Ransomware Qilin : Comment Covenant Health a perdu les données de 478 000 patients en 2025

Célestine Rochefour

Une faille de sécurité peut parfois coûter des millions de dollars et, plus important encore, la confiance de centaines de milliers de patients. En 2025, l’attaque contre Covenant Health illustre parfaitement la vulnérabilité des infrastructures de santé face au ransomware. L’organisation a révélé que près de 500 000 personnes ont été touchées par cet incident de sécurité.

Les chiffres sont éloquents : initialement, Covenant Health estimait que seulement 7 864 dossiers avaient été compromis. Cependant, après une analyse approfondie, le bilan a été réévalué à 478 188 individus. Cette augmentation drastique souligne la complexité des investigations numériques et la difficulté à évaluer immédiatement l’étendue d’une cyberattaque.

L’attaque Qilin et la chronologie de la violation

L’incident a débuté bien avant la découverte officielle. Les attaquants ont pénétré les systèmes de Covenant Health le 18 mai 2025. L’organisation n’a pris conscience de la compromission que le 26 mai, soit huit jours plus tard. Ce délai entre l’infiltration et la détection est souvent critique, car il laisse aux cybercriminels le temps d’extraire des données sensibles.

Le groupe derrière cette attaque est Qilin, un groupe de ransomware connu pour ses opérations de type “double extortion” (vol de données puis chantage). Fin juin, Qilin a revendiqué l’attaque sur son site de fuite de données, affirmant avoir exfiltré 852 Go de données, soit près de 1,35 million de fichiers.

L’évolution du nombre de victimes

La méthode d’investigation a directement impacté le décompte final :

  • Juillet 2025 : Première estimation à 7 864 patients.
  • Décembre 2025 : Révision drastique à 478 188 patients.

Cette révision s’explique par l’achèvement de “l’essentiel de l’analyse des données” par des experts tiers. L’organisation a dû faire appel à des forensic specialists pour trier et identifier les fichiers compromis.

Données exposées : quelles informations fuitées ?

L’impact est d’autant plus grave que les données volées ne se limitent pas à des identifiants administratifs. Le ransomware Qilin a accédé à des informations hautement sensibles. Les données exposées incluent :

  1. Informations d’identification : Noms, adresses, dates de naissance.
  2. Identifiants médicaux : Numéros de dossier médical (Medical Record Numbers).
  3. Sécurité sociale : Numéros de sécurité sociale (SSN).
  4. Assurance santé : Détails des couvertures et informations d’assurance.
  5. Détails de traitement : Diagnostics, dates de consultation, types de soins reçus.

La nature de ces données (PII et PHI) expose les victimes à des risques multiples, allant de l’usurpation d’identité au vol de soins médicaux.

Mesures de riposte et de prévention

Face à cette crise, Covenant Health a mis en place plusieurs mesures pour limiter les dégâts et sécuriser son infrastructure. Il est crucial de comprendre que la sécurité informatique en milieu hospitalier repose sur une défense en profondeur.

L’intervention des experts tiers

Dès la découverte de l’incident, Covenant Health a mobilisé des forensic specialists externes. Cette démarche est une bonne pratique reconnue. Elle permet d’avoir un œil objectif sur la compromission et de respecter les exigences réglementaires strictes du secteur de la santé, notamment en matière de conformité HIPAA aux États-Unis (et RGPD en Europe).

Renforcement de la sécurité

L’organisation a annoncé avoir “renforcé la sécurité de ses systèmes”. Bien que les détails techniques ne soient pas toujours divulgués pour ne pas aider les attaquants, cela implique généralement :

  • Le déploiement de correctifs (patching) sur les vulnérabilités exploitées, notamment celles affectant les serveurs Next.js et objets connectés.
  • L’isolation des segments réseau compromis.
  • La rotation de tous les mots de passe d’accès privilégiés.

Assistance aux patients

Pour pallier la perte de confiance, Covenant Health offre une mesure concrète : 12 mois de protection d’identité gratuite. Cette offre vise à aider les patients à surveiller toute utilisation frauduleuse de leurs informations personnelles.

De plus, l’envoi de lettres de notification a commencé le 31 décembre 2025. Cette communication directe est obligatoire pour informer les citoyens de la violation de leurs données.

7 Bonnes pratiques de sécurité pour éviter le Ransomware

L’attaque de Covenant Health rappelle la nécessité absolue de sécuriser les infrastructures critiques. Voici les principes fondamentaux que toute organisation de santé devrait appliquer en 2025 :

  1. Sauvegardes hors ligne (Immutable Backups) : Assurez-vous que vos sauvegardes ne peuvent être chiffrées par le ransomware. Le 3-2-1 reste la règle d’or.
  2. Détection précoce (EDR/XDR) : Mettre en place des outils capables de repérer une activité suspecte bien avant que 852 Go ne soient exfiltrés.
  3. Formation des utilisateurs : La majorité des intrusions commencent par un phishing. Les équipes médicales doivent être formées aux pièges numériques.
  4. Gestion des identités et des accès (IAM) : Appliquer le principe de moindre privilège. Un comptable n’a pas besoin d’accéder aux dossiers de chirurgie.
  5. Segmentation réseau : Isoler les équipements médicaux et les serveurs critiques du reste du réseau pour limiter la propagation. Cela inclut la sécurisation des systèmes embarqués et des dispositifs IoT médicaux.
  6. Tests d’intrusion réguliers : Faire appel à des experts pour tenter de pirater son propre système (Pentesting).
  7. Plan de réponse aux incidents : Avoir un plan clair, testé et à jour sur la manière de réagir au moment où l’alerte est déclenchée.

Le contexte des attaques contre le secteur de la santé

L’attaque de Covenant Health n’est pas un cas isolé. En 2025, le secteur de la santé reste la cible privilégiée des cybercriminels. Pourquoi ? Parce que les hôpitaux ne peuvent pas se permettre une interruption d’activité prolongée. La vie des patients est en jeu, ce qui les rend plus enclins à payer une rançon.

Selon des rapports de sécurité récents, le secteur de la santé représente souvent le pourcentage le plus élevé des victimes de ransomware. La valeur des données médicales sur le marché noir dépasse souvent celle des données financières. Une carte de crédit peut être annulée ; une identité médicale compromise peut avoir des conséquences à vie. Les botnets comme ShadowV2 ciblent spécifiquement ces dispositifs connectés vulnérables.

Conclusion

L’incident de Covenant Health en 2025 est un cas d’école : une infiltration silencieuse, une découverte tardive, et un impact final multiplié par 60 par rapport aux estimations initiales. La faille n’était peut-être pas technologique, mais procédurale ou humaine.

Pour les responsables informatiques français et internationaux, le message est clair : la sécurité périmétrique ne suffit plus. Il faut une surveillance continue et une capacité de réponse immédiate. Si vous gérez des données de santé, considérez que vous êtes déjà une cible. La question n’est pas de savoir si vous serez attaqué, mais quand.

La protection d’identité offerte aux patients est une réparation, mais la véritable solution réside dans une architecture sécurisée par conception, capable de résister aux assauts des groupes comme Qilin.