Marne : des données de patients en vente pour 1.3 million de dollars après une cyber-attaque à l'hôpital de Vitry-le-François

Deux cellules de crise ont été activées à l'hôpital de Vitry-le-François (Marne) suite à la mise aux enchères, sur le Dark Web, de données dérobées lors d'une cyber-attaque à la fin avril. La direction indique néanmoins que le pire a été évité. Explications.

Le vendredi 22 avril 2022, on apprenait que le centre hospitalier (CH) de Vitry-le-François (Marne) subissait une cyber-attaque. Les pirates informatiques ont lorgné sur une partie des fichiers informatiques de l'hôpital. 

Une fois copiés, mais pas cryptés comme ça s'est déjà vu, les fichiers ont été mis aux enchères sur le Dark Web (une partie d'Internet qui n'a pas très bonne publicité). Pour acquérir les 28.7 gigaoctets de données, il fallait débourser 1.3 million de dollars. 

Bien évidemment, la direction de l'hôpital a refusé de racheter ses propres fichiers, arguant qu'on ne négocie pas avec des terroristes. Et a activé deux cellules de crise. Leur but : continuer à accueillir la patientèle, et ce malgré le ''débranchage'' de l'hôpital pour éviter de mettre en danger les autres sites du Groupement hospitalier de territoire (GHT) Coeur Grand Est (voir carte ci-dessous).


Pour comprendre ce qui se passe, France 3 Champagne-Ardenne a interrogé Jérôme Goeminne, le directeur général du GHT Coeur Grand Est qui a décidé de faire preuve de transparence sur cette affaire.

Que s'est-il passé au juste ?

"Mardi [19 avril], on est informé par la cellule de cyber-veille du ministère de la Santé que des données étiquetées GHT Coeur Grand Est, uniquement issues de l'hôpital de Vitry-le-François, sont mises en vente sur le Dark Web. Vendredi [22 avril], à minuit, l'enchère se termine. Personne n'a acheté les données. On s'est demandé ce qu'ils allaient faire après..."

Combien de fichiers ça représente ?

"Depuis le week-end, ils sont passés à une vente au fichier unitaire - pour 350.000 fichiers environ. Ce sont des fichiers administratifs vendus essentiellement à quatre dollars. Ils ont copié environ 25 gigas de données sur environ 100 disponibles. Ce sont des données administratives qui traînaient sur les ordinateurs, les dossiers communs, les serveurs."

C'est quoi, ces fichiers ?

Ils ne se sont attaqués à aucun logiciel, notamment celui des patients : aucune infiltration. C'est pour ça qu'il n'y a quasiment aucune donnée patient qui a été subtilisée, ou plutôt copiée, car nous avons toujours ces données. On a là essentiellement des documents Word, Excel, PDF comme la liste de nos fournisseurs ou des listes de codes de connexion [ce qu'il ne faut jamais faire; ndlr]... Je ne sais pas ce qu'ils vont en faire. Il y a environ 100 à 200 courriers médicaux, tapés par les secrétaires et laissés sur leurs bureaux informatiques avant qu'ils soient mis dans les dossiers des patients. Ils contiennent des numéros de Sécurité sociale ou de Rib."


Quels risques sont posés ?

"Principalement celui qu'ils fassent des faux et viennent vous hameçonner. En faisant de faux courriers et courriels en utilisant ces données, en se faisant passer pour quelqu'un d'autre, pour que vous donniez vos mots de passes, codes bancaires, etc. C'est du phishing."

Qu'est-ce que ça entraîne chez vous ?

"On a vu avec notre cellule de crise cyber - avec des informaticiens renforcés par un prestataire agréé - qu'ils se sont infiltrés sur notre système d'information, qu'ils ont parcouru nos hôpitaux. Pour des raisons qu'on ignore, ils n'ont copié qu'une partie des fichiers, sans attaquer les dossiers patients ou économiques. On ne sait pas si c'est parce qu'on a coupé assez tôt. Notre cellule cyber doit retracer l'attaque et repérer ce qu'ils ont fait - le diagnostic devrait être fini d'ici une semaine - puis restaurer notre système d'information et des lignes sécurisées. Il est probable, d'après les expériences similaires, qu'on ne puisse pas restaurer les courriels entrants et sortants avant trois à quatre semaines."

"La deuxième cellule de crise, institutionnelle, essaye d'assurer le fonctionnement général et quotidien de l'établissement. Car on y a coupé Internet 24 heures après avoir découvert la cyber-attaque : on a ainsi créé des dysfonctionnements, mais pour éviter un dysfonctionnement bien plus massif. C'est comme le covid, on a confiné les hôpitaux, mais numériquement. On ne donc plus toucher aucune recette, ni payer nos fournisseurs. Ou envoyer de courriels : on se rend compte que c'est indispensable au fonctionnement de tous nos services, alors on utilise beaucoup plus le téléphone, le fax... Ces solutions nous permettent de continuer à recevoir et soigner tous nos patients à l'identique malgré les perturbations : elles nous affectent nous en arrière-plan, mais tout fonctionne pour le patient qui ne le ressent pas. Si les patients ont des interrogations, ils peuvent appeler leur médecin ou leur soignant au sein de l'hôpital."