Cyberattaque dans les hôpitaux

Cyberattaque au CHU de Rennes : ce que l’on sait
 
Le 22 juin 2023 à 12h33

Le CHU de Rennes est victime d’une cyberattaque depuis mercredi 21 juin.

Le point sur la situation.

C’est la première cyberattaque de cette ampleur au Centre hospitalier universitaire (CHU) de Rennes. Selon les informations du Télégramme, l’attaque a été identifiée comme une menace d’ampleur mercredi vers 18 h, à la suite d’un blocage d’internet et des messageries. Les personnels ont rapidement été informés et une cellule de crise a été ouverte. L’Agence régionale de santé (ARS) a précisé dans la soirée que l’hôpital continuait à fonctionner dans des conditions dégradées et que la prise en charge des patients se poursuivait normalement.

« Exfiltration de données »

Cet après-midi, l’ARS Bretagne annonce dans un communiqué que « la cyberattaque a entraîné une exfiltration de données et des analyses sont en cours pour qualifier la quantité et le type de données concernées ».
Pour l’heure, aucune demande de rançon n’a été émise. Selon des informations du Mensuel de Rennes, les hackers visaient un compte de la Direction des systèmes d’information mais l’hôpital a réussi à isoler à temps ce compte. Ce matin, des spécialistes de l’Agence nationale de la sécurité des systèmes d’information (Anssi) étaient au chevet du CHU. La CNIL a également été saisie.

Isolement de l’hôpital

Selon Stéphane Nizery, délégué syndical de la CGT, « le principal impact de cette cyberattaque est lié au fait que l’hôpital est désormais totalement isolé de l’extérieur ». Si les soignants ont toujours accès aux dossiers des patients, certaines fonctionnalités comme les bornes tactiles à l’accueil du bloc hôpital sont hors-service.

Selon un mail interne que nous avons pu consulter, la téléconsultation, la télé-expertise et la télé-imagerie sont interrompues. La prise de rendez-vous via Internet est impossible : les patients doivent contacter l’hôpital par téléphone. Ce jeudi à midi, le site internet de l’hôpital était toujours inaccessible.

Autre conséquence : les transports internes sont mis en difficulté. « Les brancardiers travaillent normalement sur smartphones, mais plus rien ne marche. Ils sont obligés de retourner au papier », relate le délégué syndical. « Dans les services d’imageries et aux urgences, la nuit a été compliquée mais le personnel a trouvé des solutions de délestage et la prise en charge des patients est revenue à la normale ». Retour au papier aussi pour les convocations de patients, les comptes rendus de prise en charge et les certificats de décès.

Attaque non revendiquée

Pour l’heure, l’attaque n’a pas été revendiquée. Une situation « surprenante » selon Clément Domingo, hackeur éthique connu sous le pseudonyme de Saxx. « D’habitude, ce genre d’opération est toujours rapidement revendiquée par les auteurs. Pour l’instant, on n’a aucune idée de ce que ça peut être ».


source : Le Télégramme d'Ille et Vilaine
  
                              ---------------------------

Que penser de cela ?

pas grand chose...

nous même victime d'une cyberattaque en 2020, notre service de radiothérapie a été à l'arrêt pendant 3 mois avec transfert des patients pour leur prise en charge et déplacement des médecins

l'hôpital est une source de revenu pour les hackers

Structures de santé = secteurs à risque depuis l'Intégration du numérique depuis des décennies sans réelle démarche sécuritaire
les Cyberattaques des établissements de santé X2 entre 2020 et 2021 (730 en France en 2021)
Conséquences lourdes: Déclenchement plan blanc, Déprogrammation des patients Retard de prise en charge voir Mise en danger des patients

les cybercriminels ​n’ont pas de scrupules à mettre en danger des vies humaines: ils recherchent avant tout la simplicité et le profit maximum
Les hôpitaux sont aujourd’hui très informatisés. Cela en fait des cibles de choix :le domaine de la santé est considéré comme étant doté d’un niveau de sécurité « faible » donc facile d’accès avec en plus une connexion à internet des dispositifs médicaux en croissance (multiplie les failles)
Les hôpitaux gèrent des informations sensibles et monnayables:
Les 2 principales sources de profit sont :Le paiement des rançons et La revente des données sur le Darkweb
Les hackers profitent de l’urgence qu’est la réalisation des soins pour exercer une pression importante sur leur cible, et les inciter à payer
Un dossier médical peut valoir 350 $ sur le marché noir :50 fois plus qu’un dossier bancaire.
les rançongiciels sont le moyen principal d'attaque
les données en santé sont actuellement les données les plus lucratives pour les cybercriminels.

nous n'avons pas payé la rançon demandée (refus du gouvernement et ils ont raison car on aurait récupéré soit rien soit des données piratés, fausses ou infectées...)

pertes pour notre hôpital : plus de 4.6 millions d'EUR... sans compter le principal: l'impact sur les patients...

les hackers identifiés proviennent de différentes régions du monde. certains faisceaux de preuves mènent régulièrement vers l'Europe de l'Est.

Merci Nicolas, mais vous avez payé une rançon ?

Non.

hors de question: on ne récupère en général rien ou des données fausses voire infectées...

le gouvernement (ANSSI/ cyberdéfense) nous a de toute façon interdit de le faire et à juste titre.

en plus c'est encourager les hackers à récidiver si ça marche...

le privé parfois paye mais l'hôpital public jamais (en France)

N'empêche que c'est quand même inquiétant pour les malades comme pour les personnels hospitaliers !
Faudra bientôt se remettre aux fichiers papier si ça continue !!

oui.

pour le papier... ça ne résout malheureusement pas grand chose.

j'utilise pour le cancer des accélérateurs de particules à plus de 2millions d'eur pièces qui sont informatisés.

pour opérer parfois ont utilise un robot ou des outils robotisés

en 2023 et avec la médecine moderne:
sans informatique: de nombreux traitements ne sont plus faisable...

On en sait plus sur la méthode utilisée par les cybercriminels pour s’introduire dans le système du CHU de Rennes.

Depuis la cyberattaque dont a été victime le Centre hospitalier universitaire (CHU) de Rennes, mercredi 21 juin, les experts en cybersécurité affectés à l’hôpital se sont affairés à déterminer précisément l’origine et l’ampleur des dégâts. Si l’origine du ou des attaquants demeure inconnue, la méthode est désormais mieux identifiée.

Les hackers se sont introduits dans le système du plus grand centre hospitalier breton en passant par un compte VPN d’accès à distance que l’établissement met à disposition d’un prestataire. Celui-ci est un fournisseur français de logiciels médicaux bien implanté qui se sert de cet accès pour des opérations de mise à jour et de maintenance, comme l’avait révélé LeMagIT vendredi dernier.

Mot de passe inchangé

Le compte n’était pas protégé par une authentification à facteurs multiples. Contacté par Le Mensuel de Rennes, le prestataire explique que son mot de passe « n’avait pas été changé depuis longtemps » par le CHU. « On se sert toujours du même compte », explique-t-il, ajoutant que son logiciel « en lui-même n’est pas en cause » et que sa société « n’a rien à se reprocher ». Pour l’heure, rien ne permet d’affirmer que ce prestataire lui-même a été victime d’une intrusion, ni que la responsabilité incombe au CHU. L’hôpital n’a pas souhaité répondre à nos questions.

À lire sur le sujetCyberattaque au CHU de Rennes : « Il y a eu une fuite de données »

« On pourrait penser que le CHU aurait imposé à son prestataire une authentification à facteur multiple », remarque toutefois Valery Rieß-Marchive, journaliste spécialiste en cybersécurité et rédacteur en chef chez LeMagIT. « Cela dit, même cette mesure de sécurité supplémentaire n’a pas empêché des entreprises de renom de se faire avoir. »

Selon lui, il sera « très difficile » d’établir « comment ce compte a été volé à l’origine ». Par ailleurs, le journaliste fait remarquer que « changer un mot de passe trop souvent, c’est une contrainte. Si on n’est pas aidé d’un logiciel gestionnaire de mots de passe, on peut être tenté d’utiliser des codes simples, faciles à se rappeler, et donc faciles à deviner. »

Accès volé ?

Un des nombreux scénarios possibles est que l’accès ait été volé dans le navigateur web, puis revendu à des attaquants sur des canaux Telegram spécialisés, selon une méthode classique des cybercriminels. Les hôpitaux, riches en données de santé privées, constituent une cible de choix. « Empêcher toute cyberattaque est impossible, prévient Yves Duchesne, ingénieur en sécurité des systèmes d‘information chez Acceis à Rennes. Il faut se préparer au mieux et savoir limiter les dégâts. »

Le CHU est « monitoré » par le centre de surveillance d’Orange Cyberdefense. « Ils analysent tout ce qui se passe sur le réseau, décrit-il. Les connexions, les déconnexions, les partages, les accès aux applications et les volumes de données qui transitent. Un comportement inhabituel déclenche une alerte. S’ils voient, par exemple, que le compte VPN dédié à un prestataire, qui n’envoie que quelques mégaoctets de mise à jour d’habitude, se met soudain à télécharger plusieurs gigaoctets à la seconde vers l’étranger… Forcément, ça inquiète. »

À lire sur le sujetRennes, Brest… Pourquoi les hôpitaux sont la cible de cyberattaques

Les données ne refont pas surface

Le 21 juin, la réponse à l’alerte a été rapide : le système informatique de l’hôpital a été immédiatement isolé. 140 applications ont été « gelées » et passées au crible, les téléconsultations stoppées, le paiement par carte mis en pause. Le portail patient et le site Internet de l’hôpital ont aussi été rendus indisponibles, la messagerie interne perturbée. « C’est un hôpital relativement bien préparé. Leur surveillance en amont leur a permis de réagir alors que l’attaque était à un état précoce. Il y a quelques années, la cybersécurité n’était pas un sujet identifié dans les hôpitaux. »

Le CHU a reconnu qu’« une fuite de données » avait bien eu lieu, sans qu’il en connaisse la nature « ni si cela concerne les patients ». Selon les derniers éléments, aucune demande de rançon n’a été effectuée. Mardi soir, aucune donnée volée n’avait été repérée sur les marchés illégaux en ligne où atterrit normalement ce genre d’informations, selon Saxx, un expert en cybersécurité rennais, cofondateur de Hackers sans frontières, qui surveille ce type d’activité. De même, on ignore si les données exfiltrées concernent les patients ou sont dépourvues de valeur.


https://www.letelegramme.fr/ille-et-vilaine/rennes-35000/cyberattaque-au-chu-de-rennes-le-mot-de-passe-navait-pas-ete-change-6382317.php?utm_source=NWL_AUJB

C'est maintenant au tour du Centre Hospitalier de SAINT RENAN :

Le centre hospitalier de Saint-Renan (29) a été visé par une cyberattaque vendredi 30 juin. Cet incident n’aurait, selon le CHU de Brest, « pas impacté la prise en charge des patients et des résidents ».

En clair, seuls les mails et fax sont actuellement inaccessibles, forçant l’établissement à conseiller aux « familles et professionnels accompagnants nos résidents à joindre le centre hospitalier par téléphone ou courrier postal ».


source :  https://www.letelegramme.fr/finistere/saint-renan-29290/a-saint-renan-le-centre-hospitalier-le-jeune-v-ictime-dune-cyberattaque-6386540.php