Mise en contexte
La nuit du 13 janvier 2026, l’hôpital AZ Monica (campus d’Anvers) a été victime d’un piratage informatique massif. Les équipes IT ont détecté une intrusion vers 6h32 et ont immédiatement déconnecté tous les serveurs pour limiter les dégâts[1]. Les opérations programmées ont dû être reportées, les urgences fonctionnant au ralenti faute d’accès aux dossiers numériques. Rapidement, la société de cybersécurité Secutec a découvert que ce n’était pas un incident isolé : au moins cinq hôpitaux flamands ont subi des fuites de données similaires via le même fournisseur de logiciel de gestion patients[2]. Les informations personnelles (noms, adresses, numéros de registre national…) de quelque 71 000 patients et professionnels de santé ont été rendues visibles sur le darknet[2][3]. Parmi les établissements concernés figureraient l’AZ Monica ainsi que, selon certaines analyses OSINT, l’UZA (hôpital universitaire d’Anvers), l’AZ Klina (Brasschaat), le Heilig Hart (Lier) et Maria Middelares (Gand) – autant de clients connus du même éditeur de logiciels[4].
Contrôle strict des accès utilisateurs
Ce piratage met en évidence le rôle clé de la sécurisation des comptes utilisateurs internes. Les experts insistent sur l’importance de mettre en place une authentification forte à deux facteurs (2FA) partout dans l’hôpital. La 2FA « empêche efficacement les accès non autorisés, même en cas de vol de mot de passe »[5]. En l’absence de cette mesure, un simple « password stealer » introduit par inadvertance pourrait donner accès à l’ensemble du système. D’autant que, comme le note Secutec, les techniciens se voient souvent octroyer des droits d’administrateur complet pour intervenir sur les SI, ce qui accroît le risque global[6]. Limiter les privilèges et imposer des cycles de mot de passe et de formation réguliers font partie des mesures de base pour réduire ce risque.
Les fournisseurs : un maillon faible
À l’inverse des idées reçues, la principale faille n’était pas à l’intérieur de l’hôpital, mais chez un prestataire externe. Comme l’explique Geert Baudewijns de Secutec, même un hôpital très protégé peut tomber si ses partenaires technologiques n’appliquent pas des standards de sécurité adéquats[7]. Or « hôpitaux et organisations … dépendent souvent d’applications en ligne de fournisseurs externes » qui, s’ils sont piratés ou négligents, constituent un maillon faible critique[8][9]. Cette chaîne d’approvisionnement logicielle est précisément visée par la directive européenne NIS2, qui impose désormais aux hôpitaux de réaliser des audits approfondis chez leurs fournisseurs essentiels[10]. En pratique, plusieurs établissements belges n’ont pas encore implémenté pleinement ces contrôles de tierce partie. Cette affaire illustre l’urgence de renforcer la gouvernance des tiers : un déficit de sécurité chez un éditeur de logiciel peut compromettre simultanément plusieurs hôpitaux.
Défis de la cybersécurité hospitalière
Les systèmes d’information hospitaliers (SIH) sont d’une complexité et d’une criticité hors norme. Ils gèrent des données sensibles (dossiers médicaux, données personnelles) et pilotent des équipements vitaux (respirateurs, pompes à perfusion, etc.). Dans le cas d’AZ Monica, l’hôpital a dû transférer plusieurs patients critiques par précaution. Toute indisponibilité du SI peut donc avoir « des conséquences potentiellement mortelles »[12]. Les hôpitaux ont certes investi massivement dans des solutions de défense (pare-feu, détection d’intrusion, sauvegardes régulières), mais doivent aussi relever des défis spécifiques : diversité des terminaux médicaux, obsolescence de certains logiciels, formation insuffisante du personnel. L’utilisateur final est un maillon essentiel : une formation continue et une « cyberhygiène » renforcée (mots de passe robustes, vigilance aux emails suspects, mises à jour régulières) sont indispensables[13][5]. Sans cette vigilance collective, le moindre e-mail piégé ou équipement non patché suffit à ouvrir la voie à l’attaquant.
Fuite de données en chaîne via logiciel partagé
Dans cette affaire, le même logiciel de prise de rendez-vous en ligne semble avoir permis la fuite chez tous ces hôpitaux. Secutec a en effet constaté que tous les établissements touchés utilisaient la même application de patientflow, ce qui a créé un effet de contagion : un point de défaillance a permis aux pirates d’accéder aux données de plusieurs hôpitaux[14][15]. Ce type de « risque de chaîne » est très préoccupant : un seul point d’entrée (le prestataire) suffit pour exposer en cascade plusieurs SIH. L’incident prouve qu’en environnement hospitalier, les dépendances logicielles partagées peuvent propager les attaques à grande échelle. Il devient alors crucial de segmenter les réseaux et de vérifier les accès inter-systèmes pour éviter qu’un défaut chez le fournisseur ne compromette l’ensemble du réseau hospitalier.
Hypothèse d'une fuite du fournisseur Umbi
D'après mes recherches et en effectuant un peu d'OSINT : le fournisseur mis en cause pourrait être la société Umbi.be, rachetée en 2022 par la start-up e-santé Rosa[4]. Umbi annonçait effectivement parmi ses clients l’UZA (hôpital universitaire d’Anvers), ainsi que les hôpitaux AZ Monica, Klina (Brasschaat), Heilig Hart (Lier) et Maria Middelares (Gand)[4]. Bien que cette hypothèse ne soit pas (encore) confirmée officiellement par les autorités ou l’hôpital, elle fait le lien plausible entre la fuite de données et un unique fournisseur partagé. L’enquête en cours devra lever le voile : si le logiciel d’Umbi/Rosa est impliqué, ce sera un signal d’alarme pour toute la filière : un contrat de sous-traitance mal sécurisé peut mettre en péril des milliers de dossiers médicaux.
Conclusion
la cyberattaque d’AZ Monica et la fuite multi-hôpitaux qui en a découlé soulignent plusieurs leçons critiques pour la santé : renforcer la gestion des accès utilisateurs (2FA, droits minimaux), surveiller et auditer rigoureusement les fournisseurs de services, et améliorer sans relâche la cyberhygiène du personnel hospitalier. Sans ces mesures, les hôpitaux restent exposés à d’autres incidents du même type, avec des conséquences graves pour la confidentialité des données médicales et la continuité des soins[12][2].
Sources : déclarations officielles de l’AZ Monica et rapports de Secutec[1][2] ; analyses du site Techzine et de la presse spécialisée[3][6] ; article Regional-IT sur l’acquisition d’Umbi par Rosa[4] ; directives européennes et recommandations du ministère de la Santé[10][11].
[1] [12] AZ Monica hospital in Belgium shuts down servers after cyberattack
[2] [5] [7] [8] [10] [14] Les données médicales de 71 000 personnes en Belgique ont fuité suite à une cyberattaque.
https://www.vietnam.vn/fr/ro-ri-du-lieu-y-te-cua-71-000-nguoi-tai-bi-do-tan-cong-mang
[3] [9] [15] Five Belgian hospitals affected by data breach - Techzine Global
https://www.techzine.eu/news/security/137956/five-belgian-hospitals-affected-by-data-breach/
[4] Rosa: une acquisition e-santé pour accélérer et se positionner • Regional-IT · Toute l'information sur les startups et les TICs en région Wallonie-Bruxelles
https://www.regional-it.be/2022/08/25/rosa-une-acquisition-e-sante-pour-accelerer-et-se-positionner/
[6] Vijf Belgische ziekenhuizen getroffen door datalek - Techzine.nl
https://www.techzine.nl/nieuws/security/574024/vijf-belgische-ziekenhuizen-getroffen-door-datalek/
[11] [13] La cybersécurité : un enjeu majeur pour les établissements de santé - Ministère de la Santé, de la Famille, de l'Autonomie et des Personnes handicapées
Cyberattaque à AZ Monica : quand la dépendance aux fournisseurs IT met la santé en danger