Flare vient de publier un nouveau rapport intitulé « The State of Healthcare Credential Exposure in 2026 » (Etat de l’exposition des identifiants de santé en 2026). Le rapport a recensé et analysé plus de 154 000 logs contenant des identifiants d’accès à des services médicaux, de santé et/ou hospitaliers. Il souligne que près de 74 % des appareils infectés contenaient des credentials donnant accès à des systèmes de dossiers médicaux électroniques (DME/DPI), exposant ainsi des données hautement sensibles (numéros de sécurité sociale, diagnostics, résultats d’analyses, ordonnances et informations d’assurance).
Les établissements de santé sont confrontés à une vague d’attaques par compromission de credentials, qui via la compromission d’un seul appareil peuvent accéder à des systèmes critiques. Les recherches de Flare font état d’une hausse des attaques de 33 % d’une année sur l’autre, témoignant de l’intérêt croissant des cybercriminels pour les systèmes médicaux et les données des patients.
Les malwares de type infostealer jouent un rôle central dans ces attaques, ils collectent les identifiants, les données de session et les informations sensibles pour les conditionner en « stealer logs », revendus ensuite sur les forums cybercriminels.
Lorsque ces logs incluent des accès à des systèmes de santé, les conséquences peuvent être immédiates : exposition des dossiers patients, des systèmes de prescription, des plateformes de facturation, voire des outils de sécurité internes.
« L’exposition des credentials dans le secteur de la santé ne cesse de progresser, le type d’accès découvert via notre analyse démontre l’impact toujours plus grave de chaque compromission. Un seul appareil infecté pourrait fournir à un attaquant les clés pour comprendre, cartographier et exploiter l’infrastructure entière d’un hôpital, avec des conséquences potentiellement catastrophiques. » précise Estelle Ruellan, chercheuse en threat intelligence de Flare.
Selon le rapport, près de 61 000 logs liés au secteur de la santé sont apparues sur des plateformes clandestines, au cours des deux dernières années, offrant aux attaquants un accès direct à des systèmes contenant des données patients et opérationnelles particulièrement sensibles. Ces conclusions démontrent qu’il est nécessaire que les établissements de santé renforcent leur surveillance de l’exposition des credentials et réduisent leurs délais de détection.
Le rapport souligne également que :
● Qu’en 2025, environ 2 900 appareils ayant accès au secteur de la santé ont été compromis chaque mois et partagés sur des marketplaces clandestines (plus de 34 800 par an).
● Les États-Unis restent la cible principale, représentant 48 % des identifiants exposés dans le secteur de la santé.
● 900 logs contenaient des accès à des plateformes telles qu’Omnicell, BD Pyxis, ScriptPro et Bluesight, qui gèrent la distribution physique des médicaments dans les services hospitaliers, y compris les substances contrôlées telles que les opioïdes et les sédatifs.
En donnant la priorité à la surveillance des stealer logs dans leur stratégie de cybersécurité, les établissements de santé peuvent renforcer leur résilience et accélérer la détection et la remédiation des risques.
Le rapport complet est disponible sur le site de Flare
