Ce qu'a révélé le rapport Black Kite

Le 25 juin 2026, la société de notation de securite Black Kite a publié son premier rapport consacré a l'Europe, le European Cyber Risk Report 2026. Il a examiné 2 066 incidents de rançongiciel dans 31 pays entre janvier 2025 et avril 2026, et conclu que les incidents ont progressé de 55,1% sur un an au cours des quatre premiers mois de 2026, soit 171 par mois en moyenne.

Près de 70% de l'activite s'est concentrée sur cinq pays seulement. L'Allemagne a dominé avec 370 incidents (17,9%), suivie du Royaume-Uni avec 347 (16,8%), de la France avec 255 (12,3%), de l'Italie avec 240 (11,6%) et de l'Espagne avec 203 (9,8%). Pour tout dirigeant francais, le message est clair : le pays figure parmi les cinq plus touches d'Europe, comme l'a confirmé la couverture indépendante.

Le fournisseur est la porte

Dans les 31 pays, 64 organisations ont été compromises non par leurs propres systemes mais par un tiers. Et 53% de ces compromissions de tiers remontent a un seul événement : la brèche Miljodata d'aout 2025. Ce fournisseur suedois de logiciels et de ressources humaines a touché par sa défaillance environ 250 clients, dont quelque 200 municipalités, et expose les données de plus d'un million de personnes.

Le schéma sectoriel dit la meme chose. L'industrie a été la plus visée, avec 27,9% des incidents divulgués, mais les services professionnels, scientifiques et techniques arrivent deuxièmes a 17,8%, portés par les prestataires informatiques, car compromettre un seul prestataire atteint d'un coup de nombreux clients en aval. Comme l'a souligné le Dr. Ferhat Dikbiyik de Black Kite, les chaînes d'approvisionnement deviennent une voie d'attaque primaire, aux cotes d'un rançongiciel qui s'accélère et d'une régulation qui se durcit.

Le geste du dirigeant sous NIS2 et DORA

Voici la partie qu'aucun titre ne dit tout haut. Quand une seule brèche fournisseur cause plus de la moitié des victimes de tiers d'un continent, le risque qu'un conseil devrait le plus craindre n'est pas sa propre défense mais celle de ses fournisseurs. Sous NIS2, un incident qualifié peut déclencher une déclaration obligatoire sous 24 heures, et DORA impose aux entités financières de gérer directement le risque informatique des tiers. La responsabilite de la défaillance d'un fournisseur pèse désormais sur vous.

La concentration fournisseur est le risque de bilan non valorisé de 2026. La plupart des dirigeants savent nommer leur plus gros client, mais pas leur fournisseur le plus dangereux. Le geste consiste a cartographier chaque fournisseur qui touche vos données ou votre exploitation, a les classer selon le nombre de vos fonctions qui s'effondrent s'ils tombent, et a valoriser cette exposition avant que le régulateur ou l'attaquant ne le fasse pour vous.