Le fabricant de dispositifs médicaux Medtronic a confirmed a cybersecurity breach affirmé qu’un groupe d’acteurs malveillants avait volé des millions d’enregistrements et de données internes à l’entreprise.
L’entreprise a révélé qu’une partie non autorisée avait accédé à des données dans certaines parties de son environnement informatique d’entreprise. L’incident a été identifié et contenu, Medtronic lançant une enquête interne et engageant des spécialistes externes en cybersécurité pour évaluer l’ampleur et l’impact.
La divulgation de la violation a suivi des allégations du groupe d’extorsion ShinyHunters, qui avait inscrit Medtronic sur son site de fuite à la mi-avril. Le groupe a affirmé avoir exfiltré plus de 9 millions de dossiers, y compris des informations personnelles identifiables, ainsi que de grands volumes de dossiers internes à l’entreprise.
Selon les assaillants, les données volées pourraient être rendues publiques si les demandes de rançon n’étaient pas respectées dans un délai imparti. Cependant, Medtronic n’a pas confirmé le volume ni la nature exacte des données mentionnées dans ces affirmations, et la liste a depuis été retirée de la plateforme de fuite du groupe.
Dans sa déclaration officielle, Medtronic a souligné que la faille se limitait aux systèmes informatiques de l’entreprise et n’affectait pas ses dispositifs médicaux, ses opérations de fabrication ou son infrastructure de soins aux patients. L’entreprise a également indiqué que les systèmes hospitaliers liés à ses produits restent gérés de manière indépendante et n’ont pas été affectés par l’incident.
Cette segmentation entre les réseaux d’entreprise et opérationnels semble avoir joué un rôle clé dans la limitation de l’impact potentiel. En isolant les systèmes critiques, l’entreprise a réduit le risque que les attaquants se déplacent latéralement vers des environnements liés aux dispositifs médicaux ou à la prestation de soins de santé.
Medtronic n’a pas divulgué comment les attaquants ont initialement accédé, et aucun détail technique sur la méthode d’intrusion n’a été confirmé publiquement. L’enquête est en cours, l’entreprise s’efforce de déterminer si des données personnelles sensibles ont été consultées et si les personnes concernées doivent être informées.
L’incident reflète une tendance plus large dans les opérations de cybercriminalité, où les attaquants privilégient l’exfiltration et l’extorsion des données plutôt que la perturbation du système. Dans de tels cas, la menace de publier des données volées sert de levier pour faire pression sur les organisations afin de négocier, même lorsque les opérations principales restent intactes.
Au fil de l’enquête, l’affaire met en lumière les risques persistants auxquels sont confrontés les grands prestataires de soins de santé et de technologie, en particulier ceux qui gèrent de vastes environnements informatiques d’entreprise aux côtés de systèmes opérationnels critiques.