Plusieurs régions françaises, dont les Hauts-de-France et la Normandie, ont vu les serveurs de leurs hôpitaux publics pris pour cible. Une intrusion a permis de dérober des informations sur les patients. Le fonctionnement des établissements n'a toutefois pas été impacté.
Via une usurpation d'identité
Selon les premières investigations, les attaquants ont eu recours à l'usurpation de l'identité d'un professionnel de santé. En se faisant passer pour une personne de confiance, ils ont obtenu un accès illégitime aux systèmes d'information des Groupements régionaux d'appui au développement de la e-santé (GRADeS).
Les équipes techniques ont rapidement neutralisé les comptes compromis et mis en place des mesures de sécurité renforcées pour bloquer toute nouvelle tentative. Une analyse approfondie est toujours en cours afin de mesurer l'étendue exacte des dégâts de la cyberattaque détectée en fin de semaine dernière.
Les dossiers médicaux épargnés
L'intrusion semble s'être limitée aux données administratives des patients. Les informations volées concernent principalement l'identité : nom, prénom, âge et, dans certains cas, un numéro de téléphone ou une adresse e-mail.
En revanche, aucune information sensible du dossier médical n'aurait fuité. L'objet des consultations, les pathologies, les traitements ou les noms des médecins traitants restent confidentiels. Les données de patients les plus critiques sont donc, à ce stade, en sécurité.
Vigilance face au phishing
Si les secrets médicaux sont à l'abri, le risque n'est pas nul. Il se déplace comme souvent sur un autre terrain. Le principal danger pour les personnes concernées est de faire l'objet de tentatives phishing.
Le scénario classique est un e-mail ou un message à l'apparence officielle qui demande de cliquer sur un lien piégé pour transmettre des informations personnelles comme un numéro de sécurité sociale ou des coordonnées bancaires. Les autorités sanitaires insistent sur le fait qu'un établissement de santé ne demandera jamais ce type d'informations par message ou par téléphone.
Des plaintes ont été déposées et la Commission nationale de l'informatique et des libertés (Cnil) a été notifiée de l'incident de cybersécurité. Les patients dont les données ont été compromises seront avertis.
