← Tous les articles

redaction

Novo Nordisk refuse 25 M$ après un vol de 1,3 To

Le 16 juin 2026, FulcrumSec a revendiqué >1 To volés chez Novo Nordisk et une extorsion de 25 M$. L’entreprise, qui a confirmé un incident le 11 juin, enquête et n’a pas payé.

Par Veille Luxgap 21/06/2026

Le 11 juin 2026, Novo Nordisk, géant pharmaceutique danois (Ozempic/Wegovy), a signalé un accès non autorisé à « un nombre limité de systèmes internes », avec exposition de données liées à des essais cliniques. Le 16 juin 2026, le groupe d’extorsion FulcrumSec a affirmé avoir passé plus de deux mois dans les réseaux, exfiltré jusqu’à 1,3 To et exigé 25 M$ — demande refusée. Les attaquants disent désormais « explorer des ventes privées » des données. À ce stade, pas d’interruption industrielle ni d’impact patient confirmé.

Les faits

  • Quand/qui : incident détecté par Novo Nordisk le 11 juin 2026 ; revendication FulcrumSec le 16 juin 2026.
  • Quoi/combien : exfiltration alléguée >1 To (jusqu’à 1,3 To) ; tentative d’extorsion à 25 M$ (≈21,5 M€).
  • Impact déclaré : systèmes internes limités, données d’essais cliniques ; pas d’arrêt de production rapporté.

Cadre légal et fondement

Au titre du RGPD, les articles 32, 33 et 34 du RGPD imposent des mesures de sécurité de l’état de l’art, la notification sous 72 h à l’autorité compétente et, en cas de risque élevé, l’information des personnes concernées. Pour la cybersécurité réglementée, les entités essentielles/importantes doivent satisfaire aux mesures de gestion des risques et aux délais de notification prévus par les obligations NIS 2 au Luxembourg, y compris lorsqu’un incident touche la chaîne d’approvisionnement ou des filiales opérant sur le territoire.

Ce que cela change pour les entreprises luxembourgeoises

  • L’extorsion sans chiffrement se banalise : la pression vient des fuites sélectives, de la vente privée et de la réputation, même sans blocage d’usine.
  • Les délais réglementaires démarrent à la connaissance de l’incident : détecter, qualifier et notifier en 24/72 h/1 mois exige des journaux complets et une coordination prestataires.
  • La traçabilité R&D et essais devient critique : bases cliniques, dépôts réglementaires, protocoles et données de patients/panels doivent être inventoriés et segmentés.

Actions concrètes à entreprendre cette semaine

  • Réduire l’attaque initiale : MFA résistante au phishing (FIDO2/WebAuthn) sur VPN et SaaS, blocage des jetons persistants, rotation des secrets, désactivation des comptes inactifs, contrôle des applications OAuth, nettoyage des partages et tokens « dormants » en R&D.
  • Durcir la chaîne d’approvisionnement : exiger des journaux exportables, un plan NIS 2 documenté et une alerte contractuelle < 12 h ; tester la révocation des accès tiers (SSO, API, VPN) par projet.
  • Détection et réponse : s’appuyer sur un SOC managé pour la détection et la réponse (MTTD/MTTR, EDR/XDR, corrélation d’alertes) et des playbooks de notification CNPD/ILR prêts à l’emploi.
  • Communication et influence : préparer une position « no‑pay », des messages pour patients/partenaires et une surveillance du dark web pour suivre les fuites et ventes privées.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.

veille actualite extorsion rgpd nis-2 sante luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →