La récente cyberattaque contre Stryker Corporation, qui a entraîné la réinitialisation d'usine de plus de 200 000 appareils dans 79 pays, a révélé des limites fondamentales dans les systèmes de sécurité des terminaux conventionnels. Selon VectorCertain LLC, leur plateforme d'intelligence artificielle SecureAgent pour la sécurité et la gouvernance aurait empêché cette attaque grâce à son architecture de gouvernance pré-exécution, une affirmation étayée par une validation à travers quatre cadres institutionnels et techniques.
Le 11 mars 2026, l'unité de cyberattaque Handala de l'Iran a exécuté ce qui a été décrit comme l'attaque de type « wiper » (effaceur) d'entreprise la plus destructrice de ces dernières années. Les attaquants ont utilisé un seul identifiant d'administrateur global compromis pour émettre un appel API Microsoft Intune légitime, effaçant les appareils sans déployer aucun logiciel malveillant. Le formulaire 8-K de la SEC de Stryker Corporation a confirmé l'attaque et indiqué que l'entreprise n'a trouvé « aucune indication de rançongiciel ou de logiciel malveillant », ce qui montre que l'attaque a contourné toutes les couches de sécurité des terminaux conventionnelles.
L'analyse de VectorCertain révèle que l'attaque correspondait précisément à cinq techniques du cadre MITRE ATT&CK, notamment T1078.004 (Comptes valides : Comptes cloud) pour l'accès initial et T1485 + T1561 (Destruction de données + Effacement de disque) pour l'impact. L'évaluation MITRE ATT&CK Enterprise Round 7 avait précédemment documenté une protection de 0 % contre les attaques par identité chez les neuf fournisseurs évalués en 2024, une statistique qui explique pourquoi les systèmes de détection et de réponse des terminaux (EDR) n'ont pas détecté l'attaque Stryker.
Le pipeline de gouvernance à quatre portes de SecureAgent évalue chaque action administrative avant son exécution, l'ensemble du processus se terminant en moins d'une milliseconde. Selon l'évaluation interne de VectorCertain, la Porte 3 (TEQ-SG) aurait attribué à l'identifiant d'administrateur global compromis un score de confiance d'identité de 0,11 et émis une décision INHIBER, bloquant la commande d'effacement avant qu'aucun appareil ne soit affecté. Cette capacité de prévention a été validée par rapport aux 230 objectifs de contrôle du cadre de gestion des risques liés à l'IA du Trésor américain pour les services financiers et aux 278 énoncés de diagnostic du profil v2.1 du Cyber Risk Institute.
Les implications de l'attaque vont au-delà des préoccupations traditionnelles en matière de cybersécurité pour toucher le domaine émergent de la sécurité des agents d'IA. Alors que les agents d'IA reçoivent de plus en plus d'identifiants administratifs et d'accès aux plateformes de gestion, le potentiel d'attaques similaires à la vitesse de la machine augmente considérablement. L'incident Stryker démontre ce qu'un seul identifiant compromis peut accomplir lorsqu'il a accès à l'infrastructure de gestion, avec des pertes potentielles estimées à des centaines de millions de dollars.
Les preuves de validation de VectorCertain incluent 11 268 tests réussis dans leur évaluation sprint MITRE ATT&CK ER7++ sans aucun échec, et 14 208 essais dans leur auto-évaluation MITRE ATT&CK ER8 avec un score TES de 98,2 %. L'entreprise se positionne comme le premier et unique participant (S/IA) de l'histoire des évaluations MITRE ATT&CK, se concentrant spécifiquement sur les plateformes de gouvernance de l'IA. Des détails supplémentaires sur l'attaque et ses implications sont disponibles dans les articles de BleepingComputer et Infosecurity Magazine.
Le contexte géopolitique de l'attaque révèle que Stryker a été ciblé en raison de son acquisition en 2019 d'OrthoSpace, une entreprise israélienne de technologie médicale, selon le manifeste de Handala. Ce schéma de ciblage suggère que les organisations multinationales ayant des relations avec certaines régions peuvent être confrontées à un risque cyber accru. L'empreinte dans 79 pays de l'attaque Stryker démontre comment la compromission d'un seul identifiant peut désormais avoir des conséquences mondiales, affectant 25 milliards de dollars de revenus annuels et 56 000 employés.
Les experts de l'industrie ont noté la nature structurelle de l'échec de sécurité. Denis Calderone, directeur de la technologie chez Suzu Labs, a déclaré que « la plateforme de gestion des terminaux était l'arme » dans cette attaque, soulignant pourquoi les systèmes EDR positionnés uniquement sur les terminaux étaient inefficaces. Le coût moyen d'une violation de données aux États-Unis est de 10,22 millions de dollars, les architectures axées sur la prévention permettant aux organisations d'économiser 2,22 millions de dollars par incident selon le rapport sur le coût d'une violation de données 2024 d'IBM Security.
L'approche de VectorCertain représente un changement de paradigme, passant de la détection après exécution à la prévention avant exécution, répondant à ce que l'entreprise identifie comme une lacune architecturale fondamentale dans la cybersécurité conventionnelle. Alors que les organisations déploient de plus en plus d'agents d'IA avec des privilèges administratifs, le besoin de systèmes de gouvernance pré-exécution capables d'évaluer les actions avant qu'elles n'atteignent l'environnement d'exécution devient plus critique. L'attaque Stryker sert de démonstration concrète à la fois des limites des approches de sécurité actuelles et du potentiel des architectures axées sur la prévention.
