← Retour au Blog
Briefing Sécurité 🔴 Incident Majeur

Briefing Sécurité 2 Mars : Vague de Ransomware Cible la Santé Avant NIS2

⏱ 8 min de lecture
INCIDENT EN COURS

Synthèse Exécutive

Le CHU de Toulouse est paralysé depuis dimanche soir par une attaque ransomware de grande ampleur. L'incident fait partie d'une campagne coordonnée visant le secteur santé français : 12 établissements (CHU, cliniques privées, EHPAD) ont été touchés en 48 heures. L'ANSSI a activé sa cellule de crise et décrété l'état d'urgence cyber santé. Cette offensive intervient 60 jours avant l'entrée en vigueur de NIS2, qui imposera des obligations de cybersécurité renforcées à plus de 3 000 établissements de santé.

⚡ Conclusion : Tous les établissements de santé doivent activer immédiatement leur plan de continuité d'activité (PCA) et isoler les systèmes critiques. L'ANSSI recommande le passage en mode "défense renforcée".

🏥
Incident Majeur

CHU de Toulouse : 72 Heures de Paralysie Totale

Chronologie de l'Attaque

Dimanche 1er mars à 22h15, le CHU de Toulouse (2 700 lits, 3e CHU de France) a détecté une compromission massive de ses systèmes informatiques. En moins de 20 minutes, le ransomware s'est propagé à l'ensemble du système d'information hospitalier (SIH), chiffrant les serveurs de dossiers patients, d'imagerie médicale, de pharmacie et de gestion administrative.

🚑

Urgences Saturées

Retour au mode papier intégral. Délais d'attente multipliés par 3. Transferts de patients vers Bordeaux et Montpellier

🔬

Bloc Opératoire Paralysé

28 opérations chirurgicales annulées lundi. Seules les urgences vitales maintenues avec protocoles manuels

💊

Pharmacie Dégradée

Distribution des médicaments ralentie, risque d'erreurs thérapeutiques accru sans accès aux dossiers numériques

📊

Imagerie Inaccessible

PACS (système d'archivage d'images) chiffré. Impossibilité d'accéder aux scanners, IRM et radiographies antérieures

Note de Rançon : Les attaquants réclament 8,5 millions d'euros en Bitcoin et menacent de publier 450 Go de données patients (dossiers médicaux, identités, diagnostics) sur le dark web si la rançon n'est pas payée sous 7 jours. L'ANSSI et le ministère de la Santé déconseillent fermement tout paiement.

Réponse Immédiate CHU Toulouse

  • Activation du Plan Blanc Élargi (mobilisation maximale des ressources)
  • Isolement complet du réseau informatique (déconnexion internet et inter-sites)
  • Bascule sur protocoles papier pour l'ensemble des services
  • Réquisition de personnels administratifs pour saisie manuelle
  • Notification à l'ARS, l'ANSSI et la CNIL dans les délais réglementaires
  • Refus de paiement de la rançon (doctrine gouvernementale)
  • Restauration progressive à partir des sauvegardes hors ligne (ETA: 7-10 jours)
🎯
Campagne Coordonnée

12 Établissements de Santé Touchés en 48 Heures

Une Offensive Planifiée Contre le Secteur Santé

L'attaque du CHU de Toulouse n'est pas isolée. L'ANSSI confirme qu'une campagne coordonnée cible simultanément le secteur santé français. Les établissements touchés partagent tous le même vecteur d'infection : exploitation d'une vulnérabilité dans le logiciel de gestion hospitalière DxCare (Medasys), déployé dans plus de 200 établissements français.

Établissement Type Date Infection Statut
CHU Toulouse Hôpital public 1er mars 22h15 Paralysie totale — Restauration en cours
CH Albi Hôpital public 1er mars 23h40 Systèmes isolés — Mode dégradé
Clinique Pasteur (Toulouse) Clinique privée 2 mars 01h10 Restauration sauvegardes réussie
CH Auch Hôpital public 2 mars 03h25 Infection contenue — Services maintenus
EHPAD Les Tilleuls (Montauban) EHPAD privé 2 mars 05h00 Paralysie partielle — Aide ARS
CH Rodez Hôpital public 2 mars 08h30 Mode dégradé — PCA activé
+ 6 établissements Public/Privé 1-2 mars Incidents confirmés non publics
Vulnérabilité Zero-Day : L'ANSSI a identifié une vulnérabilité critique non publiée (CVE en cours d'attribution) dans le module d'authentification de DxCare v14.2-v15.1. L'éditeur Medasys a publié un correctif d'urgence lundi matin. Tous les utilisateurs de DxCare doivent appliquer le patch immédiatement.
🦠
Attribution

Ransomware "BlackMedic" : Nouveau Groupe Spécialisé Santé

Profil du Groupe d'Attaquants

L'ANSSI attribue cette campagne à BlackMedic, un nouveau groupe de ransomware-as-a-service (RaaS) apparu en janvier 2026 et spécialisé dans le ciblage des infrastructures de santé européennes. Contrairement aux groupes généralistes, BlackMedic démontre une connaissance approfondie des systèmes d'information hospitaliers et exploite spécifiquement les vulnérabilités des logiciels métier de santé.

💰

Modèle Économique Agressif

Rançons 3x supérieures à la moyenne, ciblant les budgets hospitaliers publics. Délais de paiement courts (7 jours)

🔓

Double Extorsion

Chiffrement + menace de publication de données patients sensibles sur des forums de fuite

⚙️

Expertise Métier

Ciblage précis des systèmes critiques : SIH, PACS, pharmacie, laboratoires, avant urgences

🌍

Campagne Européenne

Victimes confirmées en Allemagne (2), Belgique (1), Espagne (3) depuis janvier 2026

Tactiques Spécifiques : BlackMedic exploite les faiblesses structurelles du secteur santé : budgets IT limités, systèmes legacy non patchables, personnel médical peu sensibilisé, interconnexion avec des fournisseurs tiers (laboratoires, imagerie, télémédecine).
🛡️
Directive ANSSI

État d'Urgence Cyber Santé : Mesures Obligatoires

Directive ANSSI N°2026-03-SANTE

L'ANSSI a publié lundi matin une directive de sécurité urgente à destination de tous les établissements de santé français. Ces mesures sont obligatoires pour les OIV santé et fortement recommandées pour l'ensemble du secteur.

Mesures Immédiates (24 Heures)

  • CRITIQUE : Appliquer le correctif de sécurité DxCare immédiatement (si applicable)
  • CRITIQUE : Vérifier l'intégrité des sauvegardes hors ligne et tester la restauration
  • CRITIQUE : Isoler les systèmes critiques du réseau général (segmentation d'urgence)
  • Activer la surveillance renforcée 24/7 des systèmes d'information hospitaliers
  • Désactiver les accès VPN non essentiels et renforcer l'authentification (MFA obligatoire)
  • Auditer les comptes à privilèges (administrateurs SIH, AD, systèmes métier)

Mesures Cette Semaine

  • Tester le plan blanc élargi (PCA) en mode "cyberattaque"
  • Former le personnel aux protocoles papier de secours
  • Inventorier tous les actifs IT/OT critiques (SIH, imagerie, labo, pharma)
  • Déployer une solution EDR sur les postes administrateurs et médicaux critiques
  • Réviser les contrats avec les éditeurs pour garantir les délais de correctifs
  • Coordonner avec l'ARS régionale et le GCS e-santé local
Accompagnement ANSSI : L'ANSSI déploie des équipes d'intervention rapide (CSIRT Santé) pour accompagner gratuitement les établissements dans la mise en œuvre de ces mesures. Contact : cert-fr-sante@ssi.gouv.fr
📋
NIS2 Santé

NIS2 : 3 000 Établissements de Santé Concernés

Extension du Périmètre Réglementaire

La directive NIS2 classe les établissements de santé comme entités essentielles, avec des obligations de cybersécurité drastiquement renforcées. En France, environ 3 000 établissements seront concernés :

  • Tous les CHU et CHR (30 établissements)
  • Tous les centres hospitaliers publics >300 lits (~150)
  • Toutes les cliniques privées >250 salariés OU CA >50M€ (~600)
  • Les GHT (groupements hospitaliers de territoire) — 135 GHT
  • Les établissements MCO (médecine-chirurgie-obstétrique) référencés
  • Les EHPAD de plus de 100 résidents (~2 000)
  • Les laboratoires d'analyses médicales de biologie de référence
  • Les fabricants de dispositifs médicaux critiques
Sanctions NIS2 Santé : Les établissements non conformes s'exposent à des sanctions administratives pouvant atteindre 10M€ ou 2% du chiffre d'affaires, avec responsabilité personnelle des dirigeants (directeurs généraux, présidents de CME).

Exigences Spécifiques au Secteur Santé

Au-delà des 21 mesures générales de l'article 21 NIS2, l'ANSSI impose des exigences supplémentaires pour le secteur santé :

  • Segmentation IT/OT : Isolation obligatoire des dispositifs médicaux connectés (DMC)
  • Disponibilité 99,9% : Plan de continuité garantissant la continuité des soins
  • Sauvegardes hors ligne : Sauvegardes air-gapped des dossiers patients
  • Notification 24h : Notification ANSSI + ARS sous 24h pour tout incident de sécurité
  • Exercices trimestriels : Simulation de cyberattaque tous les 3 mois (vs annuel général)
  • Audit fournisseurs : Certification cybersécurité obligatoire pour éditeurs SIH

✅ Checklist de Protection Ransomware — Secteur Santé

Urgent (24 Heures)
  • CRITIQUE : Appliquer le correctif DxCare si vous utilisez ce logiciel
  • CRITIQUE : Tester la restauration des sauvegardes hors ligne
  • CRITIQUE : Activer MFA sur tous les accès administrateurs SIH
  • Isoler les systèmes critiques (PACS, pharmacie, labo) du réseau général
  • Auditer les comptes à privilèges et révoquer les accès inactifs
  • Vérifier les journaux d'événements pour signes de compromission
Cette Semaine
  • Tester le plan blanc élargi en mode "cyberattaque"
  • Former le personnel médical aux protocoles papier de secours
  • Déployer une solution EDR sur les postes critiques
  • Renforcer la segmentation réseau IT/dispositifs médicaux
  • Mettre à jour tous les logiciels métier (SIH, imagerie, labo)
  • Coordonner avec l'ARS et le GCS e-santé régional
  • Réviser les procédures de notification incident (ANSSI + ARS + CNIL)
Ce Mois (Mars 2026)
  • Conduire une analyse de risques selon le guide ANSSI Santé
  • Cartographier tous les actifs critiques (IT + dispositifs médicaux)
  • Auditer la sécurité des fournisseurs tiers (éditeurs, prestataires)
  • Établir un plan de conformité NIS2 (deadline : 60 jours)
  • Former tous les collaborateurs à la cyberhygiène de base
  • Réaliser un exercice de simulation de ransomware

Évaluez la résilience de votre établissement de santé face aux ransomwares

🗡️ Audit de Sécurité Gratuit →