Phylapp
Sécurité des équipements médicaux connectés

L’évolution des menaces ciblant les infrastructures de santé

Les infrastructures de santé font face à des acteurs étatiques, des ransomwares spécialisés et des attaques supply chain sophistiquées. L'approche assume breach, la segmentation et la détection comportementale structurent la réponse défensive.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 14 lectures

Points clés

  • Les infrastructures de santé sont désormais ciblées par des acteurs étatiques, des groupes ransomware professionnalisés et des hacktivistes — une diversification des menaces reflétant la valeur stratégique des données de santé et la criticité des soins.
  • Les ransomwares spécialisés santé (Ryuk, Conti, LockBit) intègrent des modules reconnaissant les environnements hospitaliers et adaptant leur comportement pour maximiser la pression de paiement.
  • Les attaques sur la chaîne d'approvisionnement médicale (logiciels de gestion, dispositifs, prestataires) constituent le vecteur émergent le plus difficile à défendre.
  • L'interconnexion croissante des SI de santé (DMP, EHDS, télémedecine) élargit mécaniquement la surface d'attaque et les vecteurs d'entrée exploitables.
Cas US Change Healthcare (2024) — L'attaque ransomware ALPHV/BlackCat contre Change Healthcare, filiale d'UnitedHealth Group, a paralysé le traitement de 40% des prescriptions médicales américaines pendant plusieurs semaines. Impact estimé : 872 M$ de pertes directes, 22 M$ de rançon payée. Cette attaque illustre la vulnérabilité systémique des infrastructures de santé interconnectées.

La professionnalisation des acteurs menaçant la santé

Le paysage des menaces ciblant les établissements de santé a profondément évolué. Jusqu'en 2016, les compromissions hospitalières étaient souvent opportunistes — campagnes de phishing génériques, ransomwares non ciblés. Depuis, des groupes spécialisés ont émergé, dotés d'une connaissance approfondie des environnements hospitaliers : architectures réseau typiques, systèmes cliniques courants, points de pression maximale (urgences, réanimation, radiologie). Des groupes comme Wizard Spider (opérateur de Ryuk/Conti), LockBit, et plus récemment ALPHV/BlackCat ont développé des playbooks d'attaque spécifiques au secteur santé, incluant des négociateurs dédiés, des temps d'opération calibrés sur les périodes de garde réduite, et des cibles sélectionnées pour leur dépendance aux systèmes numériques.

Les acteurs étatiques et le renseignement médical

Les données de santé présentent une valeur de renseignement qui justifie l'intérêt des acteurs étatiques. Les dossiers médicaux de personnels de sécurité, de dirigeants, ou de responsables politiques constituent des instruments de pression potentiels. Les propriétés intellectuelles hospitalières — protocoles thérapeutiques innovants, données d'essais cliniques — représentent des cibles d'espionnage industriel. Les cyberattaques étatiques sur des infrastructures de santé visent également la déstabilisation : mettre hors service des hôpitaux lors d'une crise géopolitique envoie un signal fort sur la vulnérabilité des sociétés adverses. Ces scénarios, documentés par les agences de renseignement occidentales (CISA, ANSSI, NCSC), imposent aux grands établissements une défense calibrée sur des acteurs à moyens élevés.

Les ransomwares santé : adaptation et spécialisation

Les ransomwares ciblant les établissements de santé ont développé des comportements spécifiques. Ils évitent de chiffrer certains équipements de survie (certaines variantes Ryuk intégraient des listes blanches d'équipements biomédicaux critiques) pour maximiser la pression de paiement sans déclencher de réponse internationale disproportionnée. Ils exfiltrent systématiquement les données avant chiffrement (double extorsion) pour renforcer la pression. Ils chiffrent en priorité les sauvegardes pour allonger le délai de récupération. Ils maintiennent un accès persistant pendant des semaines avant déclenchement pour s'assurer de la profondeur de la compromission. Ces comportements sophistiqués requièrent des capacités de détection et de réponse que peu d'établissements ont développées.

Cas EU SNCF / Renault (2017) — Les deux organisations françaises ont subi WannaCry simultanément avec le NHS, illustrant que les attaques santé ne sont pas isolées mais s'inscrivent dans des campagnes globales exploitant des vulnérabilités systémiques. Les établissements de santé doivent anticiper qu'une vulnérabilité critique non patchée peut être exploitée à grande échelle en quelques heures.

L'évolution vers les attaques sur la chaîne d'approvisionnement

Les attaques supply chain contre le secteur santé représentent le vecteur le plus difficile à défendre. Elles ciblent les logiciels de gestion hospitalière (HIS/EPM), les solutions d'imagerie médicale, les équipements de diagnostic connectés, ou les prestataires de services numériques. Une mise à jour compromise d'un logiciel de planification chirurgicale peut affecter simultanément des centaines d'établissements utilisant la même solution. La détection de ces attaques avant déploiement requiert une vérification de l'intégrité des mises à jour (signature numérique, hash), une surveillance des comportements anormaux post-déploiement, et une veille active sur les alertes de sécurité des éditeurs.

Adapter la posture défensive à l'évolution des menaces

Face à cette diversification des menaces, la posture défensive des établissements de santé doit évoluer. Le modèle "protéger le périmètre" est dépassé ; il faut adopter une approche assume breach — supposer qu'un attaquant est déjà présent et dimensionner la détection et la réponse en conséquence. Cette approche implique une segmentation réseau rigoureuse pour limiter la propagation, une capacité de détection comportementale pour identifier les activités anormales des attaquants déjà infiltrés, et des exercices réguliers de simulation d'attaque (purple teaming) pour tester et améliorer continuellement la résilience de l'organisation.

Cas Asie SingHealth (Singapour, 2018) — L'APT ciblant SingHealth — attribué à un groupe étatique — a maintenu un accès persistant pendant plusieurs mois avant exfiltration des données de 1,5 million de patients. Ce cas illustre la capacité des acteurs étatiques à opérer sous le seuil de détection des établissements de santé pendant des durées prolongées.

Articles similaires

Les dispositifs médicaux connectés introduisent de nouveaux risques cliniques et numériques

Les dispositifs médicaux connectés (IoMT) combinent risques numériques et cliniques : systèmes obsolètes, cycles de vie longs, contraintes de patch réglementaires et risques de propagation OT/IT.

24 mai 2026 7 min

Pourquoi la sécurité des équipements médicaux dépasse le cadre informatique

La sécurité des équipements médicaux dépasse le cadre IT : elle implique le biomédical, les soins, la réglementation MDR. La collaboration interdisciplinaire et la décision collégiale de connexion sont essentielles.

24 mai 2026 7 min

Les erreurs fréquentes dans l’intégration des dispositifs connectés en santé

Les erreurs dans l'intégration des dispositifs médicaux connectés sont récurrentes : réseau non isolé, identifiants par défaut, absence d'inventaire, accès de maintenance non contrôlés.

24 mai 2026 7 min
WhatsApp