Le géant des dispositifs médicaux Medtronic a signalé la semaine dernière une violation de son réseau, permettant aux hackers d’accéder à des données présentes dans certains de ses systèmes informatiques. Cette annonce fait suite à une revendication du groupe ShinyHunters, connu pour ses activités d’extorsion de données, qui prétend avoir volé plus de 9 millions d’enregistrements à l’entreprise.
Avec 90 000 employés répartis dans 150 pays, Medtronic est le plus grand fabricant de dispositifs médicaux au monde en termes de chiffre d’affaires, atteignant 33,5 milliards de dollars. L’entreprise développe également des technologies et des thérapies de santé.
Sur son site web, Medtronic a indiqué que cette violation n’avait pas d’impact sur ses clients ni sur ses produits, assurant que ses opérations commerciales continuaient de fonctionner normalement. « Nous n’avons pas identifié d’impact sur nos produits, la sécurité des patients, ni sur nos systèmes de rapport financier », a affirmé l’entreprise.
Medtronic a précisé que les réseaux soutenant ses systèmes informatiques sont séparés de ceux liés à ses produits et à ses opérations de fabrication. « Les réseaux des hôpitaux restent distincts des réseaux informatiques de Medtronic et sont gérés par les équipes informatiques des clients », a ajouté la société.
Bien que Medtronic n’ait pas fourni de détails supplémentaires sur l’attaque ou ses auteurs, ShinyHunters a mentionné que la violation avait entraîné le vol de plus de 9 millions d’enregistrements contenant des données personnelles identifiables (PII). Ce groupe a également affirmé avoir compromis des téraoctets de données internes, menaçant l’entreprise d’une fuite si un paiement de rançon n’était pas effectué.
Les hackers ont listé Medtronic sur leur site le 18 avril, exigeant des négociations pour une rançon avant le 21 avril. Actuellement, l’entreprise ne figure plus dans les listes de fuite de ShinyHunters.
Medtronic a ouvert une enquête pour déterminer si des données personnelles ont été accessibles par les hackers. Si une exposition des données clients est confirmée, l’entreprise a promis d’envoyer des notifications et de fournir des services de soutien aux personnes concernées.