Rançongiciels en 2026 : ce que l'attaque contre l'hôpital AZ Monica apprend aux PME belges

Rançongiciels en 2026 : ce que l'attaque contre l'hôpital AZ Monica apprend aux PME belges
Le 13 janvier 2026, à 6h32 du matin, les équipes informatiques de l'hôpital AZ Monica à Anvers détectent une activité de chiffrement inhabituelle sur leurs serveurs centraux. En quelques minutes, la direction prend une décision radicale : couper elle-même l'ensemble de son infrastructure sur les deux campus, Anvers et Deurne, avant même de savoir précisément ce qui se passe. Cette attaque, l'une des plus documentées de l'année en Belgique, illustre à la fois la réalité du risque rançongiciel en 2026 et les décisions difficiles qu'il impose — des décisions qui concernent aussi, à leur échelle, les PME belges.
L'attaque : que s'est-il passé le 13 janvier 2026
Dès la détection de l'incident, AZ Monica a suspendu l'accès aux dossiers patients électroniques, annulé l'ensemble des interventions chirurgicales prévues ce jour-là — plus de 70 opérations — et fait transférer sept patients en soins critiques vers d'autres établissements par la Croix-Rouge, certains dans un état sérieux. Les examens radiologiques, l'imagerie médicale et certains traitements de chimiothérapie ont dû être reportés ou pris en charge par des hôpitaux voisins, dont un centre universitaire à Amsterdam qui a accueilli en urgence des patients nécessitant une chimiothérapie. Le parquet a confirmé qu'il s'agissait d'une cyberattaque ; la presse locale (GVA) a rapporté que le réseau avait été infecté par un rançongiciel, sans qu'aucun groupe ne revendique publiquement l'attaque ni qu'une demande de rançon ne soit rendue publique. Le CEO de l'hôpital, Geert Smits, a justifié l'arrêt préventif des serveurs par la volonté d'éviter toute exfiltration ou compromission des données patients. Aucun décès n'a été attribué aux perturbations, et une réouverture progressive a débuté dès le 15 janvier.
Pourquoi l'arrêt volontaire des serveurs était la bonne décision
Ce réflexe — couper soi-même l'infrastructure avant d'avoir toutes les réponses — est souvent perçu comme disproportionné vu de l'extérieur. C'est pourtant, dans la plupart des cas documentés de rançongiciel, la décision qui limite le plus efficacement la casse : elle stoppe la propagation latérale du chiffrement et l'éventuelle exfiltration de données en cours, au prix d'une interruption d'activité immédiate et visible. Pour une PME, la même logique s'applique à plus petite échelle : savoir qui a l'autorité et la procédure pour couper un système en urgence, sans attendre une validation hiérarchique lente, fait souvent la différence entre un incident contenu et une crise généralisée.
Le rançongiciel en 2026 : une menace devenue « normale »
Les rapports spécialisés parlent désormais d'un « nouveau normal » pour les rançongiciels : après le pic observé fin 2025, les volumes d'attaques sont restés élevés et stables au premier trimestre 2026, sans redescendre au niveau antérieur. Selon l'ENISA (Threat Landscape 2025, analyse de 4 875 incidents entre juillet 2024 et juin 2025), le rançongiciel représente à lui seul 81,1 % des incidents de cybercriminalité recensés dans l'Union européenne — une proportion écrasante qui confirme qu'il reste, de très loin, la première menace pour les organisations de toute taille.
Double et triple extorsion : le nouveau modèle économique
Le modèle du rançongiciel a changé de nature ces dernières années. Le chiffrement des fichiers n'est plus l'unique levier de pression : les groupes exfiltrent d'abord les données, puis menacent de les publier (double extorsion), voire de contacter directement les clients ou partenaires de la victime pour faire pression (triple extorsion). La démocratisation du Ransomware-as-a-Service, la publication d'outils de construction de rançongiciels et la multiplication des « courtiers en accès » (qui revendent des accès déjà compromis) ont considérablement abaissé la barrière à l'entrée pour de nouveaux groupes, rendant l'écosystème plus diversifié et plus résilient face aux actions de police.
Les chiffres belges : +70 % de notifications en un an
Le CCB a recensé 635 notifications d'incidents en 2025, soit une hausse de près de 70 % par rapport à 2024 ; parmi elles, 556 relevaient directement d'incidents cyber, en hausse de 58 % sur un an. Cette progression ne signifie pas nécessairement que la Belgique est plus attaquée que ses voisins européens — elle reflète aussi une meilleure culture de signalement, en partie portée par les obligations NIS2 elles-mêmes. Mais elle confirme que le rançongiciel reste, pour le CCB comme pour l'ENISA, la préoccupation numéro un.
Ce qu'une PME peut retenir de l'attaque d'un hôpital
Une PME n'a évidemment ni les enjeux ni les moyens d'un hôpital universitaire. Mais deux leçons se transposent directement : d'abord, la rapidité de détection compte davantage que la sophistication des outils — AZ Monica a réagi en quelques minutes grâce à une supervision active de ses serveurs ; ensuite, la continuité d'activité ne se décide pas dans l'urgence — elle se prépare, avec des procédures de repli et des contacts de secours identifiés à l'avance, pas au moment de la crise.
Les mesures qui font la différence
Face à un rançongiciel, un socle de mesures reste déterminant : des sauvegardes réellement isolées du réseau principal (donc inaccessibles au chiffrement en cas de compromission), un plan de réponse à incident testé au moins une fois par an, une segmentation réseau qui limite la propagation latérale, et une supervision active capable de détecter une activité de chiffrement anormale avant qu'elle ne s'étende. Ce sont précisément les mesures que couvre le référentiel CyFun du CCB, dès son niveau Basic.
Ce que Smidjan recommande
Chez Smidjan, nous intégrons systématiquement un test de robustesse des sauvegardes et un exercice de simulation d'incident dans nos audits CyFun/NIS2 — car sur le terrain, c'est souvent là, plus que sur le papier, que se joue la différence entre un incident maîtrisé en quelques heures et une paralysie de plusieurs jours.
**Sources**
- [Cyberattack forces Belgian hospital to transfer critical care patients | The Record from Recorded Future News](https://therecord.media/belgium-hospital-cyberattack-antwerp-az-monica)
- [AZ Monica hospital in Belgium shuts down servers after cyberattack | Security Affairs](https://securityaffairs.com/186882/cyber-crime/az-monica-hospital-in-belgium-shuts-down-servers-after-cyberattack.html)
- [More attacks, more reporting: Belgium's cyber reality in 2025 | CCB Belgium](https://ccb.belgium.be/news/more-attacks-more-reporting-belgiums-cyber-reality-2025)
- [ENISA Threat Landscape 2025](https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025)
Besoin d'accompagnement ?
Smidjan vous aide à mettre en place ces solutions pour votre entreprise en Belgique.


