Étude de cas : Un hôpital arrête une cyberattaque grâce à la segmentation OT

Un hôpital de soins intensifs a été la cible d’une cyberattaque. Les attaquants ont compromis le réseau administratif, mais ont échoué face à la segmentation de la technologie médicale. Le fonctionnement de l’hôpital a continué sans interruption.

L’essentiel

Un hôpital de soins intensifs a été la cible d’une cyberattaque en janvier 2025. Les attaquants ont compromis le réseau administratif, mais ont échoué face à la segmentation de la technologie médicale. Le fonctionnement de l’hôpital a continué sans interruption – un succès qui repose sur deux années de préparation.

Contexte

L’hôpital est un établissement de soins intensifs avec 1 100 lits et environ 4 500 employés. En tant qu’opérateur d’infrastructure critique (KRITIS) dans le secteur de la santé, il est soumis à une surveillance réglementaire particulière. L’infrastructure informatique comprend environ 2 500 points d’accès, 200 serveurs et environ 3 000 appareils de technologie médicale.

Il y a deux ans, l’hôpital avait lancé un projet de segmentation : séparation stricte de l’informatique administrative, des systèmes cliniques et de la technologie médicale en zones de réseau distinctes.

L’attaque

L’accès initial s’est fait via un compte de messagerie web compromis. Les attaquants (probablement des affiliés de LockBit) se sont déplacés latéralement dans le réseau administratif et ont compromis le serveur Active Directory. À 23 h 40, ils ont lancé le chiffrement.

Ce que la segmentation a empêché

Bien que le réseau administratif ait été considérablement affecté, tous les systèmes critiques sont restés opérationnels :

Système d’information hospitalier (KIS) : Dans sa propre zone, accès uniquement via un proxy d’application
PACS (imagerie) : VLAN isolé, aucune connexion au réseau administratif
Technologie médicale : respirateurs, pompes à perfusion, surveillance dans un segment OT séparé
Service des urgences : Segment de réseau propre avec repli sur la documentation papier

Rétablissement

L’informatique administrative a été rétablie en 8 jours à partir de sauvegardes. Pendant ce temps, les processus cliniques ont continué à fonctionner sur les systèmes segmentés – limités, mais opérationnels. Aucun patient n’a dû être transféré.

Investissement et résultat

Le projet de segmentation a coûté environ 800 000 EUR sur deux ans. Le dommage évité ? Des attaques comparables dans des hôpitaux (Lukas-Krankenhaus Neuss, Universitätsklinikum Düsseldorf) ont causé des dommages de 5 à 20 millions d’EUR et des restrictions opérationnelles de plusieurs semaines.

Faits clés

Secteur : Santé (KRITIS)

Type d’attaque : Ransomware (affiliés de LockBit)

Systèmes affectés : Réseau administratif (AD, serveurs de fichiers, messagerie)

Systèmes protégés : KIS, PACS, technologie médicale, service des urgences

Temps de rétablissement : 8 jours (administration), 0 jour (opérations cliniques)

Fait : Selon Sophos, en 2024, environ 66 % de toutes les organisations de santé ont été touchées par au moins une attaque de ransomware.

Fait : Le BSI (Office fédéral de la sécurité informatique) classe le secteur de la santé comme l’un des domaines KRITIS les plus menacés – avec plus de 400 incidents de sécurité signalés en 2024.

Questions fréquentes

Pourquoi les hôpitaux sont-ils particulièrement souvent la cible de cyberattaques ?

Les hôpitaux ont une faible tolérance aux temps d’arrêt, des systèmes informatiques obsolètes et une grande surface d’attaque en raison de la technologie médicale. Les attaquants spéculent sur des paiements rapides de rançons pour ne pas mettre en danger le fonctionnement des patients.

Combien coûte une segmentation OT pour un hôpital ?

Selon la taille et la complexité, entre 500 000 et 1,5 million d’EUR sur 2 à 3 ans. Comparé aux coûts d’une attaque réussie (5 à 20 millions d’EUR), c’est un investissement rentable.

Quel rôle joue la segmentation de réseau dans la sécurisation des appareils médicaux ?

Les appareils médicaux fonctionnent souvent avec des logiciels obsolètes qui ne peuvent pas être mis à jour. Grâce à la segmentation de réseau, ces appareils sont séparés dans des zones isolées, de sorte qu’un appareil compromis n’obtient pas d’accès à d’autres systèmes critiques. En combinaison avec la surveillance des transitions réseau, une couche de protection efficace est créée même sans mises à jour directes des appareils.