En bref

  • Cookeville Regional Medical Center notifie 337 917 patients d'une fuite de données suite à un ransomware Rhysida.
  • L'attaque date de juillet 2025, divulgation officielle le 16 avril 2026 ; environ 500 Go exfiltrés.
  • Données exposées : noms, adresses, dates de naissance, numéros SSN et permis, données financières et médicales.

Les faits

Le 16 avril 2026, Cookeville Regional Medical Center (CRMC) dans le Tennessee a notifié officiellement 337 917 patients que leurs données personnelles et médicales avaient été compromises lors d'une attaque ransomware survenue en juillet 2025. L'établissement avait détecté une activité suspecte le 14 juillet 2025, et l'investigation a confirmé un accès non autorisé entre le 11 et le 14 juillet. Le groupe Rhysida a revendiqué l'attaque dans les semaines suivantes, exfiltrant environ 500 Go de données et exigeant 1,15 million de dollars de rançon.

CRMC dessert environ 250 000 patients par an répartis sur 14 comtés de la région Upper Cumberland. Selon Infosecurity Magazine et SecurityAffairs, l'incident se classe comme la huitième plus importante fuite ransomware du secteur santé américain pour l'exercice 2025 par nombre d'enregistrements compromis. L'écart de neuf mois entre la détection et la notification illustre la difficulté des établissements de santé à mener une investigation forensique complète tout en assurant la continuité des soins.

Impact et exposition

Les données exposées varient selon les patients : noms, adresses postales, dates de naissance, numéros de sécurité sociale, numéros de permis de conduire, informations financières, dossiers médicaux et données d'assurance. Cette combinaison expose les victimes à un risque très élevé d'usurpation d'identité et de fraude médicale. CRMC offre 12 mois de protection identitaire gratuite via Experian, une mesure standard mais largement insuffisante au regard de la sensibilité des données. Pour les hôpitaux européens, l'incident illustre l'écart persistant entre obligations RGPD et délais de notification réels constatés dans le secteur santé.

Recommandations

  • Pour les patients potentiellement concernés : surveiller les comptes bancaires et activer une alerte de fraude auprès des bureaux de crédit (Experian, Equifax, TransUnion).
  • Pour les établissements de santé : auditer les contrats fournisseurs de gestion d'identité et imposer des SLA de notification incident inférieurs à 72 heures.
  • Vérifier la segmentation entre systèmes administratifs (facturation, dossiers patients) et systèmes biomédicaux ; isoler les sauvegardes hors-ligne.
  • Tester un scénario de rançongiciel en exercice annuel, incluant la coordination avec le CERT et les autorités locales.

Alerte critique

Rhysida cible massivement le secteur santé depuis 2023. Tout établissement médical américain ou européen qui n'a pas validé ses sauvegardes hors-ligne et son plan de continuité d'activité dans les six derniers mois doit considérer cet exercice comme prioritaire.

Pourquoi CRMC a-t-il attendu neuf mois pour notifier les patients ?

L'investigation forensique d'un incident de cette ampleur — 500 Go exfiltrés, 337 000 patients — prend plusieurs mois pour identifier précisément quelles données ont été touchées par patient. La législation américaine HIPAA n'impose pas un délai aussi strict que le RGPD européen (72h), ce qui explique cet écart. La pratique reste critiquable du point de vue des victimes.

Le groupe Rhysida est-il actif contre des cibles européennes ?

Oui. Rhysida a revendiqué plusieurs attaques contre des hôpitaux et collectivités en Europe depuis 2023, dont la British Library en 2023 et plusieurs établissements de santé italiens et espagnols. Le groupe pratique la double extorsion (chiffrement + fuite) et publie systématiquement les données si la rançon n'est pas payée.

Votre établissement est-il prêt à un incident ransomware ?

Ayi NEDJIMI accompagne les DSI santé dans la conduite d'exercices ransomware réalistes et l'audit des plans de continuité d'activité.

Demander un audit