — dans les images de vidéosurveillance diffusées par le groupe — provoquant à Khouzestan Steel le déversement de métal en fusion et un incendie sur le sol de l'usine.
Une attaque contre Kojima Industries, fournisseur de pièces plastiques et électroniques de Toyota, a paralysé un seul serveur, suffisant pour stopper la production de l'ensemble des 14 usines japonaises de Toyota — environ 13 000 véhicules par jour — faisant de cet épisode l'exemple canonique de la fragilité cyber de la production en juste-à-temps.
Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.
Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Des affiliés de REvil ont chiffré les systèmes du plus grand transformateur de viande au monde, paralysant des usines de transformation de bœuf et de porc aux États-Unis, au Canada et en Australie. JBS a payé une rançon de 11 millions de dollars — l'un des plus importants paiements de rançongiciel publiquement confirmés à l'époque.
Des attaquants ont compromis l'entreprise suédoise de sécurité physique Gunnebo, dérobé 19 Go de données et, après le refus de paiement de l'entreprise, divulgué des plans de chambres fortes de banques, des schémas d'alarme et les dispositifs de sécurité de clients de premier plan, dont un bâtiment du Parlement suédois.
Une attaque par rançongiciel a paralysé les usines du fabricant de machines à tisser Picanol à Ieper (Belgique), en Roumanie et en Chine, interrompant pendant plus d'une semaine la production qui emploie environ 2 300 salariés. La cotation de l'action Picanol a été suspendue durant la perturbation.
Un incident cyber de type rançongiciel a contraint le géant danois des aides auditives Demant à arrêter ses systèmes informatiques dans le monde entier, paralysant la production et le traitement des commandes et causant une perte estimée jusqu'à 95 millions de dollars — l'un des événements de rançongiciel les plus coûteux jamais enregistrés.
Le producteur d'aluminium Norsk Hydro a perdu la majeure partie de son parc informatique mondial à cause du rançongiciel LockerGoga. Hydro a publiquement refusé de payer, a fait fonctionner ses activités sur papier pendant des semaines et a établi la référence éditoriale en matière de communication transparente sur les incidents.
Une variante du rançongiciel WannaCry s'est propagée à travers les équipements de fabrication Windows 7 non corrigés de TSMC, le plus grand fondeur de puces au monde, paralysant la production des usines de Hsinchu, Taichung et Tainan et causant environ 170 millions de dollars de pertes.
Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.
Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.
Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Kaspersky a découvert StoneDrill, un nouveau wiper sophistiqué qui a détruit des données chez des cibles pétrochimiques et industrielles saoudiennes parallèlement à la campagne Shamoon 2, et qui s'était propagé jusqu'à une victime en Europe.
Victim
Organisations pétrochimiques et industrielles saoudiennes
Des attaquants ont utilisé le harponnage pour passer du réseau bureautique d'une aciérie allemande à son réseau de production, manipulant les commandes industrielles de sorte qu'un haut-fourneau n'a pas pu être arrêté correctement et a subi d'importants dommages physiques.
Les services de renseignement américains et israéliens ont conjointement développé et déployé Stuxnet — la première cyberarme largement connue à avoir causé des dommages physiques. Le ver visait l'installation d'enrichissement d'uranium iranienne de Natanz et a détruit environ 1 000 centrifugeuses IR-1 entre 2009 et 2010.
Victim
Installation d'enrichissement d'uranium de Natanz (Iran)