Q1 2026 : Les cinq cyberincidents les plus dangereux en Allemagne et ce qui les unit
6 min de lecture
Une attaque DDoS contre la Deutsche Bahn. Un incendie criminel visant le réseau électrique de Berlin. Des hackers étatiques russes infiltrant les contacts d’un ancien vice-président du BND via Signal. Et un scanner de vulnérabilités transformé en arme. Le premier trimestre 2026 a montré : les menaces ne deviennent pas seulement plus sophistiquées techniquement – elles fusionnent de plus en plus avec les conflits géopolitiques et la sabotage physique.
Ce retour d’expérience analyse les cinq incidents les plus graves, révèle le schéma sous-jacent et indique ce que les équipes de sécurité informatique doivent surveiller pour le T2.
L’essentiel
- DDoS contre Deutsche Bahn (17 février) : des hacktivistes pro-russes paralysent pendant plusieurs heures les systèmes de réservation, l’application et les écrans d’affichage. La présidente du BSI (Office fédéral de la sécurité informatique), Plattner, évoque des milliards de requêtes par minute.
- Blackout berlinois (3 janvier) : incendie criminel sur un câble haute tension – 45 000 foyers privés d’électricité, panne la plus longue depuis 1945. Le parquet fédéral enquête pour soupçon de terrorisme.
- Phishing via Signal contre un ancien vice-président du BND (février/mars) : des hackers étatiques russes prennent le contrôle du compte Signal d’Arndt Freytag von Loringhoven et diffusent des logiciels malveillants à ses contacts. Le BSI et le BfV (Office fédéral pour la protection de la Constitution) émettent un avertissement conjoint.
- Attaque de la chaîne d’approvisionnement Trivy (19 mars) : 75 des 76 balises de version du scanner de vulnérabilités compromises, secrets CI/CD volés.
- Entrée en vigueur de NIS2 (6 décembre 2025) : 30 000 entreprises réglementées, délai d’enregistrement expiré, responsabilité personnelle des dirigeants effective.
1. Deutsche Bahn : le DDoS comme arme géopolitique
Le 17 février 2026, une attaque DDoS en plusieurs vagues paralyse l’infrastructure numérique de la Deutsche Bahn. Site web, application DB Navigator et écrans d’affichage des gares sont hors service pendant plusieurs heures. Les systèmes de sécurité des trains et les postes de commande ne sont pas affectés – l’attaque cible les systèmes proches du client.
L’attribution est rapide : des experts en cybersécurité attribuent l’attaque au groupe de hacktivistes pro-russes NoName057(16), utilisant l’outil DDoS « DDoSia ». La campagne est menée simultanément contre des cibles dans plusieurs pays de l’OTAN. La présidente du BSI, Claudia Plattner, commente directement l’ampleur de l’attaque.
Pour les opérateurs d’infrastructures critiques (KRITIS) allemands, cet incident montre que le DDoS n’est plus une simple nuisance – c’est un instrument stratégique dans les conflits géopolitiques. Toute entreprise exploitant une infrastructure critique sans protection DDoS au niveau opérateur fonctionne avec une vulnérabilité ouverte.
L’opération Alice offre un contraste : du 9 au 19 mars, des autorités allemandes, en coopération avec Europol et 23 pays, mènent une opération coordonnée contre le dark web. Plus de 373 000 sites frauduleux sont désactivés, 105 serveurs saisis. Ce succès montre que la coopération européenne en matière de répression fonctionne – mais aussi que les acteurs de la menace opèrent de manière industrielle.
2. Blackout berlinois : quand le physique et le numérique fusionnent
Le 3 janvier 2026, des inconnus mettent le feu à plusieurs câbles haute tension sur un pont-câble au-dessus du canal Teltow à Berlin-Lichterfelde. Conséquence : 45 000 foyers et plus de 2 200 entreprises privés d’électricité – la panne la plus longue à Berlin depuis 1945. Le parquet fédéral prend en charge l’enquête le 6 janvier. Le gouvernement fédéral met une récompense d’un million d’euros.
Pour la sécurité informatique, cet incident est un réveil : la frontière entre cyberattaque et attaque physique s’estompe. La loi-cadre KRITIS, en vigueur depuis mars 2026, traite précisément cette convergence. Les équipes de sécurité informatique qui ne modélisent que les vecteurs d’attaque numériques sous-estiment la menace réelle. La résilience physique doit faire partie de tout concept de sécurité pour les infrastructures critiques.
Dans le secteur industriel, c’est la Buhlmann Group qui est touchée : le 7 janvier, le groupe de ransomware Akira revendique une attaque contre le distributeur d’acier basé à Hambourg (2 000 employés, chiffre d’affaires de 428 millions d’euros). 55 Go de données exfiltrées – plans de construction, dossiers RH, données financières. L’entreprise insiste sur le fait qu’une seule filiale américaine est concernée. Mais ce cas illustre le profil typique d’Akira : des entreprises industrielles et de fabrication de taille moyenne, suffisamment grandes pour payer une rançon, mais suffisamment petites pour avoir une sécurité plus faible.
Selon le rapport de situation du BSI 2025, 80 % des victimes de ransomware dans la période concernée sont des PME. 119 nouvelles vulnérabilités par jour – 24 % de plus que l’année précédente. 950 attaques de ransomware signalées. La situation reste ce que le BSI décrit depuis des années : tendue. Mais le T1 2026 ajoute une nouvelle qualité : les attaques deviennent plus politiques, les cibles plus physiques, et les outils de défense deviennent eux-mêmes des cibles.
3. Phishing via Signal : des hackers étatiques dans le messager
En février et mars 2026, des hackers étatiques russes mènent une campagne ciblée de phishing via Signal contre des personnalités allemandes et européennes de haut niveau. Une victime confirmée : Arndt Freytag von Loringhoven, ancien vice-président du BND. Il est contacté par un faux support Signal, son code PIN est récupéré, son compte est compromis. Ensuite, les attaquants diffusent des liens malveillants à ses contacts.
Le BfV et le BSI classent l’incident comme étant de nature critique pour la sécurité et émettent un avertissement conjoint. Le service néerlandais AIVD attribue publiquement les attaques à des hackers étatiques russes. Correctiv confirme le 24 mars 2026 des preuves numériques pointant vers la Russie. 29 autres domaines de phishing sont identifiés, certains visant des cibles en Ukraine et en Moldavie.
La leçon : même les messageries avec chiffrement de bout en bout ne protègent pas contre l’ingénierie sociale au niveau du compte. Toute personne utilisant Signal pour des communications sensibles – ce que font de nombreuses agences de sécurité et entreprises – doit activer le code PIN « Registration Lock » et utiliser des second facteurs résistants au phishing.
4. Trivy : le scanner de sécurité comme vecteur d’attaque
Le 19 mars, le groupe TeamPCP compromet le scanner de vulnérabilités open source Trivy d’Aqua Security. 75 des 76 balises de version du dépôt GitHub sont redirigées vers du code malveillant via un « force push ». Le binaire manipulé vole des clés SSH, des identifiants cloud et des secrets Kubernetes depuis les pipelines CI/CD, puis les exfiltre vers un domaine de typographie (typosquatting).
L’affaire Trivy s’inscrit dans un schéma qui traverse toute l’industrie : la porte dérobée XZ-Utils (CVSS 10.0, mars 2024) a nécessité trois ans de préparation. L’attaque contre 3CX (mars 2023) était la première compromission double de la chaîne d’approvisionnement documentée. Et Sonatype signale une hausse de 156 % des paquets open source malveillants en comparaison annuelle. Le pining des dépendances basé sur SHA aurait complètement empêché l’attaque contre Trivy.
CERT-EU confirme dans ses rapports trimestriels que les services de renseignement russes continuent de mener des opérations cybernétiques et hybrides contre les gouvernements européens et les infrastructures critiques. Le Royaume-Uni sanctionne explicitement le GRU et onze officiers pour guerre hybride en Europe. Pour les entreprises allemandes avec des chaînes d’approvisionnement internationales ou des clients en Europe de l’Est, ce n’est pas un risque abstrait – c’est un facteur opérationnel à intégrer dans l’analyse des risques.
5. NIS2 et le séisme réglementaire
La loi de transposition de NIS2 est entrée en vigueur le 6 décembre 2025 – sans période de transition. Le nombre d’entreprises réglementées est passé de 4 500 à environ 30 000 établissements. Depuis le 6 janvier, la plateforme d’enregistrement du BSI est active. Le délai d’enregistrement est expiré, la responsabilité personnelle des dirigeants est effective.
Parallèlement : l’acte européen sur la résilience cyber (Cyber Resilience Act, CRA) instaure à partir du 11 septembre 2026 des obligations de déclaration pour les fabricants en cas de vulnérabilités activement exploitées – 24 heures pour un avertissement précoce, 72 heures pour une déclaration complète. La Cour constitutionnelle fédérale (BVerfG) a déclaré en juin 2025 certaines dispositions de la surveillance préventive (Quellen-TKÜ) contraires à la Constitution – une décision qui redéfinit les limites de la surveillance étatique.
Le schéma : ce qui unit le T1 2026
Trois évolutions traversent les cinq incidents.
Premièrement : la convergence du cyber et du physique. Le blackout berlinois était une attaque physique avec des signes avant-coureurs numériques. Le DDoS contre la Deutsche Bahn a frappé une infrastructure physique par des canaux numériques. La distinction entre sécurité informatique et sécurité physique s’efface – toute entreprise qui les sépare encore organisationnellement présente des failles.
Deuxièmement : la géopolitique comme motif d’attaque. La campagne Signal, le DDoS contre la Deutsche Bahn, les rapports de CERT-EU sur les opérations hybrides russes – les cyberattaques ne sont plus un risque abstrait. Elles sont devenues un instrument de projection de puissance étatique, agissant directement sur les entreprises et administrations allemandes.
Troisièmement : la chaîne d’approvisionnement comme principal vecteur d’attaque. Trivy, les 704 000 paquets malveillants depuis 2019, le phénomène de « slopsquatting » – toute entreprise qui protège uniquement son application propre tout en faisant aveuglément confiance à ses outils et dépendances laisse sa plus grande vulnérabilité ouverte.
Ce qui doit figurer au radar pour le T2
3 avril 2026 : L’exception ePrivacy pour le balayage volontaire de chats expire. Sans prolongation, la base juridique disparaît pour les plateformes qui scannent actuellement de manière volontaire.
4 mai 2026 : Troisième trilogue sur la surveillance des chats en Europe. C’est à ce moment que se décidera si les « ordres de détection » deviendront obligatoires à une étape ultérieure.
30 juin 2026 : Délai pour les premières preuves d’audit NIS2. Toute entreprise incapable de présenter une analyse des risques documentée et un plan de mesures d’ici là s’expose à des sanctions.
11 septembre 2026 : Entrée en vigueur des obligations de déclaration du CRA. Les fabricants devront signaler à l’ENISA les vulnérabilités activement exploitées dans un délai de 24 heures.
Le T1 2026 n’a pas été un trimestre calme. Les attaques sont devenues plus physiques, plus politiques, plus raffinées. La réglementation s’est durcie. Et la surface d’attaque s’élargit avec chaque dépendance, chaque service cloud et chaque assistant IA ayant accès aux données d’entreprise. Celui qui n’investit pas maintenant dans une architecture de sécurité systématique ressentira les conséquences au T2.
La leçon la plus importante du T1 2026 : la sécurité n’est pas un état, mais un processus – et ce processus doit aller plus vite que les attaquants. La Deutsche Bahn a surmonté le DDoS, mais les heures sans système de réservation ont causé un dommage à sa réputation. Le blackout berlinois a duré un jour, mais la perte de confiance dans l’infrastructure dure plus longtemps. Et le piratage de Trivy montre que même les outils censés garantir la sécurité peuvent devenir des surfaces d’attaque. Celui qui comprend cela ne construit pas sa défense sur la confiance – mais sur la vérification, la redondance et la capacité à réagir plus vite que l’attaquant n’escalade.
Pour les budgets de sécurité informatique, le T1 2026 envoie un message clair : investir dans la prévention coûte moins cher que les conséquences d’un incident. IBM évalue le coût moyen d’une violation de données à 4,88 millions de dollars. La Buhlmann Group ne publiera pas le coût de l’attaque Akira, mais le dommage à la réputation auprès des clients et partenaires aura des effets durables. Et la responsabilité personnelle des dirigeants prévue par NIS2 fait des négligences en cybersécurité un risque financier individuel. La question n’est plus de savoir si on investit – mais si on investit assez rapidement.
Questions fréquentes
Quel a été le plus grand cyberincident en Allemagne au T1 2026 ?
L’attaque DDoS contre la Deutsche Bahn le 17 février 2026 a été l’incident le plus visible publiquement. Le blackout berlinois du 3 janvier – un acte de sabotage physique ayant affecté 45 000 foyers – a eu les conséquences les plus importantes sur la population.
Quels groupes de ransomware étaient actifs en Allemagne ?
Le groupe Akira a attaqué la Buhlmann Group en janvier (distributeur d’acier à Hambourg, 55 Go de données exfiltrées). Selon le BSI, 80 % des victimes de ransomware durant la période concernée étaient des PME. Les groupes les plus actifs en Europe étaient Qilin, Akira et Sinobi.
Que signifie concrètement NIS2 pour mon entreprise ?
Les entreprises de 50 employés ou plus, ou réalisant un chiffre d’affaires de 10 millions d’euros ou plus dans des secteurs réglementés, doivent s’enregistrer auprès du BSI, réaliser une analyse des risques et justifier de mesures de sécurité. Les dirigeants sont personnellement responsables. La première échéance d’audit est le 30 juin 2026.
Comment se protéger contre les attaques de la chaîne d’approvisionnement ?
Pining des dépendances basé sur SHA, création et maintenance d’un SBOM, analyse des dépendances dans le pipeline CI/CD, signature de code avec Sigstore, et évaluation régulière des risques fournisseurs. L’attaque contre Trivy aurait pu être entièrement évitée grâce au pining SHA.
Quelles sont les échéances réglementaires à venir au T2 2026 ?
3 avril : expiration de l’exception ePrivacy pour le balayage de chats. 4 mai : troisième trilogue sur la surveillance des chats. 30 juin : échéance d’audit NIS2. 11 septembre : entrée en vigueur des obligations de déclaration du CRA. Ces quatre dates concernent directement les entreprises allemandes.
Lectures recommandées par la rédaction
Plus d’informations dans le réseau MBF Media
Source de l’image : Pexels / Tima Miroshnichenko (px:5380608)
