Éducation, santé, industrie : pourquoi les secteurs hors-tech sont devenus les cibles numéro 1 des ransomwares

Canvas. Medtronic. Les hôpitaux de Rouen et de Corbeil. Les aéroports régionaux. Les groupes industriels en région. Ces cibles n'ont qu'un point commun : ce ne sont pas des entreprises tech. Et c'est précisément pour ça qu'elles sont devenues la proie préférée des groupes ransomware en 2026.

Le mythe du ciblage tech : comment les attaquants ont changé de terrain

Pendant longtemps, l'image du cyberattaquant sophistiqué évoquait des cibles en rapport direct avec la donnée numérique : banques, GAFAM, opérateurs télécoms. Cette représentation était déjà erronée il y a cinq ans. En 2026, elle est totalement obsolète. Les groupes ransomware — qu'il s'agisse de LockBit 4, BlackCat/ALPHV ou de leurs successeurs opérant sous de nouveaux noms après les démantèlements partiels des forces de l'ordre — ont opéré une rotation stratégique vers des secteurs qu'ils qualifient eux-mêmes, dans leurs communications internes, de « secteurs à ROI maximal ».

Ce changement de ciblage n'est pas aléatoire. Il est le résultat d'une analyse rationnelle, presque économique, de la surface d'attaque et du rapport entre effort d'intrusion et gains potentiels. La santé, l'éducation et l'industrie partagent une combinaison de facteurs qui en font des cibles idéales : données sensibles à forte valeur de rançon, systèmes informatiques vieillissants et hétérogènes, budgets cybersécurité structurellement insuffisants, pression opérationnelle qui pousse à payer rapidement, et cadres réglementaires qui imposent la notification sans nécessairement forcer les investissements de sécurité préventifs.

Le rapport Sophos State of Ransomware 2026 confirme cette tendance avec des chiffres sans appel : l'éducation est désormais le deuxième secteur le plus touché après la santé, avec 74% des organisations éducatives déclarant avoir subi une attaque ransomware en 2025. Dans l'industrie manufacturière, ce chiffre atteint 68%. À titre de comparaison, les services financiers — pourtant historiquement ciblés — affichent un taux de 41%, grâce à des investissements en cybersécurité sans commune mesure. Verizon DBIR 2026 confirme que le temps moyen de récupération post-incident est trois fois plus long dans l'éducation (34 jours) que dans la finance (11 jours), ce qui illustre à la fois la gravité des incidents et la faiblesse des capacités de réponse sectorielles.

L'éducation : une surface d'attaque massive et systémiquement sous-protégée

La brèche Canvas de mai 2026 — 275 millions d'utilisateurs, 8 809 institutions, 3,65 téraoctets exfiltrés par ShinyHunters — est l'illustration la plus spectaculaire de ce que le secteur éducatif présente comme vulnérabilité systémique. Mais elle n'est pas une exception. Elle est la continuité logique d'une série d'attaques qui s'accélère depuis 2022 : l'attaque contre les universités de Montpellier et de Rennes en 2023, les ransomwares ciblant le réseau EDUCAM aux États-Unis en 2024, la compromission du réseau pédagogique Pearson en 2025 (13 millions d'élèves), et maintenant Canvas. Des millions d'étudiants exposés, à chaque fois.

Des budgets informatiques orientés pédagogie, pas sécurité. Une université française consacre en moyenne 3 à 5% de son budget informatique à la cybersécurité, contre 12 à 15% pour un opérateur d'importance vitale ou une banque, selon les chiffres ANSSI 2025. La pression budgétaire de l'enseignement public limite les investissements en outils de détection, en formation des équipes, et en réponse à incident. Quand une université de taille moyenne emploie 2 ingénieurs système pour 15 000 utilisateurs et 500 applications, l'équation sécurité est insoluble sans mutualisation.

Une surface d'attaque démesurée et incontrôlable. Une institution éducative, c'est des milliers d'étudiants qui connectent leurs appareils personnels au réseau, des enseignants-chercheurs qui partagent des données via des services cloud non approuvés, des laboratoires avec des équipements spécialisés jamais patchés, des systèmes administratifs hérités des années 2000, et une culture de l'ouverture — indispensable à la recherche — radicalement incompatible avec la posture zero-trust. Aucune DSI universitaire ne peut raisonnablement imposer à un chercheur de ne pas installer ses propres outils de simulation.

Des données de grande valeur sous-estimées. Les données étudiantes sont en réalité extrêmement précieuses sur les marchés criminels. Un dossier étudiant complet — nom, adresse, email, numéro d'étudiant, parfois numéro de sécurité sociale et coordonnées bancaires pour les bourses — se vend entre 15 et 80 dollars sur les forums cybercriminels selon le pays d'origine, d'après les données Kela Research 2025. Multipliez par 275 millions et vous comprenez l'attractivité de Canvas pour ShinyHunters.

Une pression à payer la rançon sans équivalent. Quand une université est chiffrée pendant la période d'examens, l'interruption de service est immédiate et le coût académique est concret. Les examens ne peuvent pas être reportés indéfiniment. Cette pression temporelle est délibérément exploitée par les groupes ransomware qui synchronisent leurs attaques avec des périodes critiques : rentrée académique, période d'examens, révisions budgétaires annuelles.

La santé : la cible idéale, le prix à payer en vies humaines

L'attaque contre Medtronic en mai 2026 — 9 millions de dossiers patients dérobés par ShinyHunters — s'inscrit dans une série qui n'en finit plus. Change Healthcare (2024, 100 millions de patients américains), Ascension Health (2024, 15 millions), l'AP-HP en France (2024), les hôpitaux de Corbeil-Essonnes et de Versailles (2022), Rouen (2019). La santé est la cible qui concentre le plus de pression opérationnelle, de données sensibles et de contraintes légales — un cocktail parfait pour le ransomware-as-a-service.

Ce qui rend le secteur de la santé particulièrement vulnérable est la coexistence de systèmes informatiques modernes et de dispositifs médicaux vieillissants qui ne peuvent pas être patchés ou remplacés facilement. Un scanner IRM de 2008, un respirateur connecté de 2012 ou un système de gestion de laboratoire de 2005 fonctionnent sur des OS non supportés (Windows XP, Windows 7), ne peuvent pas être mis à jour sans requalification médicale coûteuse et longue, et sont pourtant connectés au réseau hospitalier pour des raisons d'interopérabilité clinique. Ces équipements constituent autant de points d'entrée permanents pour les attaquants.

IBM Cost of a Data Breach Report 2025 indique que le coût moyen d'une brèche dans le secteur santé atteint 10,9 millions de dollars, le plus élevé de tous les secteurs étudiés pour la quinzième année consécutive. Ce coût inclut la réponse à incident, la restauration des systèmes, les amendes réglementaires (HDS en France, HIPAA aux États-Unis), les poursuites judiciaires des patients victimes, et la perte de revenus liée à l'interruption des soins. Il ne comptabilise pas le coût humain direct : des études médicales publiées dans JAMA Network Open ont établi une corrélation statistiquement significative entre les cyberattaques hospitalières et l'augmentation de la mortalité dans les 30 jours suivant l'incident, notamment pour les patients nécessitant des soins urgents détournés vers d'autres établissements.

La réponse réglementaire française se structure progressivement. La directive NIS 2, transposée en droit français via la loi du 7 juin 2024, étend les obligations de cybersécurité aux établissements de santé de grande taille, avec obligation de notification dans les 24 heures et exigences de sécurité minimales définies par l'ANSSI. Le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) lancé en 2023 avec 65 millions d'euros de financement représente une avancée réelle — insuffisante au regard du retard accumulé, mais un signal politique fort. Les délais de mise en conformité s'étendent toutefois sur 18 à 36 mois, pendant lesquels les établissements restent exposés.

L'industrie : l'OT rejoint l'IT dans le viseur des attaquants

Si l'éducation et la santé sont des cibles depuis plusieurs années, l'industrie manufacturière et les opérateurs d'infrastructure critique représentent la frontière la plus récente et la plus inquiétante du ciblage ransomware. L'attaque contre West Pharmaceutical Services en mai 2026, contre Norsk Hydro en 2019, Colonial Pipeline en 2021, ou les multiples incidents visant des sous-traitants de la défense française depuis 2023 illustrent un phénomène nouveau : les attaquants franchissent la frontière IT/OT (Operational Technology) et ciblent les systèmes de contrôle industriels (ICS/SCADA).

Ce franchissement est rendu possible par la convergence progressive des réseaux IT et OT, motivée par des impératifs de pilotage en temps réel, d'industrie 4.0 et d'efficacité énergétique. Un automate Siemens S7 ou un système DCS Honeywell, historiquement isolé sur un réseau air-gapped, se retrouve désormais accessible via un SCADA lui-même connecté au réseau corporate pour la remontée de données vers les ERP. Cette connectivité, légitime du point de vue industriel, crée des chemins d'attaque que les groupes APT (souvent liés à des États) et les groupes ransomware exploitent avec une efficacité croissante.

Dragos ICS/SCADA Threat Report 2026 recense 87 groupes d'acteurs malveillants ciblant activement les environnements OT dans le monde, contre 28 en 2021 — une multiplication par trois en cinq ans. En France, l'ANSSI a traité 23 incidents majeurs impliquant des systèmes OT en 2025, contre 8 en 2022. Le référentiel ICS-CERT américain indique que le temps moyen de détection d'une intrusion dans un environnement OT est de 287 jours, contre 21 jours en environnement IT classique. Cette fenêtre d'invisibilité de 9 mois est un boulevard pour les attaquants qui savent être patients.

L'impact d'un incident OT dépasse largement la dimension financière. Un arrêt de production non planifié dans une usine chimique ou pharmaceutique peut engendrer des pertes de 100 000 à 500 000 euros par heure selon la taille de l'installation. Une compromission d'un système de distribution électrique peut affecter des millions de personnes. Ces conséquences expliquent pourquoi les OIV (Opérateurs d'Importance Vitale) français sont soumis au référentiel LPM depuis 2013, et pourquoi NIS 2 renforce encore ces obligations pour les opérateurs essentiels dans l'énergie, les transports et l'eau.

Pourquoi les mesures traditionnelles échouent dans ces secteurs

Face à cette réalité, la réponse classique — « installez un antivirus, faites des sauvegardes, sensibilisez les utilisateurs » — atteint ses limites structurelles. Ces recommandations restent nécessaires mais profondément insuffisantes pour plusieurs raisons concrètes.

La sensibilisation ne corrige pas les vulnérabilités architecturales. ShinyHunters n'a pas compromis Canvas en trompant un utilisateur avec un email de phishing banal. Il a exploité un défaut architectural dans la gestion des comptes Free-For-Teacher — un vecteur technique que la sensibilisation la plus complète du monde n'aurait pas pu corriger. La même logique s'applique à CVE-2026-31431 Copy Fail : c'est un bug de noyau, pas un problème de comportement utilisateur.

Les sauvegardes ne protègent pas contre l'exfiltration. La tactique de double extorsion — chiffrement ET vol de données ET menace de publication — est désormais standard pour 82% des groupes ransomware actifs selon Coveware Q1 2026. Avoir des sauvegardes permet de restaurer les systèmes, mais pas de récupérer les données volées ni d'éviter les amendes RGPD et les poursuites judiciaires. La brèche Canvas illustre parfaitement ce scénario.

Les outils de sécurité enterprise sont inadaptés aux contraintes sectorielles. Un EDR de qualité enterprise coûte entre 30 et 150 euros par poste et par an. Pour un hôpital public français de taille moyenne avec 2 000 postes et 200 serveurs, l'investissement représente plusieurs centaines de milliers d'euros annuels — hors coûts de déploiement et de MCO. Ce budget n'existe pas dans la plupart des établissements publics. Dans l'industrie, les outils de sécurité IT standards ne reconnaissent pas les protocoles OT (Modbus, DNP3, IEC 61850) et génèrent des volumes d'alertes inutilisables dans les environnements de contrôle industriel.

Ce que ces secteurs doivent faire différemment

Les recommandations génériques ont peu de valeur ici. Ce qu'il faut, c'est une approche calibrée aux contraintes réelles de chaque secteur.

Pour l'éducation : La priorité absolue est la sécurisation des accès administrateurs et des comptes à privilèges sur les plateformes SaaS critiques (LMS, ERP, messagerie). Le MFA obligatoire pour tous les comptes administrateurs, combiné à une politique de rotation des tokens d'accès API, aurait significativement limité l'impact de la brèche Canvas. La mise en place de SOC mutualisés au niveau académique ou régional — un modèle que l'ANSSI encourage dans ses guides pour l'enseignement supérieur — permet de partager les coûts et l'expertise entre institutions aux budgets limités. Plusieurs régions françaises expérimentent ce modèle depuis 2024 avec des résultats encourageants.

Pour la santé : La segmentation réseau IT/OT médical est la mesure la plus impactante et la plus urgente. Isoler les équipements médicaux non patchables (scanners, respirateurs, moniteurs) dans des VLANs dédiés avec des règles de pare-feu strictes ne coûte pas des millions — c'est essentiellement du paramétrage réseau et de la documentation. Cette mesure simple empêche la propagation latérale d'un ransomware du réseau bureautique vers les systèmes cliniques critiques. C'est le premier audit que je réalise systématiquement dans les établissements de santé — et dans 100% des cas, la segmentation est insuffisante ou inexistante entre certains équipements cliniques et le LAN bureautique.

Pour l'industrie : L'audit de surface d'attaque OT est le premier investissement à réaliser. Cartographier précisément les équipements connectés au réseau industriel, leurs versions logicielles, leurs vecteurs d'accès distants (VPN mainteneur, accès constructeur, télédiagnostic) et leurs interactions avec le réseau IT corporate. Cette cartographie, réalisée avec des outils spécialisés OT (Claroty, Nozomi, Dragos Platform), permet d'identifier les chemins d'attaque critiques et de les couper sans impacter la production. C'est un travail que je réalise régulièrement pour des clients industriels — et le nombre de découvertes surprenantes est systématiquement élevé, même dans des entreprises qui se croient protégées.

Les 6 prochains mois : ce qui va changer

Plusieurs évolutions réglementaires et technologiques vont modifier le paysage pour ces secteurs dans les prochains mois. La transposition de NIS 2 en France devrait produire ses premiers effets concrets d'ici l'automne 2026 : les entités essentielles (incluant les hôpitaux et les établissements d'enseignement supérieur de grande taille) seront soumises aux premières vérifications de conformité par l'ANSSI. Les entités qui n'auront pas initié leur démarche NIS 2 risquent des sanctions administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial — un levier réglementaire fort, reste à voir comment l'ANSSI le mettra en oeuvre avec ses ressources actuelles.

Les outils de sécurité vont également évoluer sous la pression de ce nouveau marché. CrowdStrike, Palo Alto et SentinelOne développent tous des offres « secteur public » avec des modèles économiques adaptés aux contraintes budgétaires de l'éducation et de la santé. L'IA va jouer un rôle croissant dans la réduction du coût des opérations de sécurité : l'automatisation de la détection et de la réponse aux incidents peut compenser partiellement le manque de ressources humaines qualifiées. Microsoft MDASH — qui a découvert 20 vulnérabilités Windows en quelques heures en mai 2026 — illustre ce que l'IA agentique peut apporter à l'analyse de sécurité automatisée. Des outils similaires orientés secteur public commencent à émerger.

Enfin, les mutualisations sectorielles vont s'accélérer. Le modèle du SOC mutualisé — un centre opérationnel partagé entre plusieurs institutions aux ressources limitées — est la réponse pragmatique au manque de budget individuel. En France, des initiatives comme le GIP ACYMA (cybermalveillance.gouv.fr), les SOC mutualisés régionaux soutenus par les Régions, et les offres sectorielles dans la santé vont monter en puissance. Ce n'est pas la panacée — la qualité et la réactivité varient considérablement — mais c'est un début de réponse structurelle à l'échelle.

Conclusion

L'éducation, la santé et l'industrie sont devenues les cibles préférées des ransomwares non pas par hasard, mais parce qu'elles réunissent toutes les conditions qui rendent les attaques rentables et dévastatrices : données précieuses, systèmes vulnérables, budgets insuffisants et pression opérationnelle maximale pour payer ou négocier. Canvas en 2026 n'est pas un cas isolé. C'est le symptôme d'une vulnérabilité systémique qui touche l'ensemble des secteurs hors-tech — ceux qui n'ont pas intégré la cybersécurité dans leur modèle opérationnel depuis le premier jour.

La réponse ne peut pas venir uniquement de la réglementation ou des éditeurs. Elle doit venir d'une prise de conscience au niveau de la gouvernance de ces organisations : le directeur de l'hôpital, le président de l'université, le PDG de l'industriel doivent comprendre que la cybersécurité n'est plus une option technique, c'est un impératif de continuité opérationnelle. Et pour ceux qui ne savent pas par où commencer, l'audit de sécurité reste le premier investissement rationnel à réaliser — avant d'acheter n'importe quel outil.