Cyberattaque du centre hospitalier de Corbeil-Essonnes : les données de santé divulguées
Les pirates informatiques auteurs de l'attaque contre l'hôpital de Corbeil-Essonnes (Centre hospitalier sud-francilien / CHSF) en août ont mis à exécution leurs menaces en divulguant les informations de santé volées, faisant planer un risque de chantage ou d'extorsion sur les personnes concernées. "Nous ne céderons pas face à ces criminels. L'ensemble des services de l'État sont mobilisés" au côté de l'hôpital, a déclaré le ministre de la Santé, François Braun, dans un tweet dimanche 25 septembre 2022.
Selon le communiqué de presse publié dimanche par l'hôpital, les informations divulguées par les pirates via le "dark web semblent concerner nos usagers, notre personnel ainsi que nos partenaires". Parmi elles figurent "certaines données administratives", dont "le numéro de sécurité sociale", et "certaines données santé telles que des comptes-rendus d'examen", a poursuivi le centre hospitalier. "L'attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l'espace de stockage du CHSF (environ 10%)", ajoute-t-il. C'est le blog de cybersécurité Zataz.com, qui avait donné l'alerte, affirmant qu'une "première diffusion (de données) a(vait) été orchestrée sous la forme d'un fichier compacté de 11,7 gigaoctets". Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques (C3N). Le risque est désormais que des escrocs utilisent les données accessibles pour monter de nouvelles attaques ciblées, en utilisant les informations personnelles à leur disposition pour capter la confiance de la victime.
Dans un entretien accordé à France-Info, le maire de Corbeil-Essonnes, Bruno Piriou, estime que "sur dix ans, ce sont des données qui concernent près d'1,5million de personnes qui ont pu être patients à l'hôpital et puis des milliers d'agents. C'est considérable", souligne-t-il. Il appelle à "tirer les enseignements" de cette attaque et à "repenser des systèmes informatiques qui ne soient pas centralisés". Il rappelle que "plusieurs hôpitaux dans l'Essonne ont été fermés" pour construire "un énorme hôpital". La conséquence selon lui, c'est qu'il "suffit de s'attaquer à un système informatique d'un seul grand hôpital pour mettre en péril l'ensemble du système de santé".
Dans son communiqué de presse, l'hôpital de Corbeil-Essonnes a aussi rappelé les principales mesures de sécurité à suivre. En cas de réception d'un email, SMS, ou appel téléphonique demandant telle ou telle action, il faut "vérifier que l'expéditeur est bien légitime et en lien avec le sujet" et "ne jamais fournir d'informations confidentielles (bancaires, mots de passe...)". Il faut "être vigilant si le ton du message est pressant, qu'il vous pousse à l'action, d'autant plus si vous n'attendiez pas ce message", a également indiqué l'hôpital. Celui-ci recommande aussi de "vérifier les comptes associés" à un numéro de sécurité sociale et d'en changer les mots de passe "au moindre doute". Selon Zataz, les hackers avaient fixé un ultimatum au 23 septembre à l'hôpital pour payer la rançon. L'hôpital, situé dans l'Essonne, au sud de Paris, assure la couverture sanitaire de près de 700.000 habitants de la grande couronne. Il avait été victime le 21 août d'une cyberattaque avec demande de rançon de 10 millions de dollars, ramenée ensuite à un ou deux million de dollars, selon les sources. Les établissements publics ne paient jamais les rançons, la loi le leur interdisant.