L'attaque de Stryker n'était pas une défaillance technique : c'était le prix de l'ego administratif
Le 11 mars 2026, peu après minuit, les systèmes de Stryker Corporation ont commencé à s'éteindre. Il n'y avait pas d'explosion, pas de ransomware, pas de code malveillant installé sur des serveurs cachés. Un groupe pro-iranien connu sous le nom de Handala a utilisé des identifiants d'administrateur légitimes de Microsoft Intune pour envoyer une instruction à plus de 200 000 dispositifs dans 79 pays : efface tout. En quelques heures, 56 000 employés se sont retrouvés avec des ordinateurs portables, des téléphones d'entreprise et des dispositifs personnels devenus inopérables. Cinquante téraoctets de données, y compris des contrats avec des fournisseurs, des informations hospitalières et des fichiers de conception de produits, ont quitté l'organisation sans que personne puisse les arrêter.
Le gouvernement des États-Unis a émis une alerte exhortant les entreprises à sécuriser leurs systèmes Microsoft. Stryker a présenté un formulaire auprès de la SEC reconnaissant un impact financier matériel d'ampleur indéterminée. Les commandes électroniques ont cessé de fonctionner. Certains procédés chirurgicaux ont été retardés.
Et pourtant, ce qui m'intéresse dans cet épisode n'est pas la mécanique de l'attaque. Ce qui m'intéresse, c'est l'architecture de la complaisance qui l'a rendue possible.
Lorsque l'infrastructure devient un point aveugle
Microsoft Intune gère des dispositifs dans des milliers d'organisations à travers le monde. Sa logique est élégante : un administrateur avec les privilèges appropriés peut envoyer des mises à jour, configurer des politiques de sécurité et, dans des cas extrêmes, effacer à distance un dispositif perdu ou compromis. Cette dernière fonction existe pour protéger les entreprises. Dans le cas de Stryker, elle a été l'outil de l'attaque.
Ce que les analystes de Forrester ont décrit comme des techniques de "vivre sur terre" — utiliser ses propres outils légitimes pour l'attaquer — n'est pas une nouveauté technique. C'est, en fait, l'une des méthodologies les plus documentées en cybersécurité depuis des années. Le groupe Handala n'a rien inventé. Il a trouvé des identifiants d'administrateur ou d'administrateur global d'Intune, probablement volés via un malware antérieur, et les a utilisés exactement pour ce pour quoi ils étaient conçus.
Ici réside le premier diagnostic pertinent pour tout dirigeant qui lit cela : les attaques qui causent le plus de dommages n'exploitent pas des vulnérabilités inconnues ; elles exploitent des privilèges que l'organisation a accordés sans suffisamment de surveillance et sans assez de friction. Stryker n'a pas été pénétrée parce que quelqu'un a trouvé une faille dans le code de Microsoft. Elle a été pénétrée parce que quelqu'un avait les clés, et personne dans la chaîne décisionnelle n'avait construit un système exigeant de confirmer, à chaque fois, que ces clés étaient entre de bonnes mains.
La question que tout directeur technologique, tout PDG et tout membre du conseil d'administration devrait se poser est, à ce moment précis, non pas technique, mais organisationnelle : dans mon entreprise, qui peut prendre une décision qui efface 200 000 dispositifs, et quelle friction existe entre cette personne et cette capacité ?
La commodité administrative qui fabrique la fragilité
J'ai vu ce schéma se répéter dans des secteurs aussi variés que la banque, la fabrication et maintenant la technologie médicale. Une entreprise croît. Son infrastructure numérique se développe. Les équipes informatiques accumulent des privilèges parce qu'il est plus efficace de travailler avec des accès larges qu'avec des accès ciblés. La gestion des identités et des accès devient une conversation technique qui "appartient à l'équipe de sécurité", et cette équipe, souvent avec des ressources limitées et sans siège à la table exécutive, rapporte vers le bas plutôt que vers le haut.
La commodité administrative est la décision implicite de ne pas compliquer les processus internes pour maintenir la vitesse opérationnelle. Et pendant des années, cette décision produit des résultats positifs : les systèmes fonctionnent, les dispositifs sont gérés, les employés travaillent sans friction. Jusqu'à ce que quelqu'un avec des identifiants volés décide que cette même commodité est son vecteur d'entrée.
Stryker a généré plus de 20 milliards de dollars de revenus en 2025. Ses robots chirurgicaux Mako à eux seuls ont représenté 1,3 milliard de dollars. L'entreprise opère dans 79 pays avec des dizaines de milliers d'employés. Et pourtant, la capacité d'effacer toute son infrastructure de dispositifs était concentrée à un niveau de privilège auquel, apparemment, on est parvenu avec des identifiants compromis. Cette asymétrie entre échelle et contrôle est le symptôme le plus précis de ce qui se passe lorsque la vitesse de croissance dépasse la vitesse de maturité institutionnelle.
Il n'y a pas de vilain individuel dans cette histoire. Il y a une culture managériale qui, pendant des années, a probablement priorisé l'agilité opérationnelle sur la gouvernance des accès. C'est une décision de leadership, pas un accident technique.
Le modèle BYOD et la dette que personne ne voulait comptabiliser
Il y a un élément de cette attaque qui mérite une attention spécifique parce qu'il transcende le corporatif : les dispositifs personnels. Stryker, comme des milliers d'entreprises dans le monde, fonctionnait selon un modèle de gestion qui incluait les téléphones et ordinateurs portables personnels de ses employés, enregistrés sur Microsoft Intune. Lorsque Handala a exécuté l'effacement à distance, il n'a pas fait de distinction. Les dispositifs d'entreprise et les personnels ont reçu la même instruction. Photos personnelles, gestionnaires de mots de passe, applications d'authentification multifactorielle, enregistrements financiers : tout supprimé.
Le modèle des dispositifs personnels dans les environnements d'entreprise déplace l'efficacité vers l'entreprise et le risque vers l'employé. Stryker a économisé pendant des années le coût d'équiper ses employés de dispositifs d'entreprise dédiés. Le 11 mars 2026, ces employés ont payé cette économie avec leurs informations personnelles.
Ce n'est pas un jugement moral sur Stryker en particulier ; c'est un diagnostic d'une pratique répandue dans l'ensemble de l'industrie. Et ce que cela révèle, c'est une conversation que la plupart des organisations n'ont pas tenue de manière honnête avec leurs employés ni avec leurs conseils : lorsque nous leur demandons d'installer nos systèmes sur leurs dispositifs personnels, nous leur demandons d'assumer un risque que nous ne quantifions ni ne compensons. Les demandes collectives qui suivront probablement cet épisode ne seront pas uniquement contre les attaquants. Elles seront contre l'entreprise qui a conçu un système où l'effacement des données personnelles était une conséquence possible de son architecture de gestion.
Les analystes de Forrester ont également averti que les 50 téraoctets de données exfiltrées pourraient être utilisés pour construire des attaques de substitution hautement convaincantes : faux e-mails au nom de Stryker à des hôpitaux, instructions de rappel frauduleuses, manipulation des chaînes d'approvisionnement. Les dommages du 11 mars ne se sont pas arrêtés le 11 mars.
La maturité managériale se mesure aux privilèges que personne n'a voulu auditer
Il existe une narration confortable disponible pour toute organisation après une attaque de cette nature : nous avons été victimes d'un acteur étatique sophistiqué, nous avons agi rapidement, contenu les dommages, nos dispositifs médicaux n'ont jamais été compromis. Et cette narration contient des parties véridiques. Stryker a détecté l'intrusion avec une relative rapidité, ses robots chirurgicaux Mako ont continué à fonctionner grâce à des plans stockés localement sur USB, et les chaînes d'approvisionnement ont continué à fonctionner grâce à des processus manuels.
Mais aucune de ces réponses ne répond à la question qui importe pour le dirigeant souhaitant tirer des leçons de cet épisode : quelle conversation sur la gouvernance des accès privilégiés n'a pas eu lieu avant le 11 mars parce qu'elle aurait été inconfortable, coûteuse ou politiquement difficile à maintenir au sein de l'organisation ?
L'architecture de sécurité d'une entreprise est toujours le fidèle reflet de son architecture de pouvoir interne. Les privilèges qui s'accumulent sans audit sont l'équivalent numérique des processus que personne ne révise parce que celui qui les a conçus est encore dans l'entreprise. Les identifiants qui ne tournent pas sont les promesses que personne n'a renégociées. Les accès d'administrateur global qui n'ont pas de double validation sont des décisions qui ont été prises une fois, dans un autre contexte, et que personne n'a eu l'incitation à remettre en question par la suite.
Le secteur de la technologie médicale fait face à une augmentation de 30 % des attaques durant 2025. 40 % des violations documentées impliquent des identifiants volés. Ces chiffres ne sont pas des arguments pour la panique ; ce sont le contexte qui rend la complaisance inexcusable.
Un dirigeant qui examine cet épisode et conclut que Stryker a eu un coup de malchance lit la mauvaise histoire. La culture de toute organisation est le résultat naturel de la quête d'un but authentique, ou le symptôme inévitable de toutes les conversations difficiles que l'ego du leader ne lui permet pas d'avoir.
