← AI War Room
Cybersécurité

Stryker paralysé en 79 pays par une wiper attack iranienne : 200 000 devices effacés, 50 To de données volés - l’hôpital cyber commence

Tech4B2B · · 3 min (mis à jour le )
Illustration : Stryker paralysé en 79 pays par une wiper attack iranienne : 200 000 devices effacés, 50 To de données volés - l’hôpital cyber commence
  • Sujet: Stryker paralysé en 79 pays par une wiper attack iranienne : 200 000 devices effacés, 50 To de données volés - l’hôpital cyber commence
  • Date:
Dans la nuit du 11 mars 2026, peu après minuit sur la côte Est américaine, les appareils Windows connectés aux systèmes de Stryker — laptops et téléphones mobiles — ont commencé à s’éteindre les uns après les autres. Au réveil, des milliers d’employés du géant medtech ont découvert leurs machines effacées, la page de connexion Microsoft Entra défacée au logo d’un groupe hacktiviste iranien. Le groupe Handala, lié au Ministère iranien du Renseignement selon Palo Alto Networks, a revendiqué l’attaque, affirmant l’avoir menée en représailles à une frappe américano-israélienne sur une école en Iran. Ce n’est pas un ransomware. C’est une destruction délibérée — et un message adressé à tout l’écosystème industriel américain.

Stryker, dont le siège est à Portage, Michigan, fabrique implants articulaires, robots chirurgicaux, lits d’hôpitaux et instruments de chirurgie. Ses produits touchent plus de 150 millions de patients annuellement dans 61 pays. Son chiffre d’affaires 2025 dépassait 25 milliards de dollars. 

Les experts en sécurité avertissaient depuis l’ouverture des opérations militaires américano-israéliennes contre l’Iran d’attaques cyber de représailles. La wiper attack sur Stryker est la première d’envergure — et les analystes en prévoient d’autres. Flashpoint a identifié dans une note de recherche Amazon, Google, Microsoft, Oracle, Palantir et Nvidia comme cibles explicitement menacées par le Corps des Gardiens de la Révolution islamique (CGRI).

Une wiper attack : détruire, pas rançonner

La distinction technique est fondamentale pour comprendre l’enjeu. Un wiper malware est conçu pour effacer définitivement les données — écraser les disques durs, supprimer les systèmes d’exploitation, effacer les enregistrements réseau — de sorte que les systèmes ne puissent pas facilement se remettre en marche. Contrairement au ransomware qui chiffre et demande une rançon, l’objectif ici est la destruction maximale, pas le profit financier. 

Handala revendique l’effacement de plus de 200 000 systèmes, serveurs et appareils mobiles, ainsi que l’exfiltration de 50 téraoctets de données critiques.

“Les bureaux de Stryker dans 79 pays ont été contraints de fermer”, a affirmé le groupe. 

Stryker n’a pas confirmé ces chiffres, mais les faits opérationnels parlent d’eux-mêmes : l’entreprise a déposé un 8-K auprès de la SEC, a conseillé à ses employés de déconnecter tous leurs appareils, et admet dans ce document que “l’incident a causé, et devrait continuer à causer, des perturbations et des limitations d’accès à certains systèmes d’information et applications” — sans pouvoir donner de calendrier de restauration complet.

Le vecteur : l’environnement Microsoft, talon d’Achille global

Selon le Wall Street Journal, l’attaque a conduit à une panne mondiale en effaçant à distance des appareils fonctionnant sous Windows, y compris téléphones et laptops. L’environnement Microsoft Entra — la solution d’identité cloud de Microsoft utilisée par la majorité des grandes entreprises mondiales — a servi de point d’entrée et de vecteur de diffusion. La page de connexion Entra défacée au logo Handala indique un accès administrateur obtenu en amont, suffisamment profond pour prendre le contrôle des politiques d’effacement à distance des endpoints.

Des appareils ont affiché le logo Handala avant que leurs données ne soient effacées — suggérant que les attaquants avaient déjà obtenu un accès profond aux systèmes internes bien avant le déclenchement de l’attaque visible. La compromission est antérieure à l’incident déclaré : la nuit du 11 mars était l’exécution, pas l’intrusion.

Le contexte géopolitique comme variable opérationnelle

Pour la première fois depuis longtemps, une attaque cyber industrielle majeure est directement corrélée à un conflit militaire conventionnel en cours. Cette attaque est présentée par Handala comme une rétribution à la fois pour une frappe aérienne sur une école en Iran et pour les liens présumés de l’entreprise avec Israël. La logique est celle de la cyberguerre asymétrique : frapper des infrastructures civiles et industrielles américaines en réponse à des frappes militaires, avec un coût d’entrée incomparablement plus faible.

Le signal pour les DSI des entreprises industrielles et de santé est sans ambiguïté : les opérations militaires américaines à l’étranger sont désormais une variable de risque cyber à intégrer dans les modèles de menace des RSSI — au même titre que les vulnérabilités techniques.

Implications

Business : Stryker précise dans son communiqué que ses produits médicaux — Mako, Vocera, LIFEPAK35 — sont “pleinement sûrs à utiliser” , signalant que la disruption est IT et non clinique. Mais les 56 000 employés paralysés, les chaînes de fabrication d’implants orthopédiques interrompues à Cork (5 000 salariés, plus grande base hors US), et l’absence de timeline de restauration menacent les livraisons et la supply chain médicale mondiale.

Légal : Le dépôt 8-K auprès de la SEC est obligatoire depuis la règle de divulgation cyber de 2023 — mais il engage la responsabilité de Stryker sur l’étendue réelle des dommages et la qualité de sa posture de sécurité préalable. Si les 50 To de données volées contiennent des données patients ou des propriétés intellectuelles stratégiques, des contentieux réglementaires en cascade (HIPAA, RGPD) sont prévisibles.

Sectoriel : L’American Hospital Association surveille activement l’impact sur les opérations hospitalières :

“À ce stade, nous ne connaissons pas d’impacts directs sur les hôpitaux américains. Cela pourrait changer au fur et à mesure que les hôpitaux évaluent leurs services, technologies et la supply chain liés à Stryker.” 

La dépendance des blocs opératoires à un fournisseur unique de systèmes robotiques est le vrai risque systémique que cet incident met en lumière.

Conclusion

L’attaque Stryker marque un seuil. Ce n’est pas un cybercriminel cherchant une rançon. C’est un État — ou un proxy d’État — qui utilise le cyber comme prolongement d’une guerre conventionnelle, ciblant délibérément une entreprise de santé pour maximiser la disruption et le message politique. La réponse défensive ne peut plus être uniquement technique : elle doit intégrer le renseignement géopolitique, la segmentation des environnements Microsoft administrés à distance, et des plans de continuité testés pour des scénarios d’effacement massif d’endpoints. Pour les RSSI des secteurs medtech, industriel et infrastructure critique, la question n’est plus “si” — c’est “quand, et combien de systèmes aurons-nous effacés avant de couper le réseau”.

TL;DR

“Stryker, $25Mds de revenus et 56 000 employés, paralysé en une nuit par une wiper attack iranienne : 200 000 devices effacés, 50 To volés, 79 pays impactés.”

  • Handala, groupe hacktiviste lié au Ministère du Renseignement iranien, revendique l’attaque comme représailles aux frappes militaires US-Israël — premier grand cas de cyberguerre industrielle liée au conflit Iran
  • Vecteur : environnement Microsoft Entra compromis en profondeur avant l’exécution de nuit — la destruction d’endpoints à distance était planifiée, pas opportuniste
  • Signal pour les DSI : les opérations militaires américaines à l’étranger sont désormais une variable de risque cyber à intégrer dans les modèles de menace RSSI — Flashpoint liste déjà Amazon, Google, Microsoft, Oracle, Nvidia comme prochaines cibles menacées

Questions fréquentes

En quoi une wiper attack est-elle plus dangereuse qu’un ransomware pour une entreprise industrielle ?

Le ransomware chiffre les données mais les laisse récupérables contre rançon — la donnée existe encore. Le wiper les détruit physiquement et définitivement. Pour une entreprise comme Stryker dont les systèmes de fabrication, de R&D et de supply chain sont intégrés, la reconstruction depuis zéro peut prendre des semaines ou des mois. Il n’y a pas de clé de déchiffrement à acheter.

L’attribution à l’Iran est-elle certaine ?

Elle est probable mais pas confirmée officiellement. Handala a revendiqué publiquement. Check Point et Palo Alto Networks l’associent au Ministère iranien du Renseignement. Stryker lui-même ne confirme pas l’attribution dans ses communications officielles. Le FBI et la CISA n’ont pas commenté publiquement. L’attribution formelle est un processus long — mais le pattern tactique, le timing (48h après les frappes iraniennes) et le message politique convergent vers une opération étatique iranienne.

Les hôpitaux et blocs opératoires utilisant des équipements Stryker sont-ils en danger immédiat ?

Stryker affirme que ses produits médicaux physiques — robots Mako, systèmes Vocera, défibrillateurs LIFEPAK35 — sont opérationnels car non connectés à l’environnement Microsoft interne compromis. Le risque à court terme concerne les services de support, de maintenance à distance et les commandes de fournitures. À moyen terme, si la disruption de la supply chain se prolonge, des pénuries de dispositifs médicaux spécifiques sont possibles.

Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.