Cyberattaque contre Bell Ambulance : les données de 237 830 patients exposées

237 830 personnes sont concernées par une cyberattaque visant Bell Ambulance, le plus grand prestataire d’ambulances du Wisconsin. L’intrusion, détectée le 13 février 2025, a conduit au vol d’informations très sensibles, numéros de Social Security, permis de conduire, données bancaires, informations médicales et d’assurance santé. Le groupe Medusa a revendiqué l’opération, avec une demande de rançon de 400 000 dollars pour des données présentées comme massivement exfiltrées.

Ce qui frappe, c’est le décalage de calendrier. Des notifications ont démarré au printemps 2025, mais l’ampleur totale n’a été clarifiée qu’au fil de mois d’analyse, avec de nouvelles vagues de courriers jusqu’en 2026. Entre-temps, l’entreprise a dû continuer à assurer l’activité, environ 140 000 interventions par an, avec plus de 750 employés répartis sur plusieurs villes, de Milwaukee à Kenosha. Pour les patients, la question devient très concrète, que faire quand tes données médicales et ton identité peuvent circuler en même temps.

Bell Ambulance détecte l’intrusion le 13 février 2025

Le point de départ est daté, 13 février 2025. Bell Ambulance indique avoir repéré une activité non autorisée sur son réseau et avoir fait appel à des experts externes pour contenir l’incident et comprendre ce qui avait été consulté ou copié. Dans ce type de dossier, l’enjeu n’est pas seulement de “remettre en route”, c’est de reconstituer la chronologie, quels serveurs ont été touchés, quels comptes ont servi de porte d’entrée, et combien de temps l’attaquant est resté.

Dans les services d’urgence, le numérique est partout, dossiers d’intervention, facturation, échanges avec les assureurs, coordonnées des patients, parfois des éléments cliniques. Quand une attaque survient, tu peux avoir une partie “visible”, des systèmes ralentis ou verrouillés, et une partie “silencieuse”, l’exfiltration de données. Ici, l’entreprise reconnaît le vol d’informations à forte valeur pour la fraude, SSN, permis, comptes financiers, données de santé.

Bell Ambulance n’est pas un petit acteur local. Le prestataire opère depuis des stations réparties dans l’aire de Milwaukee, Wauwatosa, Waukesha, Racine, Mount Pleasant, Kenosha, et d’autres communes. Avec environ 140 000 appels gérés chaque année, la continuité de service devient une contrainte permanente, tu ne peux pas “fermer boutique” plusieurs jours. Cette réalité pèse sur la gestion de crise, isolation des systèmes, bascules, procédures dégradées.

Le dossier illustre aussi un angle moins visible, la durée des investigations. Les notifications ont commencé pour une partie des personnes dès avril 2025, mais l’identification complète des victimes a continué pendant des mois. Des personnes supplémentaires ont été découvertes à l’automne, puis de nouvelles communications ont été envoyées en 2026. Ce tempo long est frustrant pour le public, mais il reflète souvent la complexité des environnements informatiques et la nécessité de vérifier précisément quels fichiers ont été compromis.

237 830 personnes touchées, SSN et données médicales volés

Le chiffre final communiqué est massif, 237 830 personnes concernées. L’attaque ne se limite pas à des coordonnées basiques. Les éléments cités incluent des numéros de Social Security, des numéros de permis de conduire, des informations de comptes financiers, et des données médicales et d’assurance. Pris ensemble, ce cocktail est redoutable, il permet à la fois l’usurpation d’identité, l’ouverture de lignes de crédit, et des escroqueries ciblées jouant sur la santé.

Un détail important, une partie des informations relève de la santé au sens réglementaire. Les analyses menées après l’intrusion ont conclu que des informations de santé protégées avaient été compromises, avec un volume mentionné à 114 000 personnes pour ce volet dans les premières évaluations. Dans la pratique, ça peut inclure des informations de prise en charge, des identifiants d’assurance, des éléments de facturation, parfois des notes liées à l’intervention. Même sans diagnostic complet, ce sont des données intimes.

Pour les victimes, le risque n’est pas théorique. Avec un SSN et une date de naissance, un fraudeur peut tenter des démarches administratives, des demandes de crédit, ou des changements d’adresse. Avec des données d’assurance, il peut viser des arnaques au remboursement ou des faux appels se faisant passer pour un assureur. Et avec une mention d’intervention d’ambulance, il peut construire un scénario crédible, “je t’appelle suite à ton transport médical”, ce qui augmente le taux de réussite des escroqueries.

L’entreprise indique avoir proposé une surveillance de crédit et une protection contre le vol d’identité sur 12 ou 24 mois. C’est devenu un standard après ce type de fuite, mais ça a une limite, les données comme le SSN ne “changent” pas facilement, et les tentatives de fraude peuvent survenir bien après la fin de la période offerte. C’est là qu’il faut être lucide, l’offre rassure, mais elle ne supprime pas le risque, elle donne surtout des outils pour détecter plus vite.

Medusa revendique l’attaque et réclame 400 000 dollars

Le groupe Medusa a revendiqué l’attaque et a associé cette revendication à une demande de rançon de 400 000 dollars. Les criminels ont aussi mis en avant un volume de données exfiltrées de 219 Go. Ce type de mise en scène sert deux objectifs, faire pression sur l’organisation pour payer, et crédibiliser la menace de divulgation. Dans le secteur de la santé, la pression est plus forte, car la réputation et la conformité réglementaire comptent autant que l’opérationnel.

Medusa est décrit par les autorités américaines comme un acteur de type “ransomware-as-a-service”, apparu en juin 2021, et associé à plus de 300 attaques visant des infrastructures critiques. Le mode opératoire signalé inclut des techniques d’extorsion renforcées, avec menace de publication, pression directe, et parfois contact des victimes. Quand tu as un prestataire d’urgence en face, la tentation de payer peut monter, parce que l’organisation doit continuer à fonctionner, et parce que la fuite de données est déjà un fait.

Un mois après l’incident Bell, des agences fédérales ont diffusé une alerte urgente sur les attaques de Medusa contre des organisations d’infrastructures critiques aux États-Unis. Le groupe a été associé à des cibles variées, administrations, santé, et même des organisations médiatisées comme NASCAR. Cette diversité indique une logique opportuniste, dès qu’un réseau est accessible, la capacité à payer et l’impact public deviennent des leviers. Pour une entreprise d’ambulances, l’impact public est immédiat, parce que l’activité touche la population au quotidien.

Il faut aussi poser une nuance, la revendication d’un gang ne donne pas tous les détails techniques, et les chiffres annoncés par les criminels servent leur stratégie. Mais les éléments confirmés par l’organisation sur la nature des données volées et le nombre de personnes touchées placent l’incident dans la catégorie des fuites lourdes. Le débat sur le paiement d’une rançon reste piégé, payer n’assure pas la suppression des copies, et ne répare pas l’exposition initiale des informations personnelles.

Notifications étalées de 2025 à mars 2026, enquête longue

Le calendrier des notifications raconte une histoire de longue haleine. Après la détection mi-février 2025, Bell Ambulance a commencé à prévenir une partie des personnes concernées en avril 2025. Puis l’entreprise a continué à identifier des victimes supplémentaires “tout au long de l’automne”. Ce schéma est fréquent, au départ tu as une estimation, puis tu explores des sauvegardes, des serveurs, des boîtes mail, des répertoires partagés, et tu découvres que des données plus anciennes ou plus larges ont été touchées.

Des étapes clés sont mentionnées en 2026, une nouvelle vague d’identification au 15 janvier 2026, puis la fin de l’examen des données au 20 février 2026. Enfin, de nouveaux courriers ont été envoyés le 9 mars 2026. Pour les personnes touchées, cette succession peut donner l’impression d’un flou, mais elle reflète souvent une exigence de précision, annoncer trop tôt un périmètre incomplet peut conduire à des rectifications, et à une perte de confiance encore plus forte.

Le fait que des notifications aient été déposées auprès d’une autorité d’État, ici le Maine Attorney General, montre la dimension réglementaire. Les entreprises opérant dans la santé et les services associés doivent notifier selon des cadres spécifiques, et parfois dans plusieurs États selon le lieu de résidence des personnes. Ça ajoute une couche administrative, mais ça oblige aussi à formaliser, nombre de victimes, catégories de données, mesures proposées. Dans ce dossier, le chiffre de 237 830 apparaît précisément dans ces déclarations.

Une critique s’impose, même si elle est inconfortable, plus d’un an entre l’attaque et la compréhension complète du périmètre, c’est long pour les victimes. Sur le terrain, ça signifie que certaines personnes ont pu rester des mois sans savoir que leur SSN était exposé. Les enquêtes numériques prennent du temps, mais ce délai rappelle la nécessité d’outils de détection et de journalisation robustes, capables de dire rapidement quoi, quand, et qui a été touché, sans dépendre d’une reconstitution tardive.

Urgences médicales et cybersécurité, le Wisconsin face au risque systémique

Quand une entreprise gère environ 140 000 interventions par an, la cybersécurité devient un sujet de sécurité publique. Les ambulanciers dépendent de la coordination, des plannings, des échanges avec les hôpitaux, et de la facturation. Une attaque peut forcer des procédures dégradées, papier, téléphone, doubles saisies, ce qui augmente le risque d’erreur et la charge de travail. Même si l’incident est présenté ici surtout sous l’angle des données volées, la pression opérationnelle est implicite.

Le cas Bell s’inscrit dans une tendance plus large, les rançongiciels ciblent des organisations qui ne peuvent pas se permettre l’arrêt. Les autorités fédérales ont déjà signalé que Medusa vise des infrastructures critiques et des établissements de santé. La raison est simple, l’urgence crée un rapport de force favorable aux criminels. Dans un service d’ambulances, le moindre retard a un coût humain potentiel, ce qui rend la gestion de crise plus sensible que dans un secteur où tu peux suspendre l’activité quelques jours.

Sur la protection des personnes, les recommandations deviennent très concrètes, surveiller les relevés bancaires, activer des alertes de crédit si disponibles, se méfier des appels ou mails qui exploitent des détails médicaux, et vérifier toute demande d’information. Les escrocs utilisent souvent une approche “support technique” ou “assurance santé”, avec des scripts crédibles. Le fait que des données médicales et d’assurance aient été volées augmente le risque de phishing personnalisé, et pas seulement de fraude financière brute.

Pour les organisations, l’incident rappelle des priorités, segmentation réseau, sauvegardes isolées, authentification renforcée, et exercices de crise réguliers. Mais il faut éviter l’illusion, la conformité ne suffit pas, et les audits annuels ne voient pas tout. Dans un environnement où un groupe revendique 219 Go exfiltrés et une demande de rançon de 400 000 dollars, la question devient aussi budgétaire, combien investir en prévention, combien en réponse à incident, et comment imposer des exigences de sécurité aux prestataires et sous-traitants qui touchent aux données de santé.