← Retour au blog
Briefing Sécurité
🔴 Critique
Le secteur de la santé sous attaque : Le ransomware MedusaLocker frappe 23 hôpitaux
Synthèse
Un groupe de ransomware cible 23 hôpitaux du Midwest lors d'une attaque coordonnée perturbant les soins aux patients. Une vulnérabilité critique découverte dans le portail web Epic EHR affecte plus de 250 établissements de santé. Une action coercitive HIPAA annoncée contre un prestataire de santé pour des systèmes non corrigés ayant mené à une fuite de données.
⚡ En résumé : Les établissements de santé doivent immédiatement vérifier l'état des correctifs VPN et la sécurité d'Epic MyChart.
Pourquoi c'est important
Une campagne coordonnée du ransomware MedusaLocker a frappé 23 hôpitaux dans six États du Midwest, chiffrant les dossiers de santé électroniques et les systèmes d'imagerie médicale. Plusieurs hôpitaux ont dû détourner des ambulances et annuler des interventions chirurgicales. L'attaque a exploité des appliances VPN non corrigées et s'est propagée via Active Directory.
Scénario du pire
| Impact |
Description |
| Sécurité des patients |
Retards de traitement, erreurs médicamenteuses, ambulances détournées |
| Fuite de données |
DMS de millions de patients exposées |
| Financier |
Coûts de récupération de 15 M$+ par hôpital |
| Réglementaire |
Violations HIPAA, enquête HHS |
Vies de patients en danger : Lorsque les systèmes de DSE tombent en panne, le personnel soignant perd l'accès aux listes de médicaments, aux allergies et aux antécédents de traitement. Les erreurs peuvent être fatales.
Comment vous protéger — Actions à mener
- Vérifier que toutes les appliances VPN sont corrigées (Fortinet, Pulse, Cisco)
- Mettre en place la segmentation réseau pour les systèmes cliniques
- Activer les sauvegardes hors ligne des données DSE critiques
- Tester les procédures de continuité d'activité en cas d'indisponibilité
- Réviser le plan de réponse aux incidents ransomware
Pourquoi c'est important
Un contournement d'authentification critique dans le portail patient Epic MyChart permet aux attaquants d'accéder aux dossiers médicaux de n'importe quel patient en utilisant uniquement leur date de naissance et un identifiant prévisible. On estime que plus de 250 établissements de santé utilisent des versions vulnérables.
Scénario du pire
📋
Accès aux dossiers médicaux
Accès non autorisé aux antécédents médicaux des patients.
🆔
Vol d'identité
Vol de DMS pour fraude à l'identité et escroqueries aux assurances.
💊
Modification des données
Modification des listes de médicaments et allergies — potentiellement mortel.
📜
Impact de conformité
Exigences de notification de violation HIPAA déclenchées.
Comment vous protéger — Actions à mener
- Appliquer le correctif d'urgence Epic (EpicCare Link 2026.1.3)
- Activer l'authentification multifacteur pour MyChart
- Examiner les journaux d'accès MyChart à la recherche de comportements suspects
- Mettre en place un CAPTCHA pour les tentatives de connexion
- Notifier les patients en cas de détection d'accès non autorisé
Pourquoi c'est important
La CISA et la FDA ont publié un avis conjoint sur des vulnérabilités dans les pompes à perfusion Baxter et B. Braun permettant à des attaquants distants de modifier les paramètres de dosage. Les établissements de santé doivent concilier l'urgence des correctifs avec la continuité des soins cliniques.
Comment vous protéger — Actions à mener
- Inventorier toutes les pompes à perfusion connectées
- Séparer les réseaux de dispositifs médicaux des réseaux informatiques
- Appliquer les correctifs du fabricant pendant les fenêtres de maintenance
- Mettre en place la détection d'intrusion sans fil pour les VLAN cliniques
- Activer les alertes de limite de dosage des pompes comme garde-fou de sécurité
Pourquoi c'est important
Le HHS OCR a annoncé un accord de 4,8 M$ avec un système de santé régional après qu'une attaque par ransomware a exploité des systèmes non corrigés depuis plus de 18 mois. Cette action coercitive signale un renforcement de la surveillance réglementaire de la gestion des correctifs dans le secteur de la santé.
Comment vous protéger — Actions à mener
- Documenter les procédures de gestion des correctifs
- Mettre en place un SLA de 30 jours pour les correctifs de vulnérabilités critiques
- Réaliser une évaluation des risques pour les systèmes obsolètes
- Conserver les preuves d'application des correctifs pour les audits de conformité
- Vérifier la couverture de la cyberassurance pour les amendes réglementaires
Pourquoi c'est important
Les campagnes d'hameçonnage ciblant le personnel de santé ont augmenté de 180 % en janvier, exploitant les craintes liées aux variants du COVID-19, les inscriptions aux avantages sociaux et de fausses demandes de support informatique. Les identifiants compromis mènent souvent à un accès aux DSE et au vol de données.
Comment vous protéger — Actions à mener
- Déployer l'authentification multifacteur résistante à l'hameçonnage (FIDO2/WebAuthn)
- Mener des simulations d'hameçonnage spécifiques au secteur de la santé
- Mettre en place un filtrage des e-mails avec les IOC du secteur de la santé
- Activer les alertes de connexion suspecte pour l'accès aux DSE
- Former le personnel aux techniques d'hameçonnage actuelles ciblant la santé
Votre liste d'actions pour cette semaine
Critique — À faire aujourd'hui
- Vérifier l'état des correctifs des appliances VPN (Fortinet, Pulse, Cisco)
- Appliquer le correctif de sécurité Epic MyChart
- Évaluer la préparation face aux attaques par ransomware
- Inventorier et segmenter les dispositifs médicaux
Élevé — À faire cette semaine
- Vérifier la conformité à la règle de sécurité HIPAA
- Documenter les procédures de gestion des correctifs
- Réaliser une évaluation des risques pour les systèmes obsolètes
- Tester les procédures de sauvegarde et de récupération des DSE
Moyen — En continu
- Mettre en place l'authentification multifacteur résistante à l'hameçonnage
- Réviser les accords avec les partenaires commerciaux
- Mettre à jour le plan de réponse aux incidents pour les fuites de données de santé