Un renforcement immédiat des sanctions européennes contre les cyberattaques
Le Conseil de l’Union européenne a adopté, le 13 juillet 2026, deux textes renforçant le régime européen de sanctions contre les cyberattaques qui menacent l’Union européenne ou ses États membres :
- la décision (PESC) 2026/1713, qui modifie la décision (PESC) 2019/797 ;
- le règlement d’exécution (UE) 2026/1714, qui met en œuvre le règlement (UE) 2019/796.
Ces textes ajoutent huit personnes physiques et quatre entités aux listes européennes des personnes et organisations faisant l’objet de mesures restrictives.
Ils sont entrés en vigueur le jour de leur publication au Journal officiel de l’Union européenne, soit le 13 juillet 2026. Le règlement d’exécution est obligatoire dans tous ses éléments et directement applicable dans chaque État membre.
Pour les entreprises, cette actualité n’est pas seulement un sujet géopolitique ou de cybersécurité. Elle entraîne des conséquences immédiates en matière de conformité aux sanctions économiques : contrôle des partenaires, blocage des opérations, gel des avoirs et interdiction de mettre des fonds ou des ressources économiques à la disposition des personnes et entités concernées.
Pourquoi deux textes ont-ils été adoptés ?
Les deux actes remplissent des fonctions complémentaires.
La décision PESC relève de la politique étrangère et de sécurité commune de l’Union européenne. Elle modifie la liste politique des personnes et entités ciblées par le régime européen de sanctions contre les cyberattaques.
Le règlement d’exécution transpose ces inscriptions dans l’annexe du règlement directement applicable aux opérateurs économiques.
Pour les entreprises, le texte le plus opérationnel est donc le règlement d’exécution (UE) 2026/1714. C’est lui qui rend immédiatement applicables les mesures financières attachées aux nouvelles inscriptions.
Le régime européen prévoit notamment :
- le gel des fonds et ressources économiques appartenant aux personnes et entités inscrites ou contrôlés par celles-ci ;
- l’interdiction de mettre, directement ou indirectement, des fonds ou des ressources économiques à leur disposition ou à leur profit ;
- une interdiction d’entrée ou de transit dans l’Union pour les personnes physiques concernées.
Après les inscriptions du 13 juillet 2026, le régime européen de sanctions contre les cyberattaques concerne 27 personnes physiques et 11 entités. Il est actuellement prolongé jusqu’au 18 mai 2027.
Qui vient d’être ajouté aux listes européennes ?
Les nouvelles inscriptions concernent des personnes et des structures que le Conseil considère comme responsables de cyberattaques importantes, comme participant à ces attaques ou comme leur apportant un soutien technique, matériel ou opérationnel.
Huit personnes physiques
Les personnes ajoutées sont :
- Vitaly Nikolayevich Kovalev ;
- Alexander Alexandrovich Volosovik ;
- Denis Olegovich Degtyarenko ;
- Yuliya Vladimirovna Pankratova ;
- Maksim Evgenevich Voronin ;
- Maksim Aleksandrovich Gordienko ;
- Evgeniy Viktorovich Bashev ;
- Roman Alexandrovich Puntus.
Les annexes des deux textes indiquent également leurs alias, translittérations, adresses, nationalités, numéros d’identification disponibles et liens avec différents groupes ou entités.
Cette multiplication des alias constitue un point de vigilance pour les entreprises : un contrôle limité à une correspondance exacte du nom figurant sur une facture ou un contrat peut ne pas suffire.
Quatre entités
Les quatre entités nouvellement inscrites sont :
- Media Land LLC ;
- ML.Cloud ;
- “Impuls” LLC ;
- Z-Pentest, également désignée sous les noms « Z-Pentest Alliance » ou « Z-Alliance ».
Les annexes présentent leurs adresses, lieux d’enregistrement, numéros d’immatriculation lorsqu’ils sont connus, personnes associées et motifs de leur inscription.
ML.Cloud est notamment indiquée comme enregistrée à Riga, en Lettonie. Cette inscription rappelle que le contrôle des sanctions ne doit pas être limité aux seules sociétés établies en Russie ou, plus généralement, hors de l’Union européenne.
Quelles cybermenaces sont visées par ces nouvelles sanctions ?
Les nouvelles inscriptions couvrent plusieurs modèles de cybercriminalité.
Rançongiciels et logiciels malveillants
Vitaly Kovalev est présenté comme un acteur important des programmes malveillants TrickBot et Conti, initialement créés et développés par Wizard Spider.
Ces outils ont été utilisés dans des attaques par rançongiciel visant notamment des services essentiels, dont les secteurs de la santé et de la banque. Le Conseil estime que ces attaques ont causé des préjudices économiques substantiels dans l’Union européenne.
Hébergement « pare-balles »
Media Land LLC est qualifiée de service d’hébergement « pare-balles ».
Ce type de service est conçu pour dissimuler l’identité de ses utilisateurs et résister aux demandes de retrait ou de suppression formulées par les autorités.
Selon le Conseil, Media Land LLC a facilité des opérations de rançongiciel à grande échelle, des infrastructures de commandement et de contrôle ainsi que des campagnes d’hameçonnage. Les opérations citées comprennent notamment LockBit, EvilCorp et BlackBasta.
ML.Cloud est présentée comme une société sœur fournissant l’infrastructure technique nécessaire à Media Land LLC.
Malware-as-a-Service et vol d’informations
Maksim Voronin et Maksim Gordienko sont associés au développement, à la distribution et à la vente de LummaC2, également connu sous les noms de Lumma Infostealer ou Lumma Stealer.
LummaC2 est décrit comme une plateforme de type « Malware-as-a-Service ». Elle permet notamment de voler :
- des identifiants enregistrés dans les navigateurs ;
- des données sensibles ;
- des informations système ;
- des portefeuilles de cryptomonnaies.
Elle peut également servir à déployer d’autres logiciels malveillants sur les appareils compromis. Selon les textes, LummaC2 a figuré parmi les outils de vol d’informations les plus utilisés au monde en 2024 et 2025.
Attaques contre des infrastructures critiques
Denis Degtyarenko et Yuliya Pankratova sont associés à la Cyber Army of Russia Reborn, ou CARR.
Le Conseil attribue à cette organisation des attaques visant des agences publiques, des institutions financières, des médias et des infrastructures critiques, notamment sous la forme d’attaques par déni de service distribué.
Yuliya Pankratova est également associée à Z-Pentest, un groupe présenté comme ciblant particulièrement les secteurs de l’énergie et de l’eau. Le texte mentionne notamment une attaque contre une compagnie danoise de distribution d’eau en décembre 2024.
Soutien technique à des opérations liées au GRU
Evgeniy Bashev et Roman Puntus sont présentés comme membres de l’unité 29155 du renseignement militaire russe.
“Impuls” LLC aurait fourni une couverture opérationnelle, des infrastructures, des serveurs et des moyens de paiement permettant de soutenir certaines opérations.
Les campagnes concernées auraient notamment ciblé des systèmes et services critiques dans le secteur des transports, ainsi que des infrastructures ukrainiennes dans le cadre de la campagne WhisperGate.
Que signifie concrètement le gel des avoirs ?
Le règlement (UE) 2019/796 impose le gel de tous les fonds et ressources économiques appartenant aux personnes ou entités inscrites, qu’elles possèdent, détiennent ou contrôlent.
Il interdit également de mettre des fonds ou ressources économiques à leur disposition ou à leur profit, directement ou indirectement.
Pour une entreprise, cette interdiction peut concerner notamment :
- l’exécution d’un paiement ;
- le règlement d’une facture ;
- la réalisation d’un virement ;
- la mise à disposition d’un avoir ou d’un actif ;
- l’octroi d’un crédit ou d’une garantie ;
- l’exécution d’une transaction au profit d’une personne sanctionnée ;
- la poursuite d’une relation contractuelle impliquant une mise à disposition interdite.
L’interdiction de mise à disposition indirecte impose également de ne pas limiter les vérifications au nom du cocontractant immédiat.
Lorsqu’un partenaire agit pour le compte d’une personne sanctionnée ou qu’une opération bénéficie en réalité à une entité inscrite, le risque peut subsister même si le nom figurant sur le contrat n’apparaît pas directement sur la liste.
Quelles entreprises sont concernées ?
Le règlement s’applique largement :
- sur le territoire de l’Union européenne ;
- aux ressortissants d’un État membre, y compris lorsqu’ils se trouvent hors de l’Union ;
- aux personnes morales constituées selon le droit d’un État membre, même lorsqu’elles exercent hors de l’Union ;
- à toute activité réalisée entièrement ou partiellement dans l’Union européenne.
Toutes les entreprises européennes sont donc susceptibles d’être concernées.
Certaines activités sont néanmoins particulièrement exposées :
- banques et établissements financiers ;
- prestataires de paiement ;
- plateformes d’échange de cryptoactifs ;
- assureurs ;
- fournisseurs de services cloud ;
- hébergeurs ;
- opérateurs télécoms ;
- éditeurs de logiciels ;
- marketplaces ;
- entreprises d’import-export ;
- prestataires informatiques et de cybersécurité ;
- groupes disposant de fournisseurs ou de clients internationaux.
Les sanctions ne concernent pas uniquement les paiements bancaires
Une erreur fréquente consiste à limiter la conformité aux sanctions au contrôle des virements bancaires.
Le règlement interdit plus largement la mise à disposition de fonds ou de ressources économiques. Une entreprise doit donc examiner l’ensemble de la relation commerciale, et pas uniquement le paiement final.
Les points à vérifier peuvent comprendre :
- l’identité du client ou du fournisseur ;
- les dirigeants et bénéficiaires effectifs ;
- les personnes agissant pour le compte du partenaire ;
- les sociétés liées ;
- les intermédiaires de paiement ;
- les adresses techniques ou commerciales ;
- les alias utilisés ;
- les éventuelles modifications récentes de dénomination ;
- le bénéficiaire économique réel de l’opération.
Cette vigilance est particulièrement importante pour les services numériques. Une prestation d’hébergement, une infrastructure technique ou une ressource informatique peut contribuer au fonctionnement d’une entité sanctionnée même en l’absence d’un paiement direct à son nom.
Une obligation d’information en cas de gel
Les personnes physiques et morales doivent communiquer immédiatement à l’autorité compétente toute information facilitant l’application du règlement, notamment les informations relatives aux comptes et montants gelés.
Elles doivent également coopérer avec l’autorité dans le cadre des vérifications portant sur ces informations.
Une entreprise identifiant un compte, un actif ou une opération potentiellement concernée ne doit donc pas uniquement suspendre l’opération.
Elle doit également :
- conserver les éléments disponibles ;
- sécuriser les preuves du contrôle effectué ;
- informer l’autorité nationale compétente lorsque l’obligation est caractérisée ;
- répondre aux demandes complémentaires ;
- documenter la décision de gel ou de refus d’exécution.
Le contournement des sanctions est interdit
Le règlement interdit de participer sciemment et intentionnellement à des activités ayant pour objet ou pour effet de contourner les mesures de gel et d’interdiction de mise à disposition.
Cette interdiction vise notamment les montages destinés à dissimuler le bénéficiaire réel d’une opération.
Une entreprise doit donc être attentive aux signaux inhabituels, par exemple :
- changement soudain de cocontractant ;
- paiement demandé au profit d’une société nouvellement créée ;
- utilisation d’un intermédiaire sans justification économique claire ;
- modification du pays de facturation ;
- recours à une adresse ou une société liée à une entité sanctionnée ;
- demande de paiement en cryptoactifs ;
- incohérence entre le client apparent et l’utilisateur réel du service.
La présence d’un signal d’alerte ne prouve pas automatiquement un contournement. Elle impose toutefois une analyse renforcée avant de poursuivre l’opération.
Les sanctions remplacent-elles les obligations de cybersécurité ?
Non.
La décision et le règlement du 13 juillet 2026 ne créent pas de nouvelles exigences techniques comparables à celles issues de NIS 2, de DORA ou des règles relatives à la sécurité des systèmes d’information.
Ils renforcent un régime de sanctions économiques ciblées.
Les entreprises doivent donc distinguer deux démarches complémentaires :
- la sécurité informatique, destinée à prévenir, détecter et traiter les cyberattaques ;
- la conformité aux sanctions, destinée à éviter qu’une entreprise fournisse des fonds ou ressources à des personnes ou organisations inscrites.
Les informations contenues dans les annexes peuvent toutefois alimenter les outils de renseignement sur la menace, en particulier les références à TrickBot, Conti, LockBit, LummaC2, CARR, Z-Pentest et WhisperGate.
Ce que les entreprises doivent faire immédiatement
Les nouvelles inscriptions étant applicables depuis le 13 juillet 2026, les entreprises concernées devraient engager sans délai plusieurs actions.
Mettre à jour les outils de filtrage
Les huit personnes et quatre entités doivent être intégrées aux solutions de filtrage des sanctions.
Le contrôle doit prendre en compte :
- les différentes orthographes ;
- les translittérations depuis l’alphabet cyrillique ;
- les alias ;
- les adresses ;
- les numéros de passeport ou d’immatriculation ;
- les entités et personnes associées.
Recontrôler les relations existantes
Le filtrage ne doit pas uniquement intervenir à l’entrée en relation.
Les clients, fournisseurs, prestataires, bénéficiaires et intermédiaires déjà enregistrés doivent être à nouveau contrôlés après une mise à jour des listes.
Une entreprise peut en effet avoir commencé une relation avant l’inscription d’une personne ou d’une entité.
Contrôler les opérations en cours
Les entreprises doivent identifier les contrats, paiements, abonnements, licences, avoirs et prestations en cours susceptibles d’impliquer une nouvelle personne ou entité sanctionnée.
Une correspondance potentielle doit être analysée avant l’exécution de l’opération.
Organiser une procédure d’escalade
Une alerte ne doit pas être traitée de manière improvisée.
La procédure devrait préciser :
- qui analyse la correspondance ;
- qui peut suspendre la transaction ;
- quels documents doivent être collectés ;
- quand saisir la direction juridique ou la conformité ;
- dans quels cas informer l’autorité compétente ;
- comment documenter la décision finale.
Que faire lorsqu’un nom correspond à la liste ?
Une correspondance automatique ne signifie pas nécessairement que la personne contrôlée est celle qui figure sur la liste.
Il faut distinguer :
- le faux positif, lorsque le nom correspond mais que les autres informations diffèrent ;
- la correspondance probable, lorsque plusieurs éléments concordent ;
- la correspondance confirmée, lorsque l’identité ou le lien avec l’entité sanctionnée est établi.
L’entreprise doit comparer les éléments disponibles :
- date et lieu de naissance ;
- nationalité ;
- adresse ;
- alias ;
- numéro de passeport ;
- numéro d’immatriculation ;
- dirigeants ;
- personnes et sociétés associées.
En présence d’une correspondance sérieuse, l’opération doit être suspendue le temps de l’analyse. Une décision motivée doit ensuite être conservée, qu’il s’agisse d’un gel ou d’un classement comme faux positif.
Checklist de conformité pour les entreprises
À la suite des textes du 13 juillet 2026, les entreprises devraient vérifier les points suivants :
- Les listes de sanctions utilisées sont-elles à jour ?
- Les huit personnes et quatre entités ont-elles été intégrées au filtrage ?
- Les alias et translittérations sont-ils contrôlés ?
- Les clients et fournisseurs existants ont-ils été recontrôlés ?
- Les bénéficiaires effectifs et personnes de contrôle sont-ils identifiés ?
- Les paiements et contrats en cours ont-ils été examinés ?
- Les intermédiaires et destinataires réels des opérations sont-ils connus ?
- Une procédure permet-elle de suspendre rapidement une transaction ?
- Les équipes savent-elles distinguer une alerte d’une correspondance confirmée ?
- L’autorité compétente peut-elle être informée rapidement en cas de gel ?
- Les décisions de classement ou de blocage sont-elles documentées ?
- Les contrats prévoient-ils une clause permettant de suspendre ou résilier la relation en cas de sanctions ?
- Les équipes achats, finance, commerce et juridique sont-elles formées ?
- Les indicateurs de menace cités dans les textes ont-ils été transmis aux équipes cyber ?
- Les procédures de contrôle couvrent-elles les cryptoactifs et les prestations numériques ?
Conclusion : une actualité cyber qui devient immédiatement un sujet de conformité économique
La décision (PESC) 2026/1713 et le règlement d’exécution (UE) 2026/1714 renforcent la réponse européenne face aux acteurs considérés comme responsables ou facilitateurs de cyberattaques importantes.
Pour les entreprises, la principale conséquence est immédiate : les huit personnes et quatre entités ajoutées aux listes ne doivent plus recevoir, directement ou indirectement, de fonds ou de ressources économiques.
Les organisations doivent donc mettre à jour leurs outils, recontrôler leurs relations existantes et examiner leurs opérations en cours.
Cette actualité montre également que la cybersécurité et la conformité aux sanctions sont désormais étroitement liées. Un hébergeur, un prestataire technique, une société-écran ou un fournisseur d’infrastructure peut être sanctionné en raison du soutien apporté à des opérations malveillantes.
L’enjeu ne consiste plus seulement à protéger son système d’information. Il faut aussi s’assurer que les ressources de l’entreprise ne contribuent pas, même indirectement, à l’activité d’un acteur sanctionné.
KAiSA accompagne les entreprises dans l’identification des évolutions réglementaires, leur traduction en obligations opérationnelles et la mise en place de contrôles documentés et traçables.