ChipSoft, fournisseur de DME pour 70 % des hôpitaux néerlandais, a été frappé par un ransomware le 7 avril 2026. Plusieurs établissements signalent des perturbations logistiques.
En bref
- Le fournisseur de dossiers médicaux électroniques ChipSoft a été frappé par un ransomware le 7 avril 2026, affectant sa plateforme HiX utilisée par 70 % des hôpitaux néerlandais
- Plusieurs hôpitaux signalent des perturbations logistiques : portails patients, prescriptions et applications mobiles hors service
- Action requise : les établissements utilisant HiX doivent activer leurs procédures dégradées et surveiller les communications de ChipSoft
Les faits
Le 7 avril 2026, ChipSoft, principal fournisseur de systèmes de dossiers médicaux électroniques (DME) aux Pays-Bas, a confirmé être victime d'une attaque par ransomware. La société a immédiatement mis hors ligne son site web et plusieurs services numériques destinés aux patients et aux professionnels de santé. ChipSoft édite la plateforme HiX, déployée dans environ 70 % des hôpitaux néerlandais pour gérer les dossiers patients et la communication entre établissements de soins. L'ampleur de la dépendance du système de santé néerlandais à ce fournisseur unique rend cet incident particulièrement critique. Selon The Record, aucun groupe de ransomware n'a encore revendiqué l'attaque.
Par mesure de précaution, ChipSoft a désactivé les connexions à plusieurs de ses plateformes, notamment le Zorgportaal (portail de soins), HiX Mobile et le Zorgplatform. Des perturbations ont été confirmées dans plusieurs établissements : le Sint Jans Gasthuis à Weert, le Laurentius à Roermond, le VieCuri à Venlo et le Flevo Hospital à Almere. Le Z-CERT, centre néerlandais de cybersécurité pour le secteur de la santé, a indiqué que les perturbations restent pour l'instant d'ordre logistique. Cette attaque s'inscrit dans une tendance lourde de ciblage du secteur de la santé par les groupes de ransomware.
Impact et exposition
La concentration du marché hospitalier néerlandais autour d'un fournisseur unique amplifie considérablement l'impact de cet incident. Avec 70 % des hôpitaux dépendant de HiX, une indisponibilité prolongée pourrait affecter la continuité des soins à l'échelle nationale. Les portails patients désactivés empêchent l'accès aux résultats d'analyses, aux ordonnances et à la prise de rendez-vous en ligne. Les pharmacies connectées au système sont dans l'incapacité de traiter certaines prescriptions. Le Z-CERT précise qu'aucun processus de soins critique n'a été interrompu à ce stade, mais la restauration progressive des systèmes et l'émission de nouveaux identifiants pour les utilisateurs prendra du temps. Les établissements de santé français utilisant des solutions similaires centralisées devraient considérer cet incident comme un signal d'alerte sur leur propre conformité HDS et résilience.
Recommandations
- Les établissements dépendant de ChipSoft/HiX doivent activer immédiatement leurs procédures de continuité d'activité en mode dégradé et former le personnel aux workflows papier
- Surveiller les communications officielles de ChipSoft et du Z-CERT pour les indicateurs de compromission (IoC) et les instructions de restauration
- Renouveler tous les identifiants d'accès aux plateformes ChipSoft dès la restauration confirmée, comme le recommande le fournisseur
- Pour les DSI hospitaliers : réévaluer le risque de dépendance à un fournisseur unique de DME et prévoir des mécanismes de résilience face aux ransomwares
Alerte critique
Le secteur de la santé est sous pression constante des groupes de ransomware. Cet incident affecte directement la capacité de soins de dizaines d'hôpitaux néerlandais. Les établissements français doivent en tirer des enseignements immédiats sur leur propre résilience IT.
Les données patients ont-elles été volées lors de l'attaque ChipSoft ?
À ce stade, ni ChipSoft ni le Z-CERT n'ont confirmé d'exfiltration de données patients. ChipSoft indique que la mise hors ligne préventive des systèmes vise précisément à contenir l'incident. Cependant, dans la majorité des attaques par ransomware modernes, l'exfiltration de données précède le chiffrement. Les hôpitaux concernés doivent se préparer à l'éventualité d'une notification de fuite de données conformément au RGPD.
Les hôpitaux français sont-ils exposés à un risque similaire ?
Oui, le risque est structurellement identique. La centralisation des DME autour de quelques éditeurs majeurs crée un point de défaillance unique. En France, les établissements certifiés HDS doivent intégrer la résilience cyber dans leur stratégie. L'ANSSI recommande des exercices réguliers de crise cyber incluant des scénarios de perte de DME et des procédures papier testées.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire