Incransom frappe Distrigaz Vest : 100 Go de données énergétiques menacés

Les faits

Le 27 mai 2026 à 15h25 UTC, l'équipe de threat intelligence ThreatMon a détecté sur le site de fuite du groupe Incransom la publication d'une nouvelle revendication ciblant Distrigaz Vest S.A., distributeur indépendant de gaz naturel basé en Roumanie. Fondée en 2001, Distrigaz Vest est l'opérateur exclusif du réseau de distribution de gaz naturel sur le territoire d'Oradea — ville de 200 000 habitants dans le nord-ouest de la Roumanie — ainsi que de plusieurs communes adjacentes. L'entreprise opère un réseau de distribution dont dépend directement le chauffage résidentiel et l'alimentation industrielle d'une part significative de la région.

Incransom, groupe ransomware actif depuis 2023, affirme avoir exfiltré 100 gigaoctets de données sensibles appartenant à Distrigaz Vest S.A. avant de chiffrer les systèmes concernés. La menace est explicite : si aucun paiement n'est effectué dans le délai imparti, la totalité des données sera publiée sur leur site de fuite. La nature des données potentiellement compromises dans une entreprise de ce type est particulièrement sensible : plans et cartographies du réseau de distribution, données client (résidentiels et industriels), informations contractuelles avec les fournisseurs de gaz, données de télémétrie SCADA sur les pressions et débits, et documentation technique sur les infrastructures de contrôle-commande.

Incransom est un groupe à part dans le paysage ransomware de 2026 : contrairement aux groupes RaaS classiques, il opère sans programme d'affiliation ouvert et sélectionne ses cibles en privilégiant des organisations à fort impact sociétal — infrastructures critiques, services publics, santé. Cette stratégie de ciblage délibéré des OIV (Opérateurs d'Importance Vitale) et des infrastructures énergétiques répond à une logique d'extorsion maximale : la pression exercée par la menace d'interruption de service ou de publication de données sensibles sur des réseaux énergétiques est considérablement plus forte que sur une entreprise commerciale standard. La Roumanie, en tant que membre de l'Union européenne et de l'OTAN, présente par ailleurs un profil géopolitique qui peut intéresser des groupes motivés au-delà du seul gain financier.

La même semaine, le groupe Anubis revendiquait la compromission d'EXCEED Energy, autre acteur du secteur énergétique. Ces deux incidents, survenus à quelques jours d'intervalle, s'ajoutent à la liste déjà longue des victimes énergétiques de mai 2026 : la vague de ransomware fin mai frappe simultanément des fabricants de batteries (GS Yuasa Lithium Power par Akira, American Battery Factory par WorldLeaks) et des opérateurs de distribution d'énergie (Distrigaz Vest par Incransom, EXCEED Energy par Anubis). La convergence de ces incidents sur un même secteur et une même période suggère soit une opportunité coordonnée, soit une tendance de fond dans les priorités de ciblage des groupes ransomware pour le secteur énergétique.

Le secteur de la distribution d'énergie est structurellement plus vulnérable que d'autres industries pour plusieurs raisons que les groupes ransomware connaissent parfaitement. D'abord, les environnements OT (Operational Technology) des distributeurs énergétiques mélangent des équipements industriels vieux de 10 à 20 ans avec des systèmes IT modernes, créant des surfaces d'attaque hétérogènes difficiles à protéger uniformément. Ensuite, la continuité de service est une obligation légale dans le secteur de la distribution d'énergie — une pression qui incite les victimes à négocier rapidement plutôt qu'à endurer une longue période de restauration. Enfin, la surveillance réglementaire (directive NIS2, DORA pour les acteurs du marché de l'énergie) n'a pas encore produit une élévation uniforme du niveau de sécurité dans les petits et moyens distributeurs régionaux comme Distrigaz Vest.

En France, l'ANSSI a publié en 2025 son guide de sécurisation des systèmes industriels pour les OIV du secteur énergie, identifiant la segmentation OT/IT, la gestion des accès distants et la sauvegarde hors ligne comme les trois priorités absolues. Les incidents de mai 2026 sur des distributeurs régionaux européens confirment que ces mesures ne sont pas uniformément déployées à l'échelle du secteur, notamment chez les opérateurs de taille intermédiaire.

Distrigaz Vest S.A. n'a pas émis de communication publique sur l'incident au moment de la rédaction de cet article (30 mai 2026). L'absence de communication est un schéma courant dans les premières 48 à 72 heures suivant la découverte d'une compromission : les équipes sont mobilisées sur la réponse à incident, les conseillers juridiques évaluent les obligations de notification réglementaire, et la communication externe est délibérément retardée pour éviter de renforcer la pression des attaquants. En vertu de la directive NIS2 transposée en droit roumain, Distrigaz Vest est probablement qualifiée d'entité essentielle dans le secteur énergie, ce qui implique une obligation de notification aux autorités compétentes dans les 24 heures suivant la prise de connaissance d'un incident significatif.

Le groupe Incransom compte à son actif plusieurs dizaines de victimes depuis 2023, avec une tendance marquée à cibler les infrastructures critiques en Europe centrale et orientale, en Amérique latine et en Asie du Sud-Est. Ses demandes de rançon sont généralement calibrées entre 500 000 et 5 millions de dollars selon la taille de la victime et l'impact potentiel sur les services essentiels. Le groupe maintient un site de négociation privé accessible aux victimes via Tor et a développé une réputation de "professionnel" dans le sens où il honore généralement ses engagements de déchiffrement lorsque le paiement est effectué — un gage de crédibilité qui, paradoxalement, facilite les paiements de rançon.

Impact et exposition

L'impact potentiel d'une publication de 100 Go de données Distrigaz Vest dépasse la simple atteinte à la réputation. Les données opérationnelles d'un distributeur de gaz — cartographie du réseau, paramètres SCADA, données d'accès clients industriels — peuvent fournir à des acteurs malveillants les informations nécessaires pour planifier des actions physiques sur l'infrastructure ou cibler des clients industriels critiques. Les entreprises françaises opérant dans des secteurs similaires (distribution d'eau, de gaz, d'électricité) doivent considérer cet incident comme une alerte directement applicable à leur propre posture de sécurité OT/IT.

Recommandations

• Segmenter les réseaux OT et IT sans exception — les SCADA et systèmes de contrôle industriels ne doivent jamais être accessibles depuis le réseau bureautique ou internet.
• Inventorier et sécuriser tous les accès distants — les techniciens de maintenance et les fournisseurs tiers sont les vecteurs d'entrée les plus fréquents dans les compromissions d'infrastructures énergétiques.
• Tester les sauvegardes hors ligne mensuellement — les distributeurs d'énergie doivent être capables de restaurer leurs systèmes de supervision sans accès au réseau principal compromis.
• Notifier le CERT-FR en cas d'incident — pour les entités essentielles NIS2, la notification dans les 24h est une obligation légale et permet de bénéficier d'un support technique de l'ANSSI.
• Appliquer les recommandations du guide ANSSI ICS/SCADA — publié en 2025, ce guide définit 15 mesures prioritaires pour la sécurisation des environnements industriels des OIV énergétiques.