Début

Été 2022 / Cybersécurité : CH Sud francilien, Ehpad de l’Eure… Retour sur les principales attaques

Paris - Publié le vendredi 2 septembre 2022 à 17 h 04 - n° 15043 Plus de 2 millions d’euros : c’est le coût auquel s’élèverait la réorganisation du fonctionnement du Centre hospitalier Sud francilien (CHSF), à Corbeil-Essonnes (Essonne), à la suite de la cyberattaque par ransomware (rançongiciel) identifiée le 21 août 2022, impactant tout le réseau informatique de l'établissement. Les pirates réclament une rançon de 10 millions de dollars : le CH a tout de suite affirmé qu’il ne paierait pas la somme réclamée.

Le parquet de Paris a été saisi de l'enquête confiée au Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale. Le CHSF précise dans un communiqué que les experts travaillent sur 3 axes prioritaires :
• « identifier la source de l’attaque » ;
• « analyser le périmètre de l’attaque sur [le] réseau » ;
• « sécuriser les sauvegardes ».

CHSF : un fonctionnement au ralenti avec un retour au papier


Depuis cette attaque, les service du CHSF (1 000 lits, bassin de 600 000 habitants desservi) fonctionnent « en mode dégradé », contraignant les équipes à l'utilisation des dossiers papier : si l'établissement tente au mieux de continuer les interventions médicales, la base de données informatiques est inaccessible, certains patients des services d’urgences sont redirigés vers d’autres hôpitaux et des soins ont dû être reprogrammés.

Les personnes déjà hospitalisées dans l'établissement peuvent cependant continuer à être prises en charge, rassure le centre hospitalier. La cyberattaque n’impacte pas le fonctionnement, la logistique, les services médico-techniques, la sécurité du bâtiment ni ses réseaux téléphoniques.

« On avance pas à pas, indique Medhy Zeghouf, président du conseil de surveillance du CHSF (Le Parisien). Cela va être long. On sécurise des secteurs et on les rouvre un par un. C’est comme du déminage. »

Selon les informations parues dans la presse, l'établissement était en train d’achever son audit de cybersécurité quand il a été attaqué. Selon François BraunFrançois Braun «  un retour à la normale n’est pas prévu avant plusieurs semaines, voire plusieurs mois ».


📌 POUR RAPPEL : 20 millions d’euros supplémentaires ont été débloqués pour permettre à l’AnssiAgence nationale de la sécurité des systèmes d’informationAgence nationale de la sécurité des systèmes d’information de « renforcer son accompagnement auprès des établissements de santé ». Une initiative annoncée par le ministre de la Santé et de la prévention François BraunFrançois Braun, intervenu le 26 août lors d’une visite au CHSF, aux côtés du ministre délégué chargé de la Transition numérique et des Télécommunications Jean-Noël BarrotJean-Noël BarrotJean-Noël Barrot (l’article en intégralité ici).

« En 2021, on a constaté près d’une attaque par semaine sur nos établissements de santé, a notamment souligné Jean-Noël Barrot, ajoutant qu’« en 2022, ce chiffre a baissé au premier semestre de 50 % ».

Une autre attaque par ransomware dans un EhpadEhpadEtablissement d’Hébergement pour Personnes Agées Dépendantes de l’Eure


Le 24 août, l'Ehpad Les Franches Terres à Beuzeville (Eure) a été lui aussi touché par une cyberattaque par ransomware. Dans un communiqué, la direction générale du GHTGHTGroupement hospitalier de territoire de l’Estuaire de la Seine (auquel est rattaché l'établissement) indique que les informations suivantes sont concernées :
• « les données administratives et médicales contenues dans les dossiers des résidents » ;
• « les données contenues dans les dossiers administratifs des agents ».

L’Ehpad a immédiatement « isolé et protégé l’intégralité du système d’information », souligne la direction générale du GHT. Ajoutant avoir signalé la survenue de l’incident auprès des autorités de contrôle compétentes et avoir « déposé plainte contre X auprès de la gendarmerie de Pont-Audemer ».

Autres mesures mises en place :
• déclenchement d’un « plan blanc » ;
• mise en place d’une cellule de crise.

Le GHT assure que les données concernées n’ont « à [sa] connaissance » pas été exploitées. Des investigations sont toujours en cours.

Le groupement indique que la prise en charge de ses résidents (60) « n’est pas impactée » (Europe 1) : « l’incident reste relativement isolé, il y a 10 postes informatiques et un serveur concernés. Des procédures dégradées ont été mises en place. » Un retour à la normale est prévu prochainement.


NB : En cette semaine de rentrée, Health & Tech Intelligence vous propose un retour sur l’actualité forte du mois d’août 2022 dans le domaine du numérique en santé (articles titrés « Été 2022 »), avec un récapitulatif des nouvelles annonces sur le plan réglementaire et institutionnel, des nominations mais aussi les dernières activités du marché (levées de fonds, acquisitions…).

📌 À LIRE AUSSI :
Carte Vitale biométrique, télésurveillance… Le point sur les textes clés publiés au JO ;
seulement +3,6 M€ levés en août par les sociétés françaises du numérique en santé ;
Resmed, Medtronic, Ascom… Les principales opérations du marché (France & international) ;
Servier & GNS, Cegedim & Val Solutions… Le point sur les partenariats clés annoncés.
© Pixabay
© Pixabay

Cybersécurité - © Image by Pete Linforth from Pixabay

Attaque par rançongiciel : l’Anssi appelle à ne pas payer

Attaque par rançongiciel : l’Anssi appelle à ne pas payer

Dans un guide, l’Anssi souligne que « le maître mot est de ne pas payer » en cas d’une cyberattaque de type rançongiciel.

Les autres recommandations de l’agence :
• sauvegarder les données ;
• maintenir à jour les logiciels et systèmes d’information (SI) ;
• cloisonner les SI ;
• couper les accès réseaux et internet  ;
• déposer plainte.

Cybercriminalité : le secteur de l’assurance aussi touché

Les données personnelles de 80 000 adhérents de Emoa Mutuelle du Var auraient fuité, a révélé Libération dans un article publié le 29 juillet : l’entreprise a déposé plainte le 2 août, indiquant qu’elle poursuivait son audit technique sur ses services en ligne pour identifier les failles responsables de ce hack et mieux sécuriser son système d’information. Le site web est désormais de nouveau accessible.

Des coordonnées bancaires d’une quarantaine de personnes concernées

« Des lignes d’une ancienne base - dans laquelle se trouvaient des coordonnées d’adhérents, comme le nom, le prénom, l’adresse, l’email - ont effectivement été dérobées », indique une source interne de la mutuelle, interrogé par l’Argus de l’assurance. Ajoutant que le piratage de documents plus sensibles (photocopies de cartes d’identité, coordonnées bancaires (RIB, IBAN, BIC) ne concerne qu’une quarantaine de personnes.

Mesures mises en place pour limiter l’impact de l’attaque :

  • analyses du système ;
  • renforcement des protocoles d’identification ;
  • déploiement de nouveaux outils ;
  • collaboration avec l’Anssi et la CnilCommission Nationale de l'Informatique et des Libertés ;
  • communication auprès des adhérents.

2 incidents identifiés

La mutuelle indique avoir été informée de cette fuite de données le 14 mars. Après enquête, elle avait identifié la faille et l’avait corrigée, puis avait mis en place un plan de prévention présenté à la Cnil. Une plainte avait là encore été déposé.

Selon Libération, la société aurait été victime d’une deuxième fuite de données en avril mais selon Emoa Mutuelle du Var, il n’y a pas de certitude concernant cette deuxième attaque, « le fichier d’adhérents publié en avril [étant] le même que celui publié en mars mais avec un peu plus de lignes » (APM).

La mutuelle précise qu’un plan de sécurisation des systèmes d’information et des investissements de centaines de milliers d’euros (sur 3 ans) avait été présenté et validé par le conseil d’administration en décembre 2021 :

  • l’audit prévu sur les risques d’intrusion a été accéléré ;
  • un plan de formation des salariés sur la prévention a débuté.

Plusieurs cyberattaques ont été recensées depuis 1 an dans le secteur français de l’assurance, de la réassurance et du courtage.

Parmi les sociétés touchées :

  • la Caisse centrale de réassurance (CCR) : juillet 2022 ;
  • AprilApril et le groupe familial Adelaïde (propriétaires des courtiers  Verlingue, Génération et Coverlife) : novembre 2021 ;
  • AssurOne (filiale du groupe Prévoir) : été 2021.

UK : une cyberattaque d’un éditeur fournisseur du NHS

L'éditeur de logiciels Advanced, fournisseur des services au NHSNational Health Service, le système de santé britannique, a repéré début août « un problème de sécurité » :

  • le numéro d’appel d’urgence (le 111), utilisé par exemple pour le transfert d’ambulances, a été temporairement  dans l’incapacité d’accéder au logiciel Adastra de l'éditeur ;
  • le logiciel Caresys du même éditeur (utilisé par un millier d’organisations de soins) lui aussi n'était plus accessible.

Advanced a pu confirmer que le problème était lié à une cyberattaque : tous les environnements de santé et de soins ont été isolés.

Une enquête a été conduite par le centre national de cybersécurité de la National Crime Agency.

📌 Pour aller plus loin :

Les dernières publications H&TI relatives à la cybersécurité en santé :

Fin
loader mask
1