Le PDG d'une entreprise de cybersécurité arrêté après avoir prétendument installé un logiciel malveillant sur des ordinateurs d'hôpital
Suite à un abus de confiance choquant qui met en lumière la menace croissante des attaques internes, le PDG d'une entreprise de cybersécurité a été arrêté pour avoir prétendument installé un logiciel malveillant sur des ordinateurs d'hôpital. Jeffrey Bowie, directeur de Veritaco, basé en Oklahoma, est accusé de deux chefs d'accusation en vertu de la loi sur la cybercriminalité de l'Oklahoma, suite à son arrestation le 14 avril 2025.
L'incident a eu des répercussions dans le monde de la santé et dans le secteur de la cybersécurité, soulevant des questions cruciales sur les vulnérabilités posées par les individus qui sont censés se défendre contre les cybermenaces, et non les créer.
Table des matières
Allégations de violation inquiétante
Selon les documents judiciaires, l'attaque présumée aurait eu lieu le 6 août 2024 à l'hôpital St. Anthony, un important établissement médical d'Oklahoma City. Des images de vidéosurveillance auraient filmé Bowie errant dans les couloirs de l'hôpital, tentant d'accéder à différents bureaux avant de tomber sur deux ordinateurs sans surveillance. Il aurait ensuite installé un logiciel malveillant conçu pour prendre secrètement des captures d'écran toutes les 20 minutes et les envoyer à une adresse IP externe.
Interrogé par le personnel de l'hôpital, Bowie a affirmé qu'il rendait visite à un membre de sa famille en opération et qu'il avait besoin d'utiliser un ordinateur. Cependant, une enquête judiciaire menée par l'équipe de sécurité informatique de St. Anthony a rapidement révélé l'installation d'un logiciel malveillant non autorisé.
« Le 6 août 2024, une personne non autorisée a été identifiée comme ayant accédé à un ordinateur de l'hôpital dans le but présumé d'y installer un logiciel malveillant », a déclaré SSM Health, le système de santé exploitant l'hôpital St. Anthony, dans un communiqué officiel. « Grâce aux précautions mises en place, le problème a été immédiatement résolu et aucune information patient n'a été consultée. »
Informations sur l'accusé
Avant de fonder Veritaco en août 2023, Jeffrey Bowie a fait carrière dans la cybersécurité, travaillant comme ingénieur senior en cybersécurité chez High Point Networks et occupant plusieurs autres postes dans le domaine de la sécurité. Veritaco, décrite sur LinkedIn comme spécialisée dans la cybersécurité, la criminalistique numérique et le renseignement privé, était une petite entreprise qui ne comptait que quelques employés.
Cette faille est particulièrement alarmante car Bowie, compte tenu de son expérience, aurait compris toutes les implications de l’implantation de logiciels malveillants dans un hôpital, un environnement où des vies dépendent de l’intégrité et de la fiabilité des systèmes informatiques.
Sanctions potentielles et enquête en cours
En vertu de la loi de l'Oklahoma, les infractions graves à la loi sur la cybercriminalité peuvent entraîner de graves conséquences, notamment des amendes allant de 5 000 à 100 000 dollars, une peine d'emprisonnement pouvant aller jusqu'à dix ans, ou les deux. Le FBI et les forces de l'ordre locales poursuivent actuellement leur enquête sur cette affaire.
Même si aucun dossier de patient n’a été compromis grâce à l’action rapide du personnel de l’hôpital, ce cas nous rappelle brutalement que les menaces internes peuvent provenir de sources inattendues, même de ceux qui sont censés nous protéger.
Leçons pour le secteur de la santé
Les établissements de santé sont déjàdes cibles privilégiées pour les cyberattaques en raison de la nature sensible des données qu'ils traitent. Cet incident souligne l'importance d'une sécurité physique robuste, de contrôles d'accès stricts, d'une surveillance constante et de processus de vérification rigoureux pour toute personne – même les fournisseurs et les soi-disant experts – qui entre en contact avec les systèmes internes.
Les organisations doivent maintenir une approche de confiance, mais aussi de vérification, en veillant à ce que même les personnes hautement qualifiées ne bénéficient pas d'un accès incontrôlé aux infrastructures critiques. Dans le contexte actuel, la cybersécurité ne se limite pas à la défense contre les attaquants externes : les dangers internes peuvent être tout aussi réels, et parfois même plus dévastateurs.