Un groupe de cybercriminalité affirme avoir dérobé plus d’un téraoctet de données à Novo Nordisk, géant danois du médicament, selon Numerama. L’incident, révélé début juin 2026, concerne des systèmes internes du laboratoire, spécialiste des traitements contre le diabète (Ozempic) et l’obésité (Wegovy).

Ce qu'il faut retenir

  • Un groupe d’extorsion, FulcrumSec, revendique le vol de 1,3 téraoctets de données (soit plus de 700 000 fichiers) au géant pharmaceutique Novo Nordisk.
  • Les pirates affirment avoir eu accès aux systèmes internes pendant plus de deux mois, via un jeton d’accès compromis sur la plateforme GitHub.
  • Parmi les données dérobées figurent des codes sources internes, des informations sur des médicaments en développement et des données d’essais cliniques.
  • Le groupe exigeait une rançon de 25 millions de dollars, mais Novo Nordisk affirme ne pas avoir payé.
  • L’entreprise a reconnu un « incident de sécurité » début juin, sans préciser l’ampleur exacte des données exposées.

Avec un chiffre d’affaires annuel dépassant les 20 milliards d’euros, Novo Nordisk s’est imposé comme un acteur incontournable de l’industrie pharmaceutique grâce à ses médicaments à base de sémaglutide. Ozempic et Wegovy, respectivement indiqués contre le diabète de type 2 et l’obésité, portent aujourd’hui une part majeure de sa croissance. Cette dépendance aux blockbusters s’accompagne d’une modernisation accélérée de ses outils numériques, intégrant des plateformes collaboratives comme GitHub pour accélérer la recherche et le développement.

C’est précisément cette transition vers une infrastructure numérique dense qui semble avoir ouvert une brèche. Début juin 2026, Novo Nordisk publiait un communiqué laconique reconnaissant un « incident de sécurité informatique ». L’entreprise évoquait un accès non autorisé à un nombre limité de systèmes IT internes, confirmant que des données non publiques avaient été copiées à l’extérieur. Parmi elles, des informations issues d’essais cliniques — dont les données patients sont pseudonymisées — et assurant que ses opérations essentielles restaient fonctionnelles. Cependant, le communiqué ne précisait ni la nature exacte des essais concernés, ni le nombre de patients impliqués, ni la durée d’accès des attaquants.

Mais selon FulcrumSec, groupe apparu à l’automne 2025, l’ampleur de l’intrusion serait bien plus vaste. Dans une déclaration relayée par Reuters, les pirates détaillent une méthode d’infiltration en deux temps : d’abord, la compromission d’un jeton d’accès GitHub rattaché aux outils de développement de Novo Nordisk. Avec ce sésame, ils auraient pu se connecter à l’espace privé du laboratoire, cloner des dépôts internes de code, puis exploiter ces données pour extraire des identifiants et accéder à des systèmes plus sensibles.

Une fois à l’intérieur, FulcrumSec affirme avoir exploré l’environnement de l’entreprise pendant plus de deux mois, découvrant dans le code source des secrets industriels : identifiants, clés d’accès, connexions à des bases de données et pipelines de recherche. Ces outils leur auraient permis de déverser 1,3 téraoctet de données, soit plus de 700 000 fichiers, selon leur décompte. Parmi eux, Numerama détaille une liste partielle fournie par les pirates : du code source interne, des informations confidentielles sur des médicaments commercialisés ou en développement, des données d’essais cliniques, des informations relatives à des employés, médecins et patients, ainsi que des éléments sur les installations de production et des modèles d’intelligence artificielle internes.

FulcrumSec a tenté de monnayer son silence en exigeant une rançon de 25 millions de dollars, une demande que Novo Nordisk aurait refusée. Dans un communiqué publié le 16 juin 2026, le groupe de cybercriminalité menace désormais de publier ou de mettre en vente certaines données, en ciblant particulièrement celles à forte valeur commerciale ou scientifique. Pourtant, FulcrumSec précise qu’il ne divulguera pas certaines catégories d’informations : les données de 11 500 patients pseudonymisés impliqués dans des essais cliniques, les informations concernant des milliers d’employés et de médecins du laboratoire, ainsi que les données liées aux technologies opérationnelles pilotant les sites de production. Une stratégie présentée comme une « réduction des risques », sans que son efficacité puisse être évaluée.

« Nous sommes au courant des allégations selon lesquelles des données auraient été copiées en externe sans autorisation à partir de nos systèmes et publiées en ligne. Nous prenons cette affaire très au sérieux et nos principales plateformes restent pleinement opérationnelles. Nous sommes en contact avec les autorités compétentes. »

Un porte-parole de Novo Nordisk, cité par Reuters

Pour l’heure, l’entreprise danoise n’a pas confirmé la version des faits avancée par FulcrumSec. Dans son communiqué initial, elle évoquait un « incident de sécurité » sans mentionner de rançon — une omission qui contraste avec les pratiques habituelles dans ce type d’affaires. Novo Nordisk assure avoir mené ses propres investigations et être en lien avec les autorités compétentes, mais sans préciser si l’enquête a permis de confirmer ou d’infirmer les détails techniques fournis par les pirates. Difficile donc, à ce stade, de distinguer ce qui relève des faits établis de ce qui pourrait relever de l’exagération ou de la stratégie de communication des cybercriminels.

Si certains éléments du récit de FulcrumSec restent invérifiables, l’incident illustre une tendance de fond : la santé est devenue une cible privilégiée pour les groupes d’extorsion. Derrière ces « incidents de sécurité » se jouent des enjeux bien plus larges que la simple perturbation d’un service. Il s’agit de s’emparer de données de patients, de brevets pharmaceutiques, de secrets industriels ou encore de modèles d’IA — autant de ressources dont la valeur dépasse largement leur coût de développement. Pour Novo Nordisk, dont la valorisation boursière repose en grande partie sur Ozempic et Wegovy, la fuite de ces informations pourrait avoir des conséquences stratégiques, commerciales et réglementaires.

Et maintenant ?

L’enquête interne menée par Novo Nordisk, en collaboration avec les autorités compétentes, devrait permettre de clarifier l’étendue réelle des données exposées et les vulnérabilités exploitées par les pirates. Une publication partielle ou ciblée des données dérobées par FulcrumSec pourrait intervenir dans les prochaines semaines, si le groupe maintient sa menace. Par ailleurs, les régulateurs sanitaires, notamment l’Agence européenne du médicament (EMA) ou la FDA américaine, pourraient être amenés à se prononcer sur l’impact de cet incident sur la sécurité des essais cliniques et la protection des données patients. Enfin, cet événement pourrait accélérer les audits de sécurité chez Novo Nordisk, notamment sur ses outils de développement collaboratif comme GitHub.

Reste à savoir si cet incident entraînera des modifications dans la gouvernance numérique du laboratoire ou si, au contraire, il sera rapidement éclipsé par les performances commerciales de ses médicaments phares. Une chose est sûre : dans un secteur où l’innovation se mesure en années de recherche et en milliards d’investissements, la perte de confiance des patients et des investisseurs pourrait s’avérer bien plus coûteuse que la rançon initialement exigée.

Selon les informations disponibles, les données patients exposées sont pseudonymisées : elles sont associées à des identifiants d’étude plutôt qu’à des noms ou coordonnées directes. Novo Nordisk précise que les participants aux essais cliniques concernés doivent rester vigilants, sans donner de détails supplémentaires sur le nombre exact de patients ou la nature des essais. FulcrumSec affirme pour sa part ne pas divulguer ces données, sans que cette promesse puisse être vérifiée.

Les risques pour Novo Nordisk sont multiples : perte de confiance des patients et des médecins, sanctions réglementaires, concurrence accrue sur ses brevets, ou encore impact sur la valorisation boursière. Une fuite de données d’essais cliniques pourrait aussi retarder des autorisations de mise sur le marché pour de nouveaux médicaments. Enfin, l’image de l’entreprise, déjà scrutée pour ses pratiques commerciales autour d’Ozempic, pourrait être affectée.