La clinique de la Sagesse à Rennes avait été notamment visée. Un ancien responsable de la sécurité informatique du Groupe Hospitalier Grand Ouest, âgé de 26 ans, a été arrêté mardi 17 décembre 2024 pour avoir organisé en octobre une "cyberattaque d’envergure" contre ce groupe d'établissements de santé, indique la Gendarmerie nationale.
Au mois d'octobre 2024, une "cyberattaque d’envergure" ciblait un groupe de neuf établissements de santé, dont la Clinique de la Sagesse à Rennes. C'est un ancien responsable de la sécurité informatique de la clinique mutualiste de La Sagesse à Rennes qui a été interpellé le mardi 17 décembre. Il comparaîtra devant le tribunal le 6 février prochain pour "entrave à un système de traitement automatisé de données", "suppression et extraction de données", indique le parquet de Paris.
La clinique mutualiste La Sagesse, à Rennes, visée par l'attaque
Le Groupe Hospitalier Grand Ouest (GHGO), gestionnaire de neuf établissements de santé en Bretagne et dans les Pays de la Loire, a été victime "d’une cyberattaque d’envergure, de type attaque DDOS, entre le 2 et le 4 octobre 2024", rapporte la gendarmerie. Ces attaques consistent à saturer le trafic d'un site pour le ralentir ou qu'il tombe en panne. La manœuvre a principalement paralysé les systèmes d'information de la clinique mutualiste La Sagesse, à Rennes (Ille-et-Vilaine), "entraînant le report de plusieurs interventions chirurgicales".
Une rançon de 650 741 dollars pour débloquer le système avait été exigée, mais "l'enquête technique rapide permet de mettre fin à cette menace" indique encore la gendarmerie.
"Mise en évidence d'indices de compromission interne"
L’enquête, en collaboration avec les cybergendarmes de la section de recherches de Rennes, est résolue grâce aux investigations techniques menées par le Centre de lutte contre les criminalités numériques (C3N) de l’UNC et l’antenne de Rennes du C3N. Les recherches menées "dès les premières heures de l'attaque", sur les "traces laissées par les attaquants", permettant d’identifier et d’interpeller le suspect, précise les gendarmes.
"L’analyse des données a rapidement mis en évidence des indices de compromission interne", détaillent-ils. Des éléments techniques clés, dont l’adresse IP du suspect, un ancien responsable de la sécurité des systèmes d'information du groupe d'établissements de santé, ont permis de l’identifier comme étant à l’origine de l’attaque.
À Lire aussi sur le sujet : Comment 33 millions de numéros de Sécurité sociale ont été piratés, pourquoi et comment se protéger : les premières réponses
Employé comme administrateur réseau de juillet à octobre 2024
Le suspect a envoyé des mails de menace en anglais et en russe au personnel des établissements, indique le parquet. Des données concernant des accouchements en cours avaient été supprimées.
À Lire aussi : L'Anssi, le pompier de la France contre les cyberattaques, ouvre une antenne à Rennes
Employé comme administrateur réseau depuis juillet 2024, il avait démissionné en octobre 2024. Ce 17 décembre 2024, une opération judiciaire a permis l'interpellation du suspect à son domicile, où plusieurs équipements informatiques ont été saisis pour analyse. Il a été déféré deux jours plus tard et comparaîtra devant le tribunal le 6 février 2025.
