Le 11 mars 2026, des dizaines de milliers d’employés de Stryker — l’un des plus grands fabricants mondiaux d’équipements médicaux — allument leur ordinateur et découvrent… un écran vide. Leur téléphone professionnel ? Réinitialisé aux paramètres d’usine. Même leurs smartphones personnels inscrits au programme BYOD de l’entreprise ont été effacés pendant la nuit : photos, applis bancaires, tokens d’authentification — tout a disparu. Sur les écrans de connexion, un seul logo : celui d’un petit garçon pieds nus avec une fronde. Bienvenue dans l’une des cyberattaques les plus spectaculaires de 2026.

Un outil de gestion devenu arme de destruction

L’attaque n’a pas utilisé de malware sophistiqué ni de virus exotique. Le groupe Handala — une façade opérée par le ministère iranien du Renseignement (MOIS) selon les analyses de Check Point, CrowdStrike, Microsoft et Palo Alto Networks — a trouvé bien plus efficace : retourner les propres outils d’administration de Stryker contre l’entreprise.

Leur arme ? Microsoft Intune, la plateforme cloud de gestion des appareils mobiles (MDM) utilisée par des millions d’entreprises dans le monde pour gérer, sécuriser et… effacer à distance les appareils de leurs employés. En compromettant un compte administrateur global d’Active Directory, les hackers ont obtenu le contrôle total de la console Intune. De là, ils ont simplement sélectionné l’ensemble des appareils enregistrés et lancé une commande de Remote Wipe massive.

« Pourquoi un seul identifiant d’administrateur global compromis pouvait-il envoyer des commandes d’effacement à 200 000 appareils sans seconde approbation, sans alerte de seuil, sans vérification FIDO2 ? C’est le contrôle qui manquait. » — Jim McMurry, ThreatHunter.ai

Le résultat est vertigineux : plus de 200 000 appareils effacés dans 79 pays, environ 56 000 travailleurs paralysés, des systèmes de commande électronique hors service, et une chaîne d’approvisionnement chirurgicale sévèrement perturbée. Des opérations prévues la semaine du 16 mars ont dû être reprogrammées à cause de retards de livraison.

Un géant de 25 milliards de dollars mis à genoux

Stryker n’est pas une petite structure : l’entreprise a déclaré 25,1 milliards de dollars de ventes mondiales en 2025, soit une hausse de 11,2 % par rapport à 2024, avec 3,2 milliards de bénéfice net. Le groupe projetait entre 8 % et 9,5 % de croissance organique pour 2026.

L’attaque a fait plonger l’action en bourse. Mais au-delà des chiffres financiers, c’est l’impact humain qui frappe : des ambulanciers forcés de décrire un ECG par radio à l’hôpital faute de systèmes connectés fonctionnels — la médecine d’urgence de 2026 ramenée aux procédures de secours des années 1980.

Et Handala ne s’est pas arrêté à l’effacement. Le groupe revendique le vol de 50 téraoctets de données et la compromission de serveurs à travers le monde. L’attaque s’inscrit dans un contexte géopolitique tendu : l’Iran subit depuis janvier 2026 un blackout internet quasi total de plus de 27 jours consécutifs, et ces cyberattaques sont présentées par le groupe comme des représailles aux frappes militaires américaines et israéliennes.

Pourquoi votre PME est aussi concernée

Vous vous dites peut-être : « Stryker est un géant coté au NYSE, je ne suis pas une cible. » Détrompez-vous. Le vecteur d’attaque utilisé — Microsoft Intune — est exactement le même outil que des milliers de PME belges et européennes utilisent pour gérer les téléphones et laptops de leurs employés. Si votre admin IT peut effacer un appareil perdu d’un clic, un hacker le peut aussi.

Le point d’entrée probable ? Un compte VPN compromis, suivi d’une escalade de privilèges jusqu’au Global Administrator d’Active Directory. Check Point a identifié des centaines de tentatives de connexion par force brute sur l’infrastructure VPN de Stryker dans les mois précédant l’attaque, provenant de nœuds VPN commerciaux et même d’adresses IP Starlink pour se fondre dans le trafic légitime.

Et le piège du BYOD se referme : les employés qui avaient inscrit leur téléphone personnel dans le MDM de l’entreprise ont vu leurs données personnelles effacées avec le reste. Un détail qui devrait faire réfléchir toute entreprise proposant ce type de programme.

Comment se protéger dès maintenant

La bonne nouvelle ? Les protections existent et sont souvent gratuites et incluses dans les licences existantes. Voici les mesures prioritaires :

  • Activez l’approbation multi-administrateurs (MAA) pour les actions destructives. Depuis l’attaque, Microsoft a rappelé que cette fonctionnalité est incluse dans Intune Plan 1 : il faut deux admins pour valider un effacement. Dix minutes de configuration, zéro coût supplémentaire.
  • Exigez une authentification MFA résistante au phishing (clés FIDO2/passkeys) pour tous les comptes administrateurs MDM.
  • Créez des alertes sur les effacements en masse : tout effacement de plus de 3 à 5 appareils en moins de 15 minutes doit déclencher une investigation immédiate.
  • Auditez régulièrement les comptes administrateurs Intune et supprimez les affectations permanentes inutiles. Utilisez Privileged Identity Management (PIM) pour du just-in-time access.
  • Repensez vos politiques BYOD : les employés comprennent-ils qu’un MDM d’entreprise peut effacer l’intégralité de leur téléphone personnel ?

À retenir

  • Le groupe iranien Handala a effacé plus de 200 000 appareils Stryker dans 79 pays en détournant Microsoft Intune, l’outil d’administration de l’entreprise elle-même.
  • Aucun malware n’a été utilisé : un seul compte administrateur compromis a suffi pour lancer l’effacement massif — aucune détection endpoint ne pouvait l’intercepter.
  • L’attaque a paralysé 56 000 travailleurs, perturbé des chaînes d’approvisionnement chirurgicales et fait plonger le cours de bourse de ce géant de 25 milliards de dollars.
  • Les téléphones personnels des employés inscrits au programme BYOD ont également été effacés, soulevant des questions majeures sur ces politiques.
  • Des protections simples et gratuites (approbation multi-admin, alertes sur effacements en masse, MFA résistant au phishing) auraient pu stopper l’attaque — vérifiez dès aujourd’hui si votre entreprise les a activées.

Photo : Anna Shvets via Pexels