Cyber Incident Victim: Réseau Radiologique Romand (3R)
Date:
Apr 2025
Location:
Switzerland
Summary
TheRéseau Radiologique Romand (3R) experienced a cyber intrusion that resulted in the theft of patient medical and administrative data and a ransom demand, which the organization refused to pay after notifying the federal cybersecurity office and filing a criminal complaint. With assistance from specialized security partners, the IT team contained the attack, preventing any disruption to imaging services and ensuring that no examination results or images were lost. Although the data breach exposed personal information that could be misused for fraud, the organization warned patients to be wary of suspicious letters, emails, or phone calls requesting additional payments and provided a dedicated webpage with a FAQ for further guidance.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 2 motives | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
Le Groupe 3R a détecté une intrusion informatique qui a entraîné le vol de données patients et une demande de rançon. L’incident a été immédiatement signalé à l'Office fédéral de la cybersécurité (OFCS) et une plainte pénale a été déposée. Conformément aux recommandations de la Confédération, le Groupe 3R a décidé de refuser de payer la rançon exigée. Avec l’appui de partenaires spécialisés en cybersécurité, le service informatique a réussi à bloquer la cyberattaque et à en limiter les conséquences opérationnelles. Malgré l’intrusion, l’activité habituelle de l’ensemble des centres d’imagerie du groupe a pu être maintenue sans perturbation pour les patients. Aucun résultat d’examen ni aucune image n’a été perdu lors de l’incident.
Une analyse ultérieure a confirmé que de nombreuses données de patients, tant médicales qu’administratives, avaient été copiées par les pirates et pourraient faire l’objet d’une utilisation frauduleuse ultérieure ou d’une diffusion. En réponse, le Groupe 3R a mis en place une page web dédiée à l’incident, accessible à l’adresse www.groupe3r.ch/hotline, contenant une première FAQ destinée aux médecins prescripteurs et aux patients. Le groupe a appelé l’ensemble de la patientèle de ses centres d’imagerie en Suisse romande à se méfier de tout contact suspect (lettre, e‑mail ou téléphone) pouvant survenir dans un avenir proche, par exemple une demande de paiement complémentaire pour un examen récemment réalisé.
Selon les informations communiquées par le Groupe 3R le jeudi soir, les données copiées pourraient être utilisées par les hackers à des fins frauduleuses. Le Westschweizer Röntgennetzwerk 3R a indiqué que l’attaque avait été rapidement stoppée et que le fonctionnement de ses installations n’avait pas été perturbé. Le Bundesamt für Cybersécurité a été informé de l’incident, comme l’ont confirmé les deux sources. Les clients ont été invités à rester vigilants face à toute sollicitation inhabituelle pouvant se présenter sous forme de courrier, de courrier électronique ou d’appel téléphonique.