En bref

  • Le groupe Medusa a paralysé le University of Mississippi Medical Center pendant 9 jours, le contraignant à fermer 35 cliniques et annuler chirurgies et examens d'imagerie.
  • Plus d'un téraoctet de données médicales et administratives aurait été exfiltré, avec une demande de rançon de 800 000 dollars.
  • L'UMMC abrite le seul service pédiatrique, le seul centre de traumatologie niveau I et les seuls programmes de transplantation de l'État du Mississippi.

Neuf jours de chaos opérationnel au plus grand hôpital du Mississippi

Dans la nuit du 19 février 2026, les systèmes informatiques du University of Mississippi Medical Center (UMMC) — le plus grand hôpital de l'État avec 10 000 employés — ont été mis hors ligne par une attaque ransomware revendiquée par le groupe Medusa. L'établissement abrite le seul hôpital pédiatrique du Mississippi, le seul centre de traumatologie de niveau I, le seul service de néonatologie de niveau IV et les seuls programmes de transplantation d'organes de l'État. L'ensemble de ces infrastructures critiques s'est trouvé contraint de basculer en mode entièrement analogique du jour au lendemain. Pendant neuf jours consécutifs, les 35 cliniques rattachées à l'UMMC ont fermé leurs portes. Les chirurgies électives ont été annulées, les rendez-vous d'imagerie médicale suspendus, et l'accès au système de dossiers de santé électroniques Epic — épine dorsale du fonctionnement clinique moderne — coupé. Les équipes médicales ont dû revenir aux formulaires papier et aux protocoles de communication manuelle pour assurer la continuité des soins d'urgence, selon HIPAA Journal et Cybersecurity Dive. L'hôpital a pu rouvrir intégralement le 2 mars 2026, soit treize jours après l'intrusion initiale. Le FBI et le Département de la Sécurité intérieure (DHS) sont intervenus pour soutenir l'investigation et le rétablissement des systèmes.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

Un téraoctet de données médicales menacé de publication

Le 12 mars 2026, Medusa a ajouté l'UMMC à son portail de fuite sur le dark web, affirmant avoir exfiltré plus d'un téraoctet de données sensibles incluant des informations de santé protégées (PHI) de patients, des données personnelles d'employés et d'étudiants, ainsi que des informations financières de l'établissement. La demande de rançon s'élève à 800 000 dollars, avec une deadline initiale de publication des données fixée au 20 mars. La même somme a été simultanément exigée du comté de Passaic dans le New Jersey (600 000 habitants), dont les lignes téléphoniques et systèmes informatiques ont également été paralysés. Medusa opère selon un modèle de double extorsion — chiffrement des systèmes et menace de publication des données — une stratégie déjà analysée dans le contexte de l'opération Checkmate qui a démantelé le groupe BlackSuit. Ni l'UMMC ni le comté de Passaic n'ont confirmé publiquement le paiement d'une rançon.

Medusa RaaS : un groupe structuré ciblant les infrastructures critiques

Le groupe Medusa — à ne pas confondre avec le botnet Mirai-based du même nom — est actif depuis fin 2022. Il opère selon un modèle Ransomware-as-a-Service (RaaS) et a revendiqué des centaines d'attaques contre des organisations dans les secteurs de la santé, de l'éducation et des collectivités locales. Pour s'infiltrer dans les réseaux cibles, les affiliés Medusa s'appuient fréquemment sur des campagnes de phishing avancées, dont des techniques de contournement MFA similaires à celles documentées dans notre analyse d'EvilTokens, la plateforme PhaaS qui a touché 340 organisations M365. Cette professionnalisation du ransomware a été documentée par les forces de l'ordre américaines, qui ont récemment obtenu la condamnation de plusieurs affiliés russes à des peines allant jusqu'à 81 mois de prison. L'attaque contre l'UMMC s'inscrit dans une tendance plus large : les établissements de santé représentent désormais une cible prioritaire en raison de la criticité de leurs systèmes et de la pression institutionnelle à rétablir rapidement les opérations, comme l'illustre également l'attaque du groupe Handala contre Stryker qui a détruit 80 000 terminaux.

Ce qu'il faut retenir

  • Les établissements de santé doivent disposer de plans de continuité d'activité (PCA) testés régulièrement, incluant un mode dégradé papier opérationnel et des accès hors-ligne aux données patients critiques.
  • La segmentation réseau et la protection des systèmes Epic/EHR sont des priorités absolues : leur indisponibilité paralyse l'ensemble des opérations cliniques.
  • La double extorsion est désormais la norme pour les groupes RaaS — les sauvegardes seules ne suffisent plus à protéger contre le risque de publication des données.

Que faire si votre hôpital ou organisation de santé est victime d'un ransomware ?

En cas d'attaque, la priorité est d'isoler immédiatement les systèmes infectés pour contenir la propagation, puis d'activer le plan de continuité d'activité en mode dégradé. Il faut notifier sans délai le CERT-FR (en France), les autorités de tutelle (ARS pour les établissements de santé), et l'ANSSI si l'établissement est un opérateur d'importance vitale. Ne pas payer la rançon sans consultation des forces de l'ordre, car le paiement ne garantit ni la récupération des données ni l'absence de publication des fichiers volés.

Article suivant recommandé

Mandiant M-Trends 2026 : accès initial cédé en 22 secondes →

Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent

Découvrez mon dataset

ransomware-playbooks-fr

Dataset playbooks ransomware bilingue FR/EN

Voir →

Points clés à retenir

  • Contexte : Medusa Ransomware : 9 jours hors-ligne pour un hôpital US — un sujet critique pour la cybersécurité des organisations
  • Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
  • Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés

Comment renforcer la cybersécurité de votre organisation ?

Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.

Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?

Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.

Quels sont les premiers pas pour sécuriser une infrastructure ?

Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Termes clés

  • cyberattaque
  • ransomware
  • phishing
  • vulnérabilité
  • patch
  • zero-day
  • CERT
  • ANSSI

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.