Stryker paralysée sans le moindre malware : l'attaque qui redéfinit la cybersécurité en environnement Microsoft

Une cyberattaque d'un nouveau genre

Le 11 mars 2026, entre 5h00 et 8h00 UTC, le géant américain de la technologie médicale Stryker a subi une cyberattaque ciblant son environnement Microsoft interne, au cours de laquelle des dizaines de milliers d'appareils d'employés ont été effacés à distance, sans qu'aucun malware ne soit déployé. securityaffairs

Ce qui rend cet incident particulièrement marquant, c'est précisément l'absence d'outil malveillant traditionnel. Pas de ransomware, pas de virus, pas de code malicieux infiltré dans les systèmes. L'attaque a été menée entièrement via les fonctionnalités natives de l'infrastructure Microsoft de l'entreprise — retournant ainsi les propres outils de gestion de Stryker contre elle-même.

Comment les attaquants ont procédé

Selon des sources proches du dossier, l'attaquant a utilisé la commande de suppression à distance de Microsoft Intune pour effacer les données de près de 80 000 appareils. Cette action a été rendue possible après la compromission d'un compte administrateur, à partir duquel un nouveau compte Administrateur Global a été créé. securityaffairs

Microsoft Intune est un outil de gestion des appareils mobiles et des postes de travail, massivement adopté par les grandes entreprises pour administrer à distance leurs parcs informatiques. Dans ce cas précis, cette fonctionnalité légitime a été transformée en vecteur de destruction à grande échelle.

L'enquête est conduite par la DART (Microsoft's Detection and Response Team), avec le soutien de l'Unit 42 de Palo Alto Networks. securityaffairs Une mobilisation de haut niveau qui témoigne de la gravité et de la complexité de l'incident.

L'ampleur des dégâts opérationnels

Stryker a confirmé que l'incident n'était pas une attaque par ransomware et qu'aucun malware n'avait été déployé. Cependant, les systèmes de commande électroniques sont toujours hors ligne, contraignant les clients à passer leurs commandes manuellement via des représentants commerciaux. securityaffairs

De leur côté, les hacktivistes ont affirmé avoir effacé plus de 200 000 serveurs, appareils mobiles et autres systèmes, forçant la fermeture de bureaux dans 79 pays. Ils ont également revendiqué l'exfiltration d'environ 50 To de données d'entreprise. securityaffairs

Des chiffres que Stryker n'a pas confirmés dans leur intégralité, mais dont l'ampleur illustre la nature dévastatrice de l'opération.

Qui est derrière l'attaque ? Le groupe Handala

La responsabilité de l'attaque a été revendiquée par Handala, un groupe hacktiviste pro-palestinien, largement considéré comme une façade pour Void Manticore, un groupe lié à l'Iran. Connu pour ses opérations de phishing, de vol de données, d'extorsion et d'attaques destructrices de type wiper, ce groupe mène également des opérations d'information et de guerre psychologique. securityaffairs

Depuis le début du conflit iranien, Handala a ciblé des serveurs militaires israéliens, des officiers de renseignement et des entreprises, volant ou effaçant des données. securityaffairs L'attaque contre Stryker s'inscrit dans cette stratégie de déstabilisation à portée géopolitique, visant une entreprise américaine majeure dans un secteur stratégique.

Ce que Stryker a confirmé — et ce qui reste rassurant

Malgré la violence de l'attaque sur le plan opérationnel, Stryker a confirmé que la violation était cantonnée à son environnement Microsoft interne et n'avait affecté aucun de ses produits médicaux ni de ses appareils connectés. securityaffairs

La déclaration officielle de l'entreprise, publiée le 15 mars 2026, est sans ambiguïté sur ce point : les technologies médicales, connectées et les dispositifs de sauvetage restent sûrs à utiliser. Stryker Corporation, avec un chiffre d'affaires mondial de 22,6 milliards de dollars en 2024 et plus de 53 000 employés, est l'un des plus grands fabricants mondiaux de dispositifs médicaux. securityaffairs Le fait que ses équipements hospitaliers n'aient pas été compromis est une donnée capitale dans un secteur où une défaillance peut coûter des vies.

Les leçons à tirer pour toutes les organisations

Cet incident est un signal d'alarme fort pour l'ensemble des entreprises — quelle que soit leur taille — qui s'appuient sur des environnements cloud Microsoft 365 ou Azure Active Directory.

1. La compromission d'un compte administrateur peut suffire à paralyser toute une organisation. Sans déployer le moindre fichier malveillant, un attaquant disposant de droits suffisants peut effacer des milliers d'appareils, couper des services critiques et exfiltrer des données massives.

2. Les outils légitimes sont désormais des armes. Microsoft Intune, conçu pour simplifier la gestion des flottes d'appareils, peut devenir un levier de destruction redoutable entre de mauvaises mains. C'est ce que les experts appellent le "Living off the Land" (LoTL) — exploiter les outils natifs du système pour attaquer sans laisser de trace logicielle.

3. Le principe du moindre privilège n'est pas optionnel. Limiter rigoureusement les droits d'accès des comptes administrateurs, activer l'authentification multifacteur (MFA) sur tous les comptes à privilèges, et surveiller en temps réel les créations de nouveaux comptes à hauts droits sont des mesures désormais incontournables.

4. La détection comportementale prime sur la détection de malware. Dans ce type d'attaque, les solutions antivirus traditionnelles sont aveugles. C'est la surveillance des comportements anormaux — un compte administrateur qui crée subitement un autre compte Global Admin à 5h du matin — qui aurait pu déclencher une alerte.

Ce que next2i.fr recommande

Chez next2i, nous accompagnons nos clients dans la sécurisation de leurs environnements Microsoft 365 et Azure. Cet incident illustre pourquoi une posture de sécurité solide ne se résume pas à l'installation d'un antivirus.

Parmi les actions prioritaires que nous préconisons :

Audit des comptes à privilèges : cartographier et restreindre tous les comptes disposant de droits d'administration globale.

Activation du MFA renforcé sur l'ensemble des comptes sensibles, avec une attention particulière aux comptes de service.

Surveillance des activités Intune : alertes en cas de déclenchement massif de commandes de suppression à distance.

Plan de réponse à incident : définir à l'avance les procédures en cas de compromission d'un compte administrateur.

Revue des politiques de conditional access dans Azure AD pour limiter les connexions suspectes.

Cet incident reflète une tendance croissante des cyberopérations qui mêlent disruption, vol de données et messagerie stratégique dig — et qui n'épargnent aucun secteur, y compris les industries les plus critiques.

La cybersécurité n'est plus une option. C'est une nécessité opérationnelle. Vous souhaitez évaluer la robustesse de votre environnement Microsoft ? Contactez notre équipe chez next2i.fr.