Le 24 mars 2026, une information a secoué le monde de la cybersécurité : le groupe cybercriminel RansomHouse a revendiqué le piratage du compte Amazon Web Services (AWS) de la Commission européenne. Le butin ? 1,1 téraoctet de données dérobées depuis les serveurs cloud hébergeant une partie de la plateforme Europa.eu. Pas de ransomware, pas de fichiers chiffrés — juste un vol massif de données suivi d'une tentative d'extorsion. Si même la Commission européenne peut se faire pirater, qu'en est-il de votre entreprise ?

Bâtiment de la Commission européenne à Bruxelles avec un cadenas numérique superposé symbolisant la cyberattaque
Le piratage du compte AWS de la Commission européenne par RansomHouse illustre la vulnérabilité des infrastructures cloud, même au plus haut niveau institutionnel.

Ce qui s'est passé

Selon les informations rapportées par TechCrunch et confirmées par Bloomberg, le groupe RansomHouse a réussi à compromettre les identifiants d'accès au compte AWS utilisé par la Commission européenne pour héberger certains services liés à la plateforme Europa.eu. L'attaque s'est déroulée de manière méthodique :

  1. Accès initial : les attaquants ont obtenu des identifiants valides pour le compte AWS de la Commission. Le vecteur exact n'a pas été officiellement confirmé, mais les experts de SecurityAffairs pointent vers une probable campagne de phishing ciblée (spear phishing) contre un administrateur disposant de privilèges élevés.
  2. Exfiltration massive : une fois à l'intérieur, les attaquants ont méthodiquement copié 1,1 téraoctet de données depuis les buckets S3 et les bases de données hébergées sur AWS. L'exfiltration aurait duré plusieurs jours avant d'être détectée.
  3. Extorsion : contrairement aux groupes de ransomware classiques, RansomHouse n'a pas chiffré les données. Sa stratégie est différente : voler les données, puis menacer de les publier sur son site de fuites si la victime ne paie pas. C'est ce qu'on appelle l'extorsion sans chiffrement — une tendance en forte hausse en 2025-2026.
  4. Revendication publique : RansomHouse a publié des preuves de l'intrusion sur son site du dark web, incluant des échantillons de données et une description détaillée de ce qui a été volé.

La Commission européenne a confirmé l'incident dans un communiqué laconique, indiquant qu'une « enquête est en cours » et que « les services affectés ont été sécurisés ». AWS a de son côté précisé que le problème ne provenait pas d'une faille dans ses services, mais de la gestion des accès par le client.

RansomHouse : un groupe atypique

RansomHouse n'est pas un groupe de ransomware au sens traditionnel. Apparu en 2022, il se distingue par une approche qui repose exclusivement sur le vol de données et l'extorsion, sans jamais déployer de logiciel de chiffrement. Le groupe se présente même cyniquement comme un « service de test de sécurité » qui « aide les organisations à identifier leurs failles ».

Parmi les victimes précédentes de RansomHouse, on compte des géants comme AMD, Keralty (réseau hospitalier colombien) et plusieurs universités européennes. Le piratage de la Commission européenne représente cependant un saut qualitatif considérable en termes de cible et de portée symbolique.

Ce qui rend RansomHouse particulièrement dangereux, c'est que son modèle ne nécessite pas de déployer de malware sur les systèmes de la victime. Pas de fichiers chiffrés, pas d'alerte antivirus, pas de demande de rançon affichée à l'écran. Les données sont simplement copiées, souvent sans que la victime ne s'en aperçoive pendant des jours ou des semaines.

La sécurité cloud : le maillon faible que personne ne veut voir

Cet incident met en lumière un problème fondamental que nous constatons régulièrement chez nos clients : migrer vers le cloud ne signifie pas être en sécurité. Beaucoup d'entreprises — et apparemment même des institutions européennes — partent du principe que leur fournisseur cloud (AWS, Microsoft Azure, Google Cloud) s'occupe de la sécurité. C'est une erreur potentiellement catastrophique.

Le modèle de responsabilité partagée du cloud est pourtant clair :

  • Le fournisseur cloud (AWS, Azure, etc.) est responsable de la sécurité du cloud — l'infrastructure physique, le réseau, les hyperviseurs.
  • Le client (vous) est responsable de la sécurité dans le cloud — la gestion des accès, la configuration des services, le chiffrement des données, la surveillance des activités.

Dans le cas de la Commission européenne, AWS n'a aucune responsabilité : ce sont les identifiants du client qui ont été compromis. La même chose peut arriver à n'importe quelle PME suisse qui utilise Microsoft 365, Google Workspace, AWS ou tout autre service cloud sans appliquer les bonnes pratiques de sécurité.

Les leçons pour les PME et les indépendants suisses

Vous utilisez le cloud au quotidien, même si vous ne le réalisez pas toujours. Votre messagerie (Gmail, Outlook), vos fichiers (OneDrive, Google Drive, Dropbox), votre comptabilité (Bexio, Abacus), vos sauvegardes — tout ou presque est dans le cloud. Voici les leçons concrètes à tirer de cet incident :

1. La MFA n'est pas optionnelle, elle est vitale

Si les identifiants d'un administrateur de la Commission européenne ont été compromis, c'est très probablement parce que l'authentification multifacteur n'était pas activée ou qu'elle a été contournée. Activez la MFA sur TOUS vos comptes cloud — et privilégiez les méthodes résistantes au phishing (passkeys, clés FIDO2) plutôt que les SMS.

2. Le principe du moindre privilège

Chaque utilisateur ne devrait avoir accès qu'aux données strictement nécessaires à son travail. Un comptable n'a pas besoin d'accéder aux fichiers RH. Un stagiaire n'a pas besoin de droits administrateur. Si l'attaquant de la Commission avait eu des accès limités, l'impact aurait été considérablement réduit.

3. La surveillance des accès

L'exfiltration de 1,1 téraoctet de données ne se fait pas en cinq minutes. Cela nécessite des heures, voire des jours de transfert. Une surveillance adéquate des journaux d'accès (logs) et des volumes de transfert aurait permis de détecter l'anomalie bien plus tôt. Activez les alertes de sécurité proposées par votre fournisseur cloud et vérifiez-les régulièrement.

4. L'inventaire de vos données cloud

Savez-vous exactement quelles données sont stockées dans votre cloud ? Où sont-elles ? Qui y a accès ? Si vous ne pouvez pas répondre à ces questions en quelques minutes, vous avez un problème. Un inventaire régulier de vos données et de leurs emplacements est indispensable.

Tableau de bord de sécurité cloud montrant des alertes d'accès non autorisé et des indicateurs de transfert de données anormaux
La surveillance des accès cloud et des volumes de transfert est essentielle pour détecter une exfiltration de données avant qu'il ne soit trop tard.

L'extorsion sans chiffrement : la nouvelle tendance

L'attaque de RansomHouse illustre une évolution majeure du paysage des menaces : de plus en plus de groupes cybercriminels abandonnent le ransomware classique (chiffrement + rançon) au profit de l'extorsion pure par vol de données. Les raisons sont multiples :

  • Moins de risque technique : pas besoin de déployer un malware complexe qui pourrait être détecté par un antivirus.
  • Impact plus durable : les données volées peuvent être revendues, publiées ou utilisées pour du chantage pendant des années.
  • Pression maximale : la menace de publier des données sensibles (informations personnelles, secrets commerciaux, correspondances confidentielles) est souvent plus efficace que la menace de garder des fichiers chiffrés.
  • Compatibilité cloud : dans un environnement cloud, il est souvent plus facile de copier des données que de les chiffrer.

Cette tendance signifie que les sauvegardes seules ne suffisent plus. Même si vous pouvez restaurer vos données après une attaque, les informations volées sont toujours entre les mains des criminels. La prévention — empêcher l'accès non autorisé — devient plus importante que jamais.

La souveraineté des données en question

Cet incident relance également le débat sur la souveraineté des données en Europe et en Suisse. Le fait que des données de la Commission européenne aient été hébergées sur AWS — un service américain — soulève des questions légitimes. La Suisse, avec sa tradition de protection des données et sa nLPD (nouvelle Loi sur la Protection des Données) entrée en vigueur en 2023, impose des exigences strictes en matière de localisation et de traitement des données personnelles.

Pour les entreprises suisses, cela signifie qu'il faut non seulement sécuriser ses données cloud, mais aussi s'assurer que leur hébergement est conforme aux réglementations en vigueur. Un audit de cybersécurité complet devrait toujours inclure une analyse de la conformité réglementaire de vos services cloud.

Checklist : sécurisez votre environnement cloud

Que vous utilisiez Microsoft 365, Google Workspace, AWS, ou tout autre service cloud, voici les actions prioritaires à mettre en place immédiatement :

  1. Activez la MFA sur tous les comptes, en particulier les comptes administrateur. Utilisez des passkeys ou des clés FIDO2 si possible, plutôt que des codes SMS.
  2. Auditez les permissions : passez en revue qui a accès à quoi. Supprimez les accès inutiles. Appliquez le principe du moindre privilège.
  3. Activez la journalisation (logging) de tous les accès et configurez des alertes pour les activités inhabituelles — connexions depuis des pays inhabituels, téléchargements massifs, modifications de permissions.
  4. Chiffrez vos données sensibles au repos et en transit. Ne vous fiez pas uniquement au chiffrement par défaut de votre fournisseur cloud.
  5. Mettez en place des politiques de mots de passe robustes et interdisez la réutilisation de mots de passe entre les services personnels et professionnels.
  6. Formez vos collaborateurs au phishing, en particulier au spear phishing qui cible les administrateurs et les dirigeants.
  7. Vérifiez vos paramètres de partage : combien de fichiers ou dossiers sont partagés publiquement ou avec des personnes extérieures à votre organisation ? Vous pourriez être surpris.
  8. Testez vos sauvegardes : une sauvegarde qu'on n'a jamais testée est une sauvegarde qui ne fonctionne peut-être pas. Restaurez un fichier de test chaque mois.
  9. Préparez un plan de réponse aux incidents cloud : que faites-vous si un compte est compromis ? Qui désactive les accès ? Qui contacte les clients concernés ? Préparez ces réponses maintenant, pas pendant la crise.
  10. Faites-vous accompagner par un professionnel. La configuration sécurisée d'un environnement cloud n'est pas triviale. Un abonnement de maintenance informatique avec CyberClinique inclut la surveillance régulière de votre environnement et l'alerte en cas d'anomalie.

Ne laissez pas votre cloud sans surveillance

L'attaque contre la Commission européenne nous rappelle une vérité fondamentale : personne n'est trop gros ou trop petit pour être piraté. Si une institution disposant de budgets de cybersécurité considérables peut se faire voler 1,1 téraoctet de données, imaginez ce qu'un cybercriminel peut faire avec le compte Microsoft 365 ou Google Workspace de votre PME, protégé par un simple mot de passe.

Chez CyberClinique, nous accompagnons les entreprises et les indépendants de Suisse romande dans la sécurisation de leurs environnements numériques — y compris le cloud. Audit de sécurité, configuration MFA, formation des collaborateurs, mise en place de sauvegardes : nous intervenons sous 2 heures, sur place ou à distance.

Pour un diagnostic gratuit de votre sécurité cloud, contactez-nous à contact@cyberclinique.ch ou via notre formulaire de contact entreprises. Parce qu'en matière de cybersécurité, la question n'est pas de savoir si vous serez attaqué, mais quand.

Tous les articles Besoin d'aide ?