Victime d'une cyberattaque mercredi 21 juin 2023 dans la soirée, le CHU de Rennes a déposé plainte et se remet peu à peu en ordre de marche. Le rétablissement de nombreuses applications informatiques extérieures se poursuit. Les investigations confirment la fuite de données à caractère personnel.
Si la prise en charge des patients n'a pas été impactée, les conséquences de la cyberattaque subie par le CHU de Rennes le 21 juin dernier sont bien réelles : des données ont été exfiltrées et une plainte a été déposée. Dans un communiqué daté du 12 juillet, le CHU de Rennes indique que "la remise en service des applications informatiques vers l'extérieur du CHU continue de progresser".
LIRE : Cyberattaque au CHU de Rennes. Des données exfiltrées, l'hôpital porte plainte
Transfert d'imagerie médicale à nouveau opérationnel
Grâce à la suppression immédiate des connexions internet qui a permis d' "isoler et protéger son système d'information, le CHU a depuis cette date, initié la mise en oeuve de son plan d'actions élaboré avec le soutien de l'Agence nationale de sécurité des systèmes d'Information (ANSSI) pour une remise en service progressive et sécurisée des applications informatiques impactées. Ainsi, depuis le 22 juin, la réouverte d'applications informatiques pour les partenaires externes se fait graduellement avec le rétablissement, la semaine dernière du portail de diffusion des images (radios, scanners, IRM) avec les autres établissements mais également piur les patients et les médecins traitants, avec accès sécurisé".
Paiement par carte bancaire à nouveau possible
Le rappel des rendez-vous par SMS aux patients et le paiement par carte bleue pour régler les soins sont également à nouveau opérationnels.
Toujours pas de prise de rendez-vous en ligne sur Doctolib
En revanche, au regard des enjeux de sécurisation des systèmes d'information, de la complexité technique de certaines opérations et de la multiplicité des tests à réaliser, la prise de rendez-vous en ligne sur Doctolib n'est pas encore possible, tout comme l'accès au site Internet du CHU.
Fuite de données à caractère personnel
Dans ce communiqué, le CHU précise également que "les investigations menées confirment la fuite de données à caractère personnel concernant des patients et des professionnels du CHU de Rennes... Il n'est pas possible à ce jour d'identifier avec précision la nature exacte et le contenu des données qui ont fait l'objet de cet accès illégitime".
LIRE : Données médicales : "La santé, un domaine où la cybersécurité est en construction"
L'établissement de santé précise toutefois que "les données concernant les patients auxquelles l'attaquant a potentiellement eu accès relèvent du Centre de soins dentaires (CSD), des salles techniques de cardiologie et des laboratoires du CHU".
Les données concernant les patients auxquelles l'attaquant a potentiellement eu accès relèvent du Centre de soins dentaires (CSD), des salles techniques de cardiologie et des laboratoires du CHU.
CHU de Rennes
Il ressort par ailleurs des investigations menées que des données à caractère personnel des professionnels du CHU sont également concernées par la fuite de données (numéro de sécurité sociale, bulletin de salaire).
Pas de diffusion ni d'exploitation malveillante pour l'instant
L'établissement de santé précise néanmoins : "A notre connaissance, pour les patients comme pour les professionnels, ces données n'ont fait l'objet d'aucune diffusion ni exploitation malveillante à l'heure actuelle".
Les supports identifiés des données compromises ont été isolés et rendus inaccessibles. Une veille continue est mise en place sur Internet par l'ANSSI et Orange cyberdéfense afin d'assurer la surveillance des usages malveillants qui pourraient en être faits.
Plus grande vigilance
Le CHU de Rennes, dans son communiqué, a tenu également à appeler à la plus grande vigilance : "En cas de constatation d'une utilisation frauduleuse de leurs données personnelles, il est recommandé aux patients de porte plainte rapidement. Ils sont également invités à en informer le CHU via l'adresse mail cyberattaque@chu-rennes.fr. Un dispositif similaire est développé pour les professionnels".
Pour rappel, une plainte a été déposée par le CHU de Rennes dès le 22 juin 2023. Une enquête est en cours, sous l'égide du Parquet de Paris, spécialisé dans le traintement judiciare des cyberattaques.
