Le ransomware Stormous frappe un réseau d’églises néerlandais et dérobe 10 Go

Le ransomware Stormous revendique une attaque contre Katholiek Amersfoort

Le 2 juin 2026, le groupe de ransomware Stormous a revendiqué une cyberattaque contre Katholiek Amersfoort, une organisation religieuse basée aux Pays-Bas et opérant sous le domaine katholiekamersfoort.nl. Selon les dires du groupe, l’attaque a entraîné l’exfiltration de plus de 10 Go de données sensibles, comprenant des informations personnelles de membres, de donateurs et peut-être de membres du personnel.

Cette violation nous rappelle qu’aucune organisation n’est à l’abri des attaques par ransomware, quel que soit son statut d’organisation à but non lucratif ou religieuse. Les églises, les œuvres caritatives et les associations communautaires conservent souvent de grandes quantités de données personnelles (coordonnées, historiques de dons, registres d’adhésion) tout en fonctionnant avec des budgets informatiques réduits et des ressources limitées en cybersécurité. Cette combinaison en fait des cibles attractives.

Pourquoi les organisations à but non lucratif et religieuses sont vulnérables

Stormous n’est pas un nouvel acteur malveillant. Le groupe est actif depuis plusieurs années et cible fréquemment des organisations de multiples secteurs et zones géographiques. Leur propension à s’attaquer à un réseau d’églises aux Pays-Bas illustre une tendance plus large : les groupes de ransomware s’en prennent de plus en plus à toute organisation détenant des données exploitables à des fins d’extorsion, que la cible dispose ou non de ressources financières importantes.

Pour les organisations religieuses et communautaires, les risques sont accentués par plusieurs facteurs. Beaucoup s’appuient sur des bénévoles plutôt que sur du personnel informatique dédié. Les contraintes budgétaires font que les logiciels de sécurité, les calendriers de correctifs et les systèmes de sauvegarde chiffrés sont souvent sous-financés, voire inexistants. Les données des membres (noms, adresses, numéros de téléphone, registres de contributions financières) sont fréquemment stockées dans des bases de données obsolètes ou des systèmes de gestion de contenu qui n’ont pas reçu de mises à jour de sécurité depuis des années.

Il ne s’agit pas d’un phénomène isolé. La violation par ransomware d’un hôpital ayant exposé 337 917 patients au Cookeville Regional Medical Center a suivi une logique similaire : les attaquants se sont tournés vers un établissement détenant des dossiers personnels sensibles sans disposer nécessairement de défenses de niveau entreprise. De même, des violations de grande ampleur comme l’attaque de ShinyHunters contre Canvas qui a mis en danger 275 millions de dossiers d’étudiants montrent que c’est le volume de données, et non le prestige du secteur, qui dicte les choix de ciblage.

Quelles données ont probablement été exposées

Bien que l’ampleur exacte de la violation de Katholiek Amersfoort n’ait pas été officiellement confirmée par l’organisation, la revendication par Stormous de plus de 10 Go de données exfiltrées est significative. Les réseaux d’églises de ce type détiennent généralement :

• Noms complets et coordonnées des membres et des donateurs
• Registres de dons et de contributions financières, pouvant inclure des coordonnées bancaires ou des informations sur les moyens de paiement
• Communications internes et documents administratifs
• Dossiers personnels du personnel ou des bénévoles, pouvant contenir des documents d’identité

Chacune de ces catégories de données peut être utilisée dans des campagnes d’hameçonnage, des usurpations d’identité ou être vendue sur des places de marché du dark web. Toute personne ayant interagi avec Katholiek Amersfoort, que ce soit en tant que membre, donateur ou participant à un événement, doit considérer ses informations personnelles comme potentiellement compromises.

Ce que cela signifie pour vous

Si vous êtes membre, donateur ou contact de Katholiek Amersfoort, ou de toute organisation religieuse ou communautaire ayant subi une violation, vous pouvez prendre des mesures concrètes pour limiter votre exposition.

Surveillez vos données dans les bases de données de violations. Des services qui indexent les données d’identifiants divulgués peuvent vous alerter si votre adresse e-mail ou votre mot de passe apparaît dans une fuite connue. Vérifiez régulièrement vos adresses e-mail sur ces services, surtout après l’annonce d’une violation au sein d’une organisation avec laquelle vous avez des relations.

Modifiez les mots de passe liés à l’organisation concernée. Si vous utilisez la même combinaison d’adresse e-mail et de mot de passe pour un portail de membre et pour d’autres services (messagerie, banque, réseaux sociaux), modifiez immédiatement ces identifiants. Utilisez un mot de passe unique et robuste pour chaque compte et stockez-les à l’aide d’un gestionnaire de mots de passe fiable.

Soyez attentif aux tentatives d’hameçonnage ciblées. Les attaquants qui obtiennent des listes de membres utilisent souvent ces données pour élaborer des courriels d’hameçonnage convaincants. Montrez-vous sceptique face à tout message faisant référence à votre appartenance à une église, vous demandant un paiement ou vous invitant à vérifier vos coordonnées via un lien.

Utilisez des communications chiffrées pour les échanges sensibles. Lorsque vous communiquez des informations personnelles ou financières sensibles à une organisation, assurez-vous que la connexion est chiffrée. Un VPN peut aider à sécuriser votre trafic sur les réseaux publics ou partagés, réduisant ainsi le risque que vos données soient interceptées en transit.

Demandez aux organisations comment elles protègent vos données. Les organisations à but non lucratif et religieuses sont soumises à la réglementation européenne sur la protection des données, notamment au Règlement général sur la protection des données (RGPD). Si vous résidez aux Pays-Bas ou dans un autre pays de l’UE, vous avez le droit de demander aux organisations quelles données elles détiennent à votre sujet et d’en exiger la suppression dans certaines circonstances. L’autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a publié des orientations sur les violations de données causées par des ransomwares et peut constituer une ressource si vous estimez que vos droits ont été violés.

Du point de vue organisationnel, la violation de Katholiek Amersfoort souligne l’importance des sauvegardes chiffrées externalisées, de la segmentation du réseau pour empêcher les déplacements latéraux des attaquants, et des audits de sécurité réguliers, même pour les petites structures à but non lucratif. Les principes de confiance zéro, où aucun utilisateur ni système n’est digne de confiance par défaut, même à l’intérieur du périmètre réseau, peuvent considérablement limiter les dégâts qu’un attaquant peut causer après avoir obtenu un accès initial.

L’attaque du ransomware Stormous contre un réseau d’églises néerlandais ne fera peut-être pas la une des journaux comme les violations touchant de grandes entreprises, mais les données personnelles des membres de la communauté sont tout aussi sensibles et les préjudices tout aussi réels. Rester informé, surveiller sa propre exposition de données et inciter les organisations auxquelles vous confiez vos informations à investir dans une hygiène de sécurité de base sont les outils les plus efficaces à la disposition du grand public pour évoluer dans cet environnement.