Le groupe de ransomware Nova, une opération cybercriminelle utilisant un modèle de ransomware-as-a-service, a revendiqué la responsabilité d’une cyberattaque contre KPMG Pays-Bas, la branche néerlandaise de la société mondiale de services professionnels KPMG International Cooperative. L’affirmation a été publiée sur un site de fuite du dark web le 23 janvier 2026, accompagnée d’un compte à rebours qui donne à KPMG un délai de 10 jours pour interagir avec le groupe ou la publication des données de risque.
L’annonce de Nova cite spécifiquement KPMG Pays-Bas et laisse entendre que des données ont été exfiltrées lors de l’incident présumé. L’inscription du groupe sur le site de fuite reflète une tactique courante dans les opérations de ransomware et d’extorsion, connue sous le nom de double extorsion, où les attaquants combinent des menaces de divulgation de données avec un chiffrement potentiel des systèmes pour contraindre les victimes à négocier. L’entrée sur le site de fuite comprenait un minuteur de 10 jours qui signale généralement quand les attaquants pourraient commencer à publier des données si leurs exigences ne sont pas satisfaites.
KPMG a publié une réponse publique à cette affirmation, affirmant que son infrastructure informatique gérée et ses systèmes de sécurité n’ont pas été compromis et soulignant qu’elle prend la cybersécurité et la surveillance très au cœur. La déclaration de l’entreprise ne confirme aucune perte ou violation de données et reflète une position prudente lors de l’évaluation de la situation. À ce stade, il n’existe aucune vérification indépendante que la revendication de Nova corresponde à une violation réelle des systèmes KPMG.
Les détails concernant l’attaque présumée, y compris les types de données impliqués ou si une exfiltration de données a eu lieu, n’ont pas été publiés par Nova ni corroborés par des chercheurs tiers en cybersécurité. L’absence d’échantillons ou de preuves techniques publiées signifie que l’affirmation reste non vérifiée et soumise à une évaluation continue. Dans certains cas d’extorsion liée aux ransomwares, les acteurs malveillants listent publiquement les organisations sur les sites de fuites avant de fournir des preuves ou avant qu’une négociation ultérieure ne réussisse, ce qui rend les premières affirmations difficiles à évaluer sans confirmation médico-légale.
Les entreprises de services professionnels telles que KPMG sont considérées comme des cibles attractives pour les acteurs de ransomware car elles détiennent de nombreuses informations corporatives et clients, couvrant des documents d’audit, des déclarations fiscales et des documents de conseil. Les acteurs malveillants peuvent percevoir ces données comme de grande valeur lors des négociations s’ils sont capables de démontrer la possession. Cependant, sans vérification de la revendication du groupe Nova ni divulgation publique de données compromises, l’état actuel des systèmes et informations de KPMG Pays-Bas reste incertain.
La situation continue d’évoluer, et les déclarations publiques de KPMG, ainsi que la surveillance par les services de cybersécurité, informeront si d’autres mesures, telles que des conclusions d’enquête ou des avis réglementaires, émergeront en réponse à cette allégation. Les autorités et les observateurs du secteur considèrent souvent ces listes d’extorsion comme des déclencheurs d’audits internes et de chasses à la menace, même lorsque les allégations ne sont pas initialement vérifiées.