📰 Source : BBC News, article publié le 22 juin 2026, rédigé par Joe Tidy (correspondant cybersécurité, World Service, Roumanie). L’article revient en détail sur la cyberattaque ayant frappé le système hospitalier roumain en février 2024.

🎯 Nature de l’attaque Des cybercriminels ont compromis RSC, une société de logiciels basée à Bucarest, pour infiltrer Hippocrates, un système de gestion médicale largement utilisé dans les hôpitaux roumains (admissions, pharmacie, résultats de laboratoire, paie). Le ransomware BackMyData a été déployé via ce vecteur de supply chain, chiffrant les fichiers des établissements infectés et renommant l’ensemble des données.

📊 Étendue et impact

  • 26 hôpitaux confirmés infectés par BackMyData
  • Plus de 100 hôpitaux déconnectés d’internet par décision du DNSC (Directoratul Național de Securitate Cibernetică)
  • Rançon demandée : 160 000 € en bitcoin — refus de paiement décidé au niveau national
  • Retour au papier et aux outils hors ligne (Excel) pour le personnel médical
  • Retour à la normale en 5 jours pour la majorité des établissements
  • Aucun décès ni préjudice grave signalé
  • Perte partielle et définitive de certaines données

🏛️ Réponse institutionnelle Le directeur du DNSC, Dan Cimpean, a ordonné la déconnexion immédiate de tous les hôpitaux. La communication publique a été gérée par Mihai Rotariu (responsable communication du DNSC). Les hôpitaux non infectés ont été remis en ligne dès le lendemain avec des protections renforcées. La stratégie de communication médiatique a été identifiée comme un facteur clé de succès.

🔍 Attribution Aucun groupe n’est nommément désigné dans l’article. Les autorités policières n’ont pas commenté l’enquête. Il est mentionné qu’un gang ransomware lié à BackMyData a vu son site démantelé lors d’une opération internationale, et que quatre ressortissants russes ont été arrêtés hors de Russie dans ce cadre.

🌍 Contexte international L’article cite d’autres incidents majeurs dans le secteur de la santé : attaque sur un prestataire de tests sanguins du NHS britannique (premier décès officiellement lié à une cyberattaque), Change Healthcare aux États-Unis (rançon de 22 M$ payée), et Ascension (autre prestataire américain). Le FBI qualifie la santé de secteur d’infrastructure critique le plus ciblé.

📌 Type d’article : Post-mortem journalistique à visée internationale, documentant la gestion de crise d’une cyberattaque majeure sur des infrastructures de santé, à des fins de retour d’expérience pour les planificateurs de réponse aux incidents.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1489 — Service Stop (Impact)

Malware / Outils

  • BackMyData (ransomware)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ bbc.com — source non référencée (0pts)
  • ✅ 9981 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bbc.com/news/articles/c4gyk756mzlo