Selon Health-ISAC, ce rapport s’appuie sur des données issues de plusieurs initiatives pour illustrer les impacts ressentis par la communauté face aux principales menaces touchant le secteur de la santé en 2025.

Le document agrège des informations de la base Health-ISAC Ransomware Events Database, des évaluations de Physical Security et de l’initiative Targeted Alerts, qui a diffusé plus de 1 200 avertissements au secteur en 2025. Il met en avant des enseignements fondés sur les données et sur le partage d’indicateurs via le programme Indicator Sharing. 🏥📊

En 2025, le ransomware reste la menace dominante pour le secteur de la santé, avec 455 incidents recensés. Les groupes Qilin, INC Ransom et SAFEPAY ont été particulièrement actifs, tandis que de nouveaux acteurs comme Sinobi et WorldLeaks ont émergé.

La chaîne d’approvisionnement est devenue un vecteur majeur d’attaque. La compromission de fournisseurs IT et de services partagés a provoqué des effets en cascade, exposant simultanément de nombreuses organisations de santé.

Les techniques d’ingénierie sociale ont fortement évolué, avec des campagnes ClickFix, FileFix et phishing par QR code (quishing) permettant de contourner les protections traditionnelles.

En parallèle, le secteur fait face à :

  • une hausse des activités hacktivistes liées aux tensions géopolitiques,
  • l’utilisation du cybercrime par des acteurs étatiques (ex. faux travailleurs IT nord-coréens),
  • des vulnérabilités persistantes dans les dispositifs médicaux et systèmes hérités,
  • une prise de conscience accrue de la nécessité de résilience opérationnelle, au-delà de la seule prévention.

🧠 TTPs observées

🎯 Accès initial

  • Spear-phishing ciblé
  • Ingénierie sociale avancée (ClickFix, FileFix)
  • Phishing via QR codes
  • Exploitation de services exposés (RDP, VPN, appliances périmétriques)
  • Compromission de fournisseurs tiers (supply chain)

🧬 Exécution et persistance

  • Exécution de commandes via PowerShell ou shell
  • Abus d’outils légitimes d’administration à distance
  • Déploiement de loaders et RAT persistants

🕵️ Mouvement latéral et exfiltration

  • Vol d’identifiants
  • Accès aux EHR, PACS/DICOM et systèmes critiques
  • Exfiltration massive de données (double extorsion)

🔐 Impact

  • Chiffrement ransomware
  • Extorsion sans chiffrement (data leak)
  • Déni de service et perturbation des soins

🧪 Familles de malwares fréquemment observées

  • XWorm
  • NetSupportRAT
  • njRAT
  • SocGholish
  • AsyncRAT

📌 IoCs et vecteurs récurrents (niveau stratégique)

Le rapport est stratégique et ne fournit pas d’IoCs techniques exhaustifs, mais met en évidence des patterns de compromission :

  • Services RDP exposés
  • Enregistrements DNS orphelins (dangling DNS)
  • Appliances Citrix NetScaler vulnérables
  • Microsoft SharePoint on-prem exposé (ToolShell)
  • Dispositifs médicaux avec identifiants ou IP codés en dur
  • Infrastructures MFT partagées
  • Pages de phishing imitant mises à jour, CAPTCHA ou portails internes
  • QR codes malveillants dans des environnements cliniques

🔮 Tendances et perspectives 2026

  • Accélération des attaques sur la chaîne d’approvisionnement
  • Ransomware toujours dominant, avec davantage d’extorsion sans chiffrement
  • Risques émergents liés à l’IA mal gouvernée dans les environnements cliniques
  • Passage d’une logique de cybersécurité à une logique de résilience métier
  • Importance croissante du partage de renseignement sectoriel

🛡️ Recommandations clés

  • Renforcer la gestion des risques fournisseurs
  • Segmenter strictement les réseaux cliniques et biomédicaux
  • Éliminer les expositions RDP et DNS inutiles
  • Déployer des protections anti-phishing centrées sur l’utilisateur
  • Tester régulièrement les plans de continuité et de reprise
  • Participer activement aux communautés de partage de renseignement (ISAC)

Les principales menaces mises en lumière incluent la montée des attaques pilotées par l’IA 🤖 et des vulnérabilités significatives de la chaîne d’approvisionnement 📦, avec un focus sur les impacts concrets ressentis par les organisations de santé à l’échelle mondiale. Les initiatives de partage ciblé d’alertes 🚨 et les évaluations de sécurité contribuent à documenter la portée des menaces et les tendances observées.

Type d’article et objectif: analyse de menace visant à présenter des insights basés sur des données et à illustrer les impacts communautaires dans le secteur santé en 2025.

🔗 Source originale : https://health-isac.org/annual-threat-report-health-sector-2026/

🖴 Archive : https://web.archive.org/web/20260131111252/https://health-isac.org/annual-threat-report-health-sector-2026/