TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
En bref
- TheGentlemen ransomware (affilié Qilin) revendique une attaque contre Indra Group, contractant espagnol de la coalition cyber OTAN
- Une filiale du groupe a été touchée et isolée ; Indra affirme garantir la continuité de ses services principaux
- Ultimatum de 9 jours fixé à compter du 30 juin 2026 avant publication potentielle des données sur le darkweb
Les faits
Le 30 juin 2026, le groupe ransomware TheGentlemen a publié une revendication sur son site de fuite hébergé sur le darkweb, désignant Indra Group comme nouvelle victime. Indra est un acteur majeur de l'industrie européenne de défense et de technologie : le groupe espagnol est l'un des plus grands intégrateurs de systèmes d'information pour l'OTAN, fournissant notamment des solutions de gestion du trafic aérien, de défense radar, de systèmes de commandement militaires et de cybersécurité défensive pour plusieurs membres de l'Alliance atlantique. Son appartenance à la coalition cyber OTAN rend cette attaque particulièrement sensible sur le plan stratégique et géopolitique.
TheGentlemen a fixé une échéance de neuf jours à compter du 30 juin 2026 pour qu'Indra entame des négociations, sous peine de publier ou de vendre les données prétendument volées sur le darkweb. Au moment de la revendication, le groupe n'avait pas encore publié d'échantillons de données pour prouver concrètement son accès, et la nature exacte des informations éventuellement exfiltrées restait inconnue. Aucune donnée de clients, d'employés ou de partenaires n'a été confirmée comme compromise à ce stade.
Indra Group a confirmé l'incident dans un communiqué officiel, précisant que l'attaque avait affecté l'une de ses filiales dont l'identité n'a pas été divulguée. Des mesures d'urgence ont été prises pour contenir la propagation, et l'entreprise a déclaré avoir « garanti la sécurité et la continuité de ses services » et évalué que « le risque de propagation aux autres filiales du groupe a été écarté ». Ce type de communication de crise minimisante est un classique des grandes entreprises cotées confrontées à des incidents cyber. Il doit être mis en regard de la réalité : Indra gère des systèmes critiques pour plusieurs gouvernements et forces armées membres de l'OTAN.
TheGentlemen est un groupe relativement récent qui a évolué à partir d'ArmCorp, un cluster affilié au programme ransomware-as-a-service Qilin. Le groupe compterait une vingtaine de membres actifs et aurait ciblé, selon les données publiées par les équipes de threat intelligence de Rankiteo et Recorded Future, 27 victimes en Thaïlande, ainsi qu'aux États-Unis, en France et au Brésil. La montée en gamme vers une cible de l'envergure d'Indra représente un saut qualitatif significatif dans leurs opérations et suggère une ambition croissante.
Le vecteur d'entrée initial utilisé par TheGentlemen dans cette attaque n'a pas été divulgué par Indra ni par des chercheurs tiers au moment de la publication de cet article. Les opérations du groupe étant affiliées au programme Qilin RaaS, les techniques d'accès initial suivent probablement le schéma habituel : exploitation de VPN vulnérables non patchés, credential stuffing sur des portails d'accès distant non protégés par MFA, ou spear-phishing ciblé sur des collaborateurs disposant de droits d'accès à distance.
Cette attaque s'inscrit dans un contexte de multiplication des incidents ransomware visant la base industrielle de défense et de technologie en Europe. Les attaquants ont compris que ce secteur représente des cibles à haute valeur — tant financière que symbolique et stratégique — parfois moins bien protégées sur les flancs (filiales, sous-traitants) que les entités mères. La pression exercée sur un contractant OTAN porte aussi une dimension d'intimidation qui dépasse le simple gain financier.
Le cas Indra illustre la stratégie de ciblage des filiales comme vecteur de compromission du groupe parent. C'est exactement la même logique qui avait permis l'attaque de la filiale taïwanaise de Nidec (Nidec Chaun-Choung Technology) par le groupe BlackField le 22 juin 2026, avec plus de 2 To de données volées et une rançon de 2 millions de dollars demandée. Les filiales offrent aux attaquants un point d'entrée avec un niveau de maturité cyber souvent inférieur à celui de la maison mère, tout en ouvrant des voies de rebond vers le coeur du groupe via des connexions réseau internes, des comptes Active Directory partagés ou des accès VPN inter-sites.
Pour les organisations françaises qui collaborent avec Indra Group — notamment dans les secteurs de la défense, du transport aérien (Indra fournit des systèmes ATM à plusieurs aéroports européens), et des systèmes critiques nationaux — il est recommandé de surveiller attentivement les communications provenant de l'écosystème Indra et de renforcer temporairement les contrôles sur les connexions inter-systèmes, en attendant que l'enquête soit complète et que l'étendue réelle de la compromission soit connue.
Impact et exposition
L'impact direct confirmé se limite à une filiale d'Indra Group dont les systèmes ont été isolés. L'impact indirect potentiel concerne l'ensemble des partenaires, clients et sous-traitants d'Indra dans les secteurs défense, transport aérien et systèmes critiques à travers l'Europe. Si les données volées incluent des spécifications techniques relatives à des projets OTAN, des données de contact de personnels militaires ou des informations contractuelles sensibles, les conséquences pourraient dépasser le cadre commercial pour affecter la sécurité opérationnelle de l'Alliance. Une publication éventuelle de données représenterait un risque de renseignement pour les membres de l'OTAN.
Recommandations
- Partenaires d'Indra : renforcer la surveillance des connexions inter-systèmes avec l'écosystème Indra. Activer une authentification forte (MFA) sur tous les accès partenaires.
- Veille darkweb : surveiller les éventuelles publications de données sur les sites de fuite de TheGentlemen dans les prochains jours.
- Revue des accès tiers : auditer les comptes de service et les accès accordés à des prestataires et filiales externes. Appliquer le principe de moindre privilège sur les accès inter-entités.
- Plan de réponse aux incidents : vérifier que votre plan de réponse couvre le scénario d'une compromission via un tiers de confiance ou un partenaire stratégique.
TheGentlemen représente-t-il un risque pour les entreprises françaises ?
Oui. Issu du programme Qilin RaaS, TheGentlemen a documenté des victimes en France selon les données publiées par Rankiteo et Recorded Future. Le groupe monte en gamme rapidement, comme le montre le ciblage d'Indra Group. Les entreprises françaises des secteurs défense, aéronautique, transport critique et services technologiques doivent intégrer ce groupe dans leur modèle de menace et surveiller les opportunités de ciblage que leur chaîne de sous-traitance pourrait offrir aux affiliés de Qilin.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-45659 : SharePoint Server RCE exploité activement, Storm-2603 déploie des webshells
CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
AssuranceAmerica : 7 millions de permis de conduire exposés
AssuranceAmerica révèle une violation touchant près de 7 millions de conducteurs américains : numéros de permis de conduire, données d'assurance et informations personnelles exposés 115 jours après la détection de l'intrusion.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire