En bref

  • Le groupe Medusa a paralysé le University of Mississippi Medical Center pendant 9 jours, le contraignant à fermer 35 cliniques et annuler chirurgies et examens d'imagerie.
  • Plus d'un téraoctet de données médicales et administratives aurait été exfiltré, avec une demande de rançon de 800 000 dollars.
  • L'UMMC abrite le seul service pédiatrique, le seul centre de traumatologie niveau I et les seuls programmes de transplantation de l'État du Mississippi.

Neuf jours de chaos opérationnel au plus grand hôpital du Mississippi

Dans la nuit du 19 février 2026, les systèmes informatiques du University of Mississippi Medical Center (UMMC) — le plus grand hôpital de l'État avec 10 000 employés — ont été mis hors ligne par une attaque ransomware revendiquée par le groupe Medusa. L'établissement abrite le seul hôpital pédiatrique du Mississippi, le seul centre de traumatologie de niveau I, le seul service de néonatologie de niveau IV et les seuls programmes de transplantation d'organes de l'État. L'ensemble de ces infrastructures critiques s'est trouvé contraint de basculer en mode entièrement analogique du jour au lendemain. Pendant neuf jours consécutifs, les 35 cliniques rattachées à l'UMMC ont fermé leurs portes. Les chirurgies électives ont été annulées, les rendez-vous d'imagerie médicale suspendus, et l'accès au système de dossiers de santé électroniques Epic — épine dorsale du fonctionnement clinique moderne — coupé. Les équipes médicales ont dû revenir aux formulaires papier et aux protocoles de communication manuelle pour assurer la continuité des soins d'urgence, selon HIPAA Journal et Cybersecurity Dive. L'hôpital a pu rouvrir intégralement le 2 mars 2026, soit treize jours après l'intrusion initiale. Le FBI et le Département de la Sécurité intérieure (DHS) sont intervenus pour soutenir l'investigation et le rétablissement des systèmes.

Un téraoctet de données médicales menacé de publication

Le 12 mars 2026, Medusa a ajouté l'UMMC à son portail de fuite sur le dark web, affirmant avoir exfiltré plus d'un téraoctet de données sensibles incluant des informations de santé protégées (PHI) de patients, des données personnelles d'employés et d'étudiants, ainsi que des informations financières de l'établissement. La demande de rançon s'élève à 800 000 dollars, avec une deadline initiale de publication des données fixée au 20 mars. La même somme a été simultanément exigée du comté de Passaic dans le New Jersey (600 000 habitants), dont les lignes téléphoniques et systèmes informatiques ont également été paralysés. Medusa opère selon un modèle de double extorsion — chiffrement des systèmes et menace de publication des données — une stratégie déjà analysée dans le contexte de l'opération Checkmate qui a démantelé le groupe BlackSuit. Ni l'UMMC ni le comté de Passaic n'ont confirmé publiquement le paiement d'une rançon.

Medusa RaaS : un groupe structuré ciblant les infrastructures critiques

Le groupe Medusa — à ne pas confondre avec le botnet Mirai-based du même nom — est actif depuis fin 2022. Il opère selon un modèle Ransomware-as-a-Service (RaaS) et a revendiqué des centaines d'attaques contre des organisations dans les secteurs de la santé, de l'éducation et des collectivités locales. Pour s'infiltrer dans les réseaux cibles, les affiliés Medusa s'appuient fréquemment sur des campagnes de phishing avancées, dont des techniques de contournement MFA similaires à celles documentées dans notre analyse d'EvilTokens, la plateforme PhaaS qui a touché 340 organisations M365. Cette professionnalisation du ransomware a été documentée par les forces de l'ordre américaines, qui ont récemment obtenu la condamnation de plusieurs affiliés russes à des peines allant jusqu'à 81 mois de prison. L'attaque contre l'UMMC s'inscrit dans une tendance plus large : les établissements de santé représentent désormais une cible prioritaire en raison de la criticité de leurs systèmes et de la pression institutionnelle à rétablir rapidement les opérations, comme l'illustre également l'attaque du groupe Handala contre Stryker qui a détruit 80 000 terminaux.

Ce qu'il faut retenir

  • Les établissements de santé doivent disposer de plans de continuité d'activité (PCA) testés régulièrement, incluant un mode dégradé papier opérationnel et des accès hors-ligne aux données patients critiques.
  • La segmentation réseau et la protection des systèmes Epic/EHR sont des priorités absolues : leur indisponibilité paralyse l'ensemble des opérations cliniques.
  • La double extorsion est désormais la norme pour les groupes RaaS — les sauvegardes seules ne suffisent plus à protéger contre le risque de publication des données.

Que faire si votre hôpital ou organisation de santé est victime d'un ransomware ?

En cas d'attaque, la priorité est d'isoler immédiatement les systèmes infectés pour contenir la propagation, puis d'activer le plan de continuité d'activité en mode dégradé. Il faut notifier sans délai le CERT-FR (en France), les autorités de tutelle (ARS pour les établissements de santé), et l'ANSSI si l'établissement est un opérateur d'importance vitale. Ne pas payer la rançon sans consultation des forces de l'ordre, car le paiement ne garantit ni la récupération des données ni l'absence de publication des fichiers volés.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact