Scattered Spider 2026 : retail, aviation et santé ensuite

Publié le avril 19, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Scattered Spider (UNC3944 / Muddled Libra / Octo Tempest) a causé 300 millions de livres de dommages dans le commerce de détail britannique en 2025, s'est tourné vers l'aviation et les MSP, et Sophos, Trend Micro et le HHS américain prévoient qu'il se concentrera sur la santé en 2026. La chaîne d'attaque est du vishing contre le helpdesk, des SIM-swaps, des abus SaaS fédérés et des rançongiciels choisis par affiliation — sans zero-day nécessaire. Les défenseurs ont plusieurs mois d'avance pour déployer la vérification hors-bande des helpdesks, la MFA résistante au phishing, la détection d'exfiltration SaaS et la segmentation des réseaux cliniques.

En résumé : Les dirigeants de la santé, de l'assurance et des MSP doivent traiter la rotation sectorielle de Scattered Spider 2026 comme une hypothèse de planification active. Le playbook défensif est connu ; la question est de savoir s'il sera livré avant l'intrusion.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l'AlgérieMoyenne▾

Les réseaux santé et assurance algériens sont une cible plus petite et régionale, mais les banques algériennes, télécoms et filiales multinationales partagent la même topologie SSO, helpdesk et MSP que ce groupe exploite. Les techniques sont directement portables.

Infrastructure prête ?Partiellement▾

Les grandes banques et télécoms algériens ont des plateformes d'identité modernes ; l'IT santé dans les hôpitaux publics est moins mature. La MFA résistante au phishing n'est pas encore standard dans les deux secteurs.

Compétences disponibles ?Partielles▾

Les compétences IAM, SaaS security et helpdesk résistant au social engineering sont rares. OWASP Algiers et ISC2 Algérie bâtissent le pipeline de talents.

Horizon d'action6-12 mois▾

Les déploiements de vérification helpdesk et MFA résistante au phishing sont des programmes multi-trimestres. Commencer maintenant positionne une organisation avant la rotation MEA plus large.

Parties prenantesCISO, CIO d'hôpitaux, équipes fraude bancaire, sécurité télécom, éditeurs MSP, responsables helpdesk, architectes d'identité

Type de décisionStratégique▾

Le durcissement de l'identité et du helpdesk sont des programmes pluriannuels, pas des correctifs ponctuels.

De la vague retail à la rotation sectorielle

L'histoire moderne de Scattered Spider commence en avril-mai 2025 avec la vague retail britannique. HackTheBox et Cybersecurity Dive ont documenté les compromissions quasi-simultanées chez Marks & Spencer, Co-op et Harrods : rayons vides chez M&S, paiements sans contact suspendus, pannes qui ont coûté aux retailers environ 300 millions de livres cumulés. Computer Weekly a rapporté que l'équipe threat intelligence de Google confirmait que le même cluster ciblait déjà les retailers américains.

En juin 2025, le groupe avait pivoté vers l'aviation. La rétrospective BlackFog note des attaques sur Hawaiian Airlines, WestJet et un contact-center tiers de Qantas, toutes rattachées aux mêmes TTP. Après l'aviation, le groupe a dérivé vers l'usurpation de MSP et de fournisseurs IT — Infosecurity Magazine a documenté le pivot vers l'usurpation de tech vendors ciblant les helpdesks, et HIPAA Journal a signalé une activité ciblant les MSP avec implications directes santé.

Les perspectives 2026 de IT Pro, s'appuyant sur les évaluations Sophos et Trend Micro 2026 et un profil de menace du US Department of Health and Human Services, identifient la santé comme prochain secteur concentré probable.

Cela donne aux défenseurs quelque chose d'inhabituel dans le suivi rançongiciel : une rotation sectorielle nommée publiquement avec des mois d'avance pour se préparer.

La chaîne d'attaque n'a pas fondamentalement changé

Chaque secteur que ce groupe a touché — retail, aviation, assurance, MSP, et maintenant santé — a suivi approximativement la même chaîne d'attaque. La rétrospective de campagne ExtraHop et l'évaluation Muddled Libra de Palo Alto Unit 42 convergent sur les mêmes étapes :

Accès initial via social engineering sur le helpdesk. L'attaquant appelle le helpdesk IT de la cible en prétendant être un employé légitime ou un MSP sous contrat. Il exploite les processus de vérification faibles — l'appelant connaît le nom, le rôle et le manager de l'employé — et convainc le helpdesk de réinitialiser la MFA ou d'émettre un mot de passe.
SIM swap pour défaire la MFA par SMS si présente. En parallèle ou ensuite, l'attaquant utilise un accès d'insider télécom précédemment acheté pour porter le numéro de la victime vers un appareil contrôlé.
Récolte d'identifiants et accès à la console cloud. Avec un premier pied, l'attaquant pivote dans Okta, Entra, Workspace ou Azure et commence à énumérer les applications SaaS fédérées — Salesforce, Snowflake, ServiceNow, Slack.
Exfiltration de données via API SaaS légitimes. Plutôt que déposer du malware custom, ils utilisent les capacités d'export Salesforce et de requête Snowflake de la victime pour exfiltrer discrètement les données.
Déploiement d'un encryptor DragonForce ou RansomHub. Les recherches Resilience documentent les relations d'affiliation du groupe avec plusieurs opérateurs rançongiciel, leur donnant la capacité de choisir la marque d'encryptor qui convient le mieux à un engagement donné.

Rien dans cette chaîne ne nécessite de zero-day. Cela nécessite un helpdesk disposé à réinitialiser la MFA au téléphone, un insider télécom capable de SIM swap, et un SSO fédéré sans facteurs résistants au phishing imposés. C'est la barre.

Pourquoi la santé est la cible suivante évidente

Quatre facteurs structurels expliquent le pivot prévu.

Culture helpdesk. Les hôpitaux gèrent de grands helpdesks géographiquement dispersés avec un turnover élevé et une forte pression pour débloquer les cliniciens rapidement. C'est exactement l'environnement que Scattered Spider exploite le mieux.
Immaturité d'identité fédérée. La plupart des réseaux santé ont un patchwork d'Active Directory on-prem, Microsoft Entra et systèmes d'identité sectoriels (Epic, Cerner/Oracle Health). La MFA résistante au phishing (FIDO2, passkeys, tokens matériels) est bien moins uniformément déployée que dans les services financiers.
Levier d'impact opérationnel. Les temps d'arrêt dans le retail coûtent du chiffre d'affaires. Les temps d'arrêt en santé menacent la sécurité des patients, ce qui rend la pression de rançon plus difficile à résister. Scattered Spider a constamment optimisé pour un levier opérationnel maximum.
Exposition tierce. Les réseaux santé sont profondément entrelacés avec MSP, clearing-houses de claims, éditeurs EHR et SaaS spécialisés. Le pivot récent du groupe vers l'usurpation MSP-vendor, d'après HIPAA Journal, s'articule naturellement avec la topologie supply-chain de la santé.

Le playbook du défenseur santé

Voici la liste courte de contrôles qui brisent démontrablement la chaîne d'attaque Scattered Spider. Aucun n'est nouveau ; tous sont sous-déployés dans la santé aujourd'hui.

Vérification hors-bande du helpdesk. Toute demande de réinitialisation MFA ou mot de passe doit être vérifiée via un canal que l'appelant ne peut pas contrôler — typiquement un rappel au manager de l'employé sur un numéro stocké dans les registres RH, pas donné par l'appelant. Imposer cela comme politique, pas comme suggestion.
MFA résistante au phishing pour tout le personnel à accès privilégié. Clés FIDO2 matérielles ou passkeys plateforme pour cliniciens, admins et personnel IT. Les OTP SMS et voix ne peuvent pas survivre à un SIM swap et doivent être retirés des workflows à haute valeur.
Conditional access sur voyage impossible et login nouveau device. Chaque plateforme d'identité majeure le supporte nativement. C'est l'alerte à signal le plus élevé d'une intrusion Scattered Spider active.
Détection d'exfiltration de données SaaS. Salesforce, Snowflake et M365 exposent tous des API pour monitorer volume d'export ou de requête inhabituel. Activez-les et routez les alertes vers le SOC — pas vers le propriétaire d'application.
Segmentation entre réseaux cliniques et administratifs. Le réseau santé plat traditionnel est le ventre mou. Un déploiement rançongiciel qui ne peut pas traverser des systèmes RH ou helpdesk vers les postes cliniques est un incident fondamentalement survivable.
Vetting MSP tiers et fournisseurs IT. Revoir toute relation IT externe ou MSP avec autorité de réinitialiser des credentials ou d'accéder à des systèmes privilégiés. Exiger qu'ils imposent les mêmes standards de vérification helpdesk, ou révoquer le privilège.

Ce que les dirigeants devraient entendre de leur CISO ce trimestre

Si votre organisation gère de l'infrastructure santé, des claims d'assurance ou des opérations payeur, trois questions appartiennent à la prochaine réunion conseil ou comité risque exécutif :

« Quelle vérification notre helpdesk effectue-t-il avant de réinitialiser la MFA pour un appelant ? L'avons-nous testée avec un appel de social engineering réaliste dans les 90 derniers jours ? »
« Nos admins cliniques et personnel IT utilisent-ils la MFA résistante au phishing, ou dépendons-nous encore du SMS et du push ? »
« Si une intrusion Scattered Spider réussissait demain via le helpdesk, quelles données SaaS quitteraient l'organisation, et combien de temps mettrions-nous à le voir ? »

Si l'une de ces réponses n'est pas concrète, l'organisation est à l'intérieur de la surface cible probable pour 2026.

Où cela laisse les défenseurs

Scattered Spider est l'illustration la plus claire actuelle de comment le rançongiciel est passé du malware-first à l'identity-first. Le malware compte, mais l'intrusion commence avec un appel téléphonique. La rotation sectorielle — retail, aviation, MSP, santé — est un cadeau d'avance que les défenseurs reçoivent rarement en threat intelligence. Les CISO santé, en particulier, ont les mois entre avril et le reste de 2026 pour faire passer la vérification helpdesk, la MFA résistante au phishing et le monitoring SaaS de la roadmap à la production. Les organisations qui utilisent ce tir d'avertissement sont dans une position très différente de celles qui découvrent la leçon à travers un incident.

À retenir : Les dirigeants santé, assurance et MSP doivent traiter la prévision Scattered Spider 2026 comme une hypothèse de planification vivante. Passer la vérification MFA-reset helpdesk hors-bande ce trimestre, accélérer la MFA résistante au phishing pour le personnel privilégié, activer le monitoring d'exfiltration de données SaaS et segmenter les réseaux cliniques des administratifs. Les banques et télécoms algériens opérant des topologies SSO similaires devraient emprunter le même playbook.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Scattered Spider est-il le même groupe que Muddled Libra et UNC3944 ?

Oui. Scattered Spider est le nom neutre d'un cluster de menaces que Mandiant suit comme UNC3944, Palo Alto Unit 42 comme Muddled Libra, Microsoft comme Octo Tempest, et d'autres éditeurs comme Starfraud. Le groupe est majoritairement jeune, anglophone, orienté social engineering, et a décalé ses affiliations à travers les marques rançongiciel incluant ALPHV/BlackCat, RansomHub et DragonForce.

Qu'est-ce qui distingue ce groupe des affiliés rançongiciel traditionnels ?

Trois choses. D'abord, ils attaquent en priorité par social engineering contre les helpdesks et individus plutôt que d'exploiter des vulnérabilités serveur. Ensuite, ils préfèrent exfiltrer les données via API SaaS légitimes (Salesforce, Snowflake) plutôt que déposer du malware custom. Enfin, ils tournent méthodiquement entre secteurs — retail, aviation, MSP, et maintenant santé — permettant aux défenseurs d'anticiper la prochaine cible probable.

Si nous n'opérons ni aux États-Unis ni au Royaume-Uni, devons-nous quand même nous préparer ?

Oui. Les techniques du groupe ne sont pas spécifiques à une géographie. Les multinationales opérant en Algérie, dans la région MENA et en Afrique partagent les mêmes topologies SSO, helpdesk et MSP que Scattered Spider exploite, et les acteurs copycat qui étudient ces intrusions sont de plus en plus actifs globalement. Le playbook défensif est le même quelle que soit votre région d'opération principale.