Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les attaques du groupe Insomnia marquent une nouvelle ère de cybermenaces pour la santé : pourquoi la sécurité périmétrique ne suffit plus

Les attaques du groupe Insomnia marquent une nouvelle ère de cybermenaces pour la santé : pourquoi la sécurité périmétrique ne suffit plus

par Patrick Spencer updated février 25, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Votre pare-feu ne protège pas vos données patients. Votre solution de détection des endpoints ne repère pas l’intrus. Votre stratégie de sécurité périmétrique a été conçue pour une menace qui n’existe plus.

Voilà la réalité inconfortable révélée par Insomnia, une nouvelle opération cybercriminelle qui cible le secteur de la santé aux États-Unis. Depuis son apparition en octobre 2025, le groupe a publié 18 victimes présumées sur son site de fuite de données. Plus de la moitié sont liées au secteur de la santé — hôpitaux, cliniques, cabinets d’avocats spécialisés en faute médicale et fabricants d’équipements chirurgicaux.

Insomnia ne chiffre pas les systèmes et ne réclame pas de clé de déchiffrement. Il vole des données — dossiers patients, permis de conduire, formulaires fiscaux, correspondances sensibles — et les propose en téléchargement gratuit. Il s’agit d’exfiltration de données à grande échelle, marquant un changement fondamental dans la façon dont les cybercriminels ciblent la santé.

Cinq points clés à retenir

  1. Un nouveau gang cybercriminel chasse les données de santé. Une opération de vol de données baptisée Insomnia a émergé sur le dark web avec 18 victimes revendiquées. Plus de la moitié sont directement liées au secteur de la santé — prestataires, cabinets d’avocats spécialisés en faute médicale et fabricants d’équipements chirurgicaux. La société de sécurité Kela confirme qu’aucune de ces victimes n’apparaissait sur les précédents sites de fuite de ransomwares, ce qui suggère qu’Insomnia est une opération réellement nouvelle, et non un simple changement de nom.
  2. Les attaquants volent les données, sans les chiffrer. Insomnia ne déploie pas de ransomware. Le groupe vole des données sensibles — dossiers patients, documents fiscaux, permis de conduire — et menace de les exposer publiquement. Rapid7 décrit le groupe comme « optimisé pour le vol furtif de données plutôt que pour des attaques de ransomware bruyantes et perturbatrices ». Les sauvegardes et plans de reprise d’activité sont inutiles face à cette méthode. Une fois les données sorties de votre réseau, le mal est fait.
  3. Les identifiants volés sont la porte d’entrée. Insomnia accède aux systèmes via des identifiants de connexion volés, récupérés par des malwares voleurs d’informations et des failles de contournement de l’authentification. Le groupe se déplace ensuite latéralement en utilisant des outils légitimes comme les mises à jour Windows Server. Les solutions de protection des endpoints et les pare-feux ne sont pas conçus pour stopper un attaquant qui se connecte avec un identifiant et un mot de passe valides.
  4. Les petites et moyennes structures de santé sont les principales cibles. La plupart des victimes d’Insomnia dans la santé réalisent un chiffre d’affaires annuel compris entre 5 et 57 millions de dollars et emploient entre 11 et 200 personnes. Il s’agit d’organisations sans centre opérationnel de sécurité dédié, sans détection avancée des menaces ni équipe conformité à temps plein. Leur maturité en sécurité limitée est le point commun.
  5. Les paiements de rançons diminuent — les attaquants changent de tactique. Une enquête Sophos révèle que seulement 36 % des victimes de ransomwares dans la santé ont payé une rançon en 2025, contre 61 % en 2022. Le montant moyen des paiements est passé de 1,47 million à 150 000 dollars. Les attaquants réagissent en se tournant vers l’exfiltration pure de données. Si les organisations ne paient plus pour déchiffrer, la prochaine étape consiste à les faire chanter en menaçant de divulguer les dossiers patients volés.

Pourquoi la santé reste dans la ligne de mire

Le secteur de la santé est depuis longtemps la cible privilégiée des opérations cybercriminelles. Il concentre d’énormes volumes d’informations médicales protégées à forte valeur sur le marché noir, et historiquement, les organisations de santé acceptaient de payer les rançons plutôt que de risquer la sécurité des patients.

Mais cette logique évolue. Une enquête Sophos montre que seulement 36 % des victimes de ransomwares dans la santé ont payé en 2025 — contre 61 % en 2022. Le montant moyen des rançons est passé de 1,47 million à 150 000 dollars. La santé devient un terrain moins favorable aux cybercriminels.

Les attaquants s’adaptent. Le modèle d’Insomnia illustre ce virage : au lieu de perturber l’activité avec un ransomware, le groupe vole des données sensibles et menace de les exposer publiquement. Impossible de restaurer la confidentialité des patients à partir d’une sauvegarde. Une fois les informations médicales protégées publiées sur un site de fuite, les conséquences sont irréversibles.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Comment Insomnia s’introduit — et pourquoi la sécurité traditionnelle échoue

Ce qui distingue Insomnia des groupes de ransomware classiques, c’est sa méthode opérationnelle. Selon Christiaan Beek, senior director of threat intel and analytics chez Rapid7, Insomnia mise sur la rapidité et la discrétion.

Le groupe accède aux systèmes via des identifiants volés, récupérés par des malwares voleurs d’informations sur les marchés souterrains. Il exploite des failles de contournement de l’authentification pour passer outre les protections de connexion. Une fois à l’intérieur, Insomnia se déplace latéralement en utilisant des outils autorisés comme les mises à jour Windows Server, se fondant dans l’activité administrative normale. Rapid7 décrit ce modèle comme axé sur « la rapidité, la faible visibilité et le levier d’extorsion maximal via l’exposition de données sensibles ».

Certains indices suggèrent aussi qu’Insomnia pourrait fonctionner comme courtier ou plateforme de monétisation de données volées, en collaborant potentiellement avec d’autres acteurs criminels qui fournissent l’accès initial au réseau.

Les défenses périmétriques — pare-feux, systèmes de détection d’intrusion, solutions de protection des endpoints — ont été conçues pour stopper les logiciels malveillants et signaler le trafic suspect. Insomnia ne déploie pas de malware. Il se connecte avec des identifiants légitimes et utilise des outils autorisés. Il n’y a pas de charge malveillante à détecter.

Petits et moyens prestataires : exposition maximale, défense minimale

Le profil des victimes d’Insomnia révèle une stratégie de ciblage délibérée. La plupart des victimes dans la santé affichent un chiffre d’affaires annuel entre 5 et 57 millions de dollars, avec 11 à 200 employés. Il s’agit de cabinets de dermatologie, cliniques régionales, centres chirurgicaux spécialisés, sociétés de facturation et cabinets d’avocats gérant les dossiers de faute médicale.

Ces organisations font face à un écart dangereux entre leur exposition aux menaces et leur capacité de défense. Elles détiennent les mêmes catégories de données sensibles que les grands hôpitaux, mais n’ont pas les ressources pour les protéger. Un cabinet d’orthopédie de 50 personnes n’a pas de centre opérationnel de sécurité. Un cabinet d’avocats en faute médicale de 20 millions de dollars ne dispose pas d’une détection des menaces de niveau entreprise.

Les outils sur lesquels ces structures comptent — protection basique des endpoints, pare-feux standards, partage de fichiers grand public et e-mails non chiffrés — n’ont jamais été conçus pour stopper le vol de données basé sur les identifiants.

Kela a recensé 68 organisations de santé ciblées par des groupes cybercriminels en 2026, dont 50 basées aux États-Unis. Ce schéma de ciblage reflète des opérations à motivation financière qui exploitent les opportunités et la faible maturité en sécurité.

Pourquoi le modèle périmétrique ne peut pas résoudre ce problème

Les identifiants contournent le périmètre. Lorsqu’un attaquant se connecte avec des identifiants volés via un point d’accès autorisé, le périmètre voit une connexion légitime. Rien n’est bloqué.

La détection nécessite un signal à détecter. Insomnia utilise les mises à jour Windows Server et des outils administratifs légitimes pour se déplacer dans les réseaux. Ces actions ressemblent à des opérations informatiques normales. Aucun signal anormal n’est détecté par les outils de sécurité.

Le partage de fichiers grand public n’offre aucune gouvernance. Les organisations de santé qui transmettent des informations médicales protégées via Dropbox, Google Drive ou des e-mails non chiffrés n’ont aucune visibilité sur qui accède à ces données, quand ni depuis où. Il n’existe aucun contrôle d’accès au-delà d’un lien partagé, ni de journal d’audit pour la notification de violation HIPAA.

Les sauvegardes ne protègent pas contre le vol de données. Des sauvegardes solides et un plan de reprise d’activité — la défense classique contre les ransomwares — n’ont aucun effet face à l’exfiltration. Vous pouvez restaurer des systèmes chiffrés. Vous ne pouvez pas « dé-exposer » des dossiers patients volés.

De la sécurité périmétrique à la protection centrée sur la donnée

Stopper le vol de données basé sur les identifiants impose une approche radicalement différente. Plutôt que de défendre la frontière du réseau, les organisations doivent contrôler l’accès à la donnée elle-même — vérifier l’identité, restreindre les autorisations, chiffrer le contenu et journaliser chaque interaction.

Accès authentifié à chaque fichier. Toute demande de consultation, téléchargement ou partage d’informations médicales protégées doit exiger une identité vérifiée via l’authentification multifactorielle. Un mot de passe volé ne suffit plus. Des contrôles contextuels bloquent l’accès depuis des lieux, appareils ou horaires inhabituels.

Gouvernance centralisée des données. Stocker les données sensibles dans un référentiel durci et surveillé — plutôt que dispersées sur des partages de fichiers, boîtes mail et comptes cloud personnels — élimine la dispersion qui offre aux attaquants de multiples vecteurs d’exfiltration.

Communications chiffrées. Les informations médicales protégées transmises via TLS 1.3 et un chiffrement validé FIPS 140-3 ne peuvent pas être interceptées en transit. Des canaux sécurisés pour la messagerie électronique, le partage et l’échange de fichiers avec des tiers éliminent la vulnérabilité SMTP qui expose les données à l’interception.

Traçabilité complète. Chaque accès, téléchargement, partage et transmission est journalisé — qui, quoi, quand, où, comment. Des alertes en temps réel signalent les comportements suspects comme les téléchargements massifs. L’intégration SIEM permet la corrélation avec d’autres indicateurs de menace. L’investigation forensique peut reconstituer la chronologie de l’attaque et identifier précisément l’étendue de la compromission.

Échanges sécurisés avec les tiers. L’écosystème étendu de la santé — assureurs, laboratoires, spécialistes, sociétés de facturation — multiplie les risques à chaque transmission. Des canaux authentifiés et chiffrés, avec des autorisations limitées dans le temps pour les utilisateurs externes, éliminent le risque qu’une compromission chez un partenaire devienne votre propre violation. C’est à ce stade que la gestion des risques liés aux tiers passe d’une case conformité à une nécessité opérationnelle.

Kiteworks : la sécurité centrée sur la donnée, pensée pour la santé

C’est précisément ce problème que le Réseau de données privé de Kiteworks résout.

Kiteworks ne cherche pas à stopper le vol de données au niveau du périmètre réseau. Il contrôle l’accès à la donnée elle-même. Chaque interaction avec les informations médicales protégées passe par une plateforme unique, avec vérification systématique de l’identité, chiffrement, contrôles d’accès et journalisation des accès.

La protection traditionnelle des endpoints ne peut pas arrêter un attaquant utilisant des identifiants légitimes. Les pare-feux ne détectent pas une activité qui imite les opérations normales. Le partage de fichiers grand public n’offre ni contrôles d’accès conformes à HIPAA ni traçabilité. Kiteworks centralise tous les échanges d’informations médicales protégées dans un environnement gouverné où les identifiants volés ne suffisent pas à accéder aux données, chaque interaction est journalisée et toute tentative d’exfiltration déclenche une réponse automatisée.

Pour les RSSI, c’est l’architecture de protection des données en zéro trust qui empêche le vol basé sur les identifiants. Pour les responsables conformité, c’est la traçabilité qui prouve la conformité à la HIPAA Security Rule et facilite la notification en cas de violation. Pour les directeurs financiers des structures ciblées par Insomnia, c’est une protection de niveau entreprise sans le budget associé — alors que le coût moyen d’une violation de données santé atteint 10,93 millions de dollars, la prévention s’autofinance.

La fenêtre se referme

Insomnia n’est pas un cas isolé. C’est le dernier signal d’une tendance claire. À mesure que les paiements de rançons diminuent, les groupes cybercriminels se tournent vers le vol de données, car les dossiers médicaux volés offrent un levier permanent. De nouveaux groupes comme Qilin et Sinobi continuent de cibler les organisations de santé à faible maturité en sécurité. Soixante-huit entités de santé ont déjà été ciblées en 2026, et nous ne sommes qu’en février.

Les organisations de santé qui adoptent dès maintenant une sécurité centrée sur la donnée combleront la faille d’exfiltration exploitée par Insomnia et consorts. Elles protégeront la confidentialité des patients, répondront aux exigences HIPAA et éviteront le coût moyen de 10,93 millions de dollars d’une violation de données santé. Celles qui continuent de miser sur la défense périmétrique découvriront leur faille comme l’ont déjà fait les 18 victimes d’Insomnia.

Protéger les données patients ne peut plus se limiter à surveiller le périmètre réseau. La question est de savoir si votre organisation sécurisera ses données à la source avant que la prochaine attaque basée sur les identifiants ne mette en lumière la faille que vos outils actuels n’ont jamais été conçus pour combler.

Pour découvrir comment Kiteworks peut vous aider, réservez votre démo sans attendre !

Foire aux questions

Insomnia est une opération cybercriminelle apparue sur le dark web en octobre 2025 avec 18 victimes revendiquées, dont plus de la moitié liées au secteur de la santé. Contrairement aux groupes de ransomware traditionnels, Insomnia se concentre sur le vol de données sensibles plutôt que sur le chiffrement des systèmes. Le groupe cible la santé car ce secteur détient des informations médicales protégées à forte valeur, et de nombreux petits et moyens prestataires présentent une maturité en sécurité limitée.

Un ransomware classique chiffre les fichiers et exige un paiement pour une clé de déchiffrement. Insomnia ne chiffre rien : il vole des données sensibles et menace de les exposer publiquement. Cela change tout, car les stratégies de sauvegarde et de reprise d’activité — la défense habituelle contre les ransomwares — sont inopérantes face à l’exfiltration de données. Une fois les dossiers patients volés et publiés, le préjudice est irréversible. La seule défense efficace consiste à empêcher les informations médicales protégées de quitter l’environnement dès le départ.

Les outils de sécurité périmétrique sont conçus pour identifier et bloquer les logiciels malveillants et le trafic réseau anormal. Insomnia contourne ces défenses en se connectant avec des identifiants volés via des points d’accès autorisés, puis se déplace latéralement à l’aide d’outils légitimes comme les mises à jour Windows Server. Comme ces activités imitent le fonctionnement normal, il n’y a pas de charge malveillante à détecter ni de signal anormal à relever. La protection des données en zéro trust — vérification de l’identité et restriction des accès au niveau de la donnée — est la contre-mesure adaptée.

La sécurité centrée sur la donnée déplace la protection du périmètre réseau vers la donnée elle-même. Elle contrôle l’accès aux fichiers sensibles par l’authentification multifactorielle, des autorisations granulaires, le chiffrement et une traçabilité complète. Même si un attaquant obtient des identifiants volés, l’authentification multifactorielle empêche l’accès non autorisé. Les autorisations granulaires limitent ce qu’un compte peut atteindre. Les journaux d’audit détectent les accès inhabituels et facilitent l’investigation forensique.

Les petites et moyennes organisations de santé doivent prioriser trois mesures : imposer l’authentification multifactorielle sur chaque système manipulant des informations médicales protégées, centraliser les échanges de données dans une plateforme unique gouvernée avec contrôles d’accès intégrés et traçabilité, et bannir le partage de fichiers grand public ainsi que les e-mails non chiffrés pour les données patients. Une protection de niveau entreprise est désormais accessible à des tarifs PME — le coût moyen de 10,93 millions de dollars d’une violation de données santé dépasse largement l’investissement.

Ressources complémentaires

  • Article de blog Architecture Zero Trust : ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées après détection par DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Guide ultime pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks