En bref

  • TheGentlemen ransomware (affilié Qilin) revendique une attaque contre Indra Group, contractant espagnol de la coalition cyber OTAN
  • Une filiale du groupe a été touchée et isolée ; Indra affirme garantir la continuité de ses services principaux
  • Ultimatum de 9 jours fixé à compter du 30 juin 2026 avant publication potentielle des données sur le darkweb

Les faits

Le 30 juin 2026, le groupe ransomware TheGentlemen a publié une revendication sur son site de fuite hébergé sur le darkweb, désignant Indra Group comme nouvelle victime. Indra est un acteur majeur de l'industrie européenne de défense et de technologie : le groupe espagnol est l'un des plus grands intégrateurs de systèmes d'information pour l'OTAN, fournissant notamment des solutions de gestion du trafic aérien, de défense radar, de systèmes de commandement militaires et de cybersécurité défensive pour plusieurs membres de l'Alliance atlantique. Son appartenance à la coalition cyber OTAN rend cette attaque particulièrement sensible sur le plan stratégique et géopolitique.

TheGentlemen a fixé une échéance de neuf jours à compter du 30 juin 2026 pour qu'Indra entame des négociations, sous peine de publier ou de vendre les données prétendument volées sur le darkweb. Au moment de la revendication, le groupe n'avait pas encore publié d'échantillons de données pour prouver concrètement son accès, et la nature exacte des informations éventuellement exfiltrées restait inconnue. Aucune donnée de clients, d'employés ou de partenaires n'a été confirmée comme compromise à ce stade.

Indra Group a confirmé l'incident dans un communiqué officiel, précisant que l'attaque avait affecté l'une de ses filiales dont l'identité n'a pas été divulguée. Des mesures d'urgence ont été prises pour contenir la propagation, et l'entreprise a déclaré avoir « garanti la sécurité et la continuité de ses services » et évalué que « le risque de propagation aux autres filiales du groupe a été écarté ». Ce type de communication de crise minimisante est un classique des grandes entreprises cotées confrontées à des incidents cyber. Il doit être mis en regard de la réalité : Indra gère des systèmes critiques pour plusieurs gouvernements et forces armées membres de l'OTAN.

TheGentlemen est un groupe relativement récent qui a évolué à partir d'ArmCorp, un cluster affilié au programme ransomware-as-a-service Qilin. Le groupe compterait une vingtaine de membres actifs et aurait ciblé, selon les données publiées par les équipes de threat intelligence de Rankiteo et Recorded Future, 27 victimes en Thaïlande, ainsi qu'aux États-Unis, en France et au Brésil. La montée en gamme vers une cible de l'envergure d'Indra représente un saut qualitatif significatif dans leurs opérations et suggère une ambition croissante.

Le vecteur d'entrée initial utilisé par TheGentlemen dans cette attaque n'a pas été divulgué par Indra ni par des chercheurs tiers au moment de la publication de cet article. Les opérations du groupe étant affiliées au programme Qilin RaaS, les techniques d'accès initial suivent probablement le schéma habituel : exploitation de VPN vulnérables non patchés, credential stuffing sur des portails d'accès distant non protégés par MFA, ou spear-phishing ciblé sur des collaborateurs disposant de droits d'accès à distance.

Cette attaque s'inscrit dans un contexte de multiplication des incidents ransomware visant la base industrielle de défense et de technologie en Europe. Les attaquants ont compris que ce secteur représente des cibles à haute valeur — tant financière que symbolique et stratégique — parfois moins bien protégées sur les flancs (filiales, sous-traitants) que les entités mères. La pression exercée sur un contractant OTAN porte aussi une dimension d'intimidation qui dépasse le simple gain financier.

Le cas Indra illustre la stratégie de ciblage des filiales comme vecteur de compromission du groupe parent. C'est exactement la même logique qui avait permis l'attaque de la filiale taïwanaise de Nidec (Nidec Chaun-Choung Technology) par le groupe BlackField le 22 juin 2026, avec plus de 2 To de données volées et une rançon de 2 millions de dollars demandée. Les filiales offrent aux attaquants un point d'entrée avec un niveau de maturité cyber souvent inférieur à celui de la maison mère, tout en ouvrant des voies de rebond vers le coeur du groupe via des connexions réseau internes, des comptes Active Directory partagés ou des accès VPN inter-sites.

Pour les organisations françaises qui collaborent avec Indra Group — notamment dans les secteurs de la défense, du transport aérien (Indra fournit des systèmes ATM à plusieurs aéroports européens), et des systèmes critiques nationaux — il est recommandé de surveiller attentivement les communications provenant de l'écosystème Indra et de renforcer temporairement les contrôles sur les connexions inter-systèmes, en attendant que l'enquête soit complète et que l'étendue réelle de la compromission soit connue.

Impact et exposition

L'impact direct confirmé se limite à une filiale d'Indra Group dont les systèmes ont été isolés. L'impact indirect potentiel concerne l'ensemble des partenaires, clients et sous-traitants d'Indra dans les secteurs défense, transport aérien et systèmes critiques à travers l'Europe. Si les données volées incluent des spécifications techniques relatives à des projets OTAN, des données de contact de personnels militaires ou des informations contractuelles sensibles, les conséquences pourraient dépasser le cadre commercial pour affecter la sécurité opérationnelle de l'Alliance. Une publication éventuelle de données représenterait un risque de renseignement pour les membres de l'OTAN.

Recommandations

  • Partenaires d'Indra : renforcer la surveillance des connexions inter-systèmes avec l'écosystème Indra. Activer une authentification forte (MFA) sur tous les accès partenaires.
  • Veille darkweb : surveiller les éventuelles publications de données sur les sites de fuite de TheGentlemen dans les prochains jours.
  • Revue des accès tiers : auditer les comptes de service et les accès accordés à des prestataires et filiales externes. Appliquer le principe de moindre privilège sur les accès inter-entités.
  • Plan de réponse aux incidents : vérifier que votre plan de réponse couvre le scénario d'une compromission via un tiers de confiance ou un partenaire stratégique.

TheGentlemen représente-t-il un risque pour les entreprises françaises ?

Oui. Issu du programme Qilin RaaS, TheGentlemen a documenté des victimes en France selon les données publiées par Rankiteo et Recorded Future. Le groupe monte en gamme rapidement, comme le montre le ciblage d'Indra Group. Les entreprises françaises des secteurs défense, aéronautique, transport critique et services technologiques doivent intégrer ce groupe dans leur modèle de menace et surveiller les opportunités de ciblage que leur chaîne de sous-traitance pourrait offrir aux affiliés de Qilin.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit