Une cyberattaque a frappé l'Hôpital privé de la Loire (HPL) à Saint-Etienne. En début de semaine, l'établissement du groupe Ramsay Santé a communiqué sur un vol d'identité ayant permis à une personne malveillante « d'accéder de manière indue à une quantité importante de données personnelles de ses patients ».
Un bilan officieux plus lourd
À l'AFP, un porte-parole du HPL a indiqué que plus de 126 000 patients concernés par le piratage informatique - et presque exclusivement le vol de données administratives - ont été prévenus par e-mail. Touchés par un vol de données médicales, 40 d'entre eux seront contactés individuellement.
Se présentant sous le pseudonyme de « Marak », un individu affirme pour sa part détenir les données de plus de 530 000 patients, et pas uniquement des données administratives. Il souligne également des cartes d'identité via 45 000 pièces d'identité numérisées.
Le cybercriminel sort de l'ombre
Loin de se cacher, « Marak » affiche clairement ses intentions. Contacté sur la messagerie Telegram par Le Progrès, il dit être un Français agissant seul et avec l'argent pour motivation. Il aurait posé un ultimatum de 72 heures au groupe Ramsay, menaçant de vendre la base de données dérobée ou de la publier intégralement.
La direction de l'hôpital assure néanmoins n'avoir reçu aucune demande de rançon et a déposé plainte. Une enquête a été confiée à l'Office anti-cybercriminalité de la police judiciaire.
En vertu des obligations légales, l'incident de cybersécurité a été notifié auprès de la Commission nationale de l'informatique et des libertés (Cnil), de l'Agence Régionale de Santé et du CERT Santé (Centre de veille, d'alerte et de réponse aux attaques informatiques).
Des données dans la nature, et après ?
Heureusement, l'attaque n'a pas eu aucune d'incidence sur la prise en charge des patients et l'activité de l'établissment de santé. L'hôpital fonctionne normalement, sans dégradation ou de retour forcé à un mode papier. Le cas échéant, cela aurait pu laisser supposer une cyberattaque par ransomware.
Reste un danger pour les victimes avec des données personnelles qui se retrouveraient dans la nature ou faisant l'objet d'un commerce sur le Dark Web. Elles peuvent servir à fomenter divers types d'escroqueries.
La cyberattaque aurait été menée du 26 juin au 1er juillet. Elle a été détectée à la suite d'activités suspectes sur les logiciels de l'hôpital. Le chercheur en cybersécurité Clément Domingo (SaxX) avait rapporté des revendications de « Marak » en début de mois (capture ci-dessus).
