Intuitive Surgical révèle une fuite de données par hameçonnage ; Medtronic Diabetes supprime 81 postes
Intuitive Surgical a révélé qu'un tiers non autorisé avait accédé à ses applications informatiques internes via une attaque par hameçonnage, tandis que Medtronic prévoit de licencier 81 employés de son unité Diabète en amont de la scission de MiniMed.
Intuitive Surgical (Nasdaq : ISRG) a indiqué qu'un tiers non autorisé avait accédé à certaines applications informatiques internes dans le cadre d'un incident de cybersécurité résultant d'une attaque par hameçonnage (phishing). L'entreprise a rapidement activé ses protocoles de réponse aux incidents et sécurisé l'ensemble des applications concernées.
Les actions d'ISRG ont chuté de 1,3 % pour s'établir à 472,95 $ l'unité dans les échanges de l'après-midi. La société a précisé que cet incident n'a aucun impact sur ses opérations à ce stade et que ses systèmes robotiques disposent de leurs propres protocoles de sécurité, fonctionnant indépendamment de son réseau informatique interne.
Les informations consultées ont été obtenues via l'accès compromis d'un employé à son réseau administratif interne. Elles comprennent certaines données commerciales et coordonnées de clients, ainsi que des données relatives aux employés et à l'entreprise. Intuitive a indiqué qu'aucune donnée n'a été extraite de son système robotique chirurgical phare da Vinci ni du système endoluminal Ion. Ces dispositifs restent sûrs et opérationnels.
Intuitive a précisé disposer d'une infrastructure réseau segmentée. Les réseaux et infrastructures qui soutiennent les applications informatiques internes, les opérations de fabrication et les systèmes da Vinci, Ion et autres systèmes numériques sont séparés. Les réseaux des clients hospitaliers restent également distincts des réseaux d'Intuitive, sécurisés et gérés par les équipes informatiques des clients. Par conséquent, Intuitive a indiqué que ces réseaux ne sont pas non plus affectés.
Les données concernées comprenaient les noms, titres et spécialités des professionnels de santé et administrateurs, ainsi que les adresses e-mail, numéros de téléphone et adresses des établissements hospitaliers. Les données exposées incluaient également le type et la durée des procédures da Vinci et Ion ; l'achèvement des formations Intuitive ; les réclamations signalées aux ingénieurs de service terrain d'Intuitive ; les activités d'engagement des professionnels de santé telles que la participation à des événements, le mentorat ou le tutorat ; et les documents d'impact des programmes de remboursement (également appelés Quantify the Impact).
Pour les établissements de santé, les données exposées dans la fuite comprenaient des extraits de données contractuelles commerciales, des rapports de réunions d'alignement commercial automatisées (ABAM) et des ordres de service à compter du 18 janvier 2026. Les données « n'incluent pas d'informations hautement sensibles telles que les coordonnées bancaires, les informations de santé identifiables des patients, ni les mots de passe des clients ou des employés ».
L'incident de cybersécurité chez Intuitive survient quelques jours seulement après qu'un groupe « hacktiviste » soutenu par l'Iran a mené une « attaque par effacement » (wiper attack) contre Stryker, ciblant les données du système informatique Microsoft de Stryker et les effaçant effectivement pour les rendre irrécupérables. Le groupe a déclaré avoir entrepris cette cyberattaque en réponse aux attaques américaines et israéliennes contre l'Iran, à partir du 28 février 2026. Rien n'indique pour l'instant que la fuite chez Intuitive soit liée à la cyberattaque contre Stryker ou ait été exécutée pour des raisons similaires.
L'entreprise a indiqué avoir pris des mesures immédiates pour évaluer et contenir l'incident, lancer une enquête et revoir ses protocoles de sécurité. Elle a également rappelé aux employés les formations et processus de sécurité en ligne. La société a précisé qu'elle continue de communiquer avec ses clients et les autorités de régulation compétentes en matière de protection des données. Intuitive a informé « les forces de l'ordre et autres autorités ».
Dans un développement distinct, Medtronic (NYSE : MDT) supprime 81 postes de son unité Diabète avant sa scission prévue en MiniMed. Un avis WARN (Worker Adjustment and Retraining Notification) déposé en Californie confirme les plans de l'entreprise de licencier 81 employés de son site de Northridge.
L'avis indique que Medtronic a notifié l'État de cette réduction d'effectifs prévue le 5 février 2026. Les licenciements doivent prendre effet le 7 avril 2026. Ces suppressions de postes interviennent alors que Medtronic cherche à séparer son activité Diabète en une société cotée en bourse appelée MiniMed.