Cyberattaque à l’hôpital de Corbeil-Essonnes
Le système d’information du Centre hospitalier sud francilien de Corbeil-Essonnes a déclenché son plan blanc le 21 août 2022 suite à une attaque par ransomware. Les pirates exigent une rançon de 10 millions de dollars.
![Hopital-de-Corbeil-Essonnes-Photo-Poudou99-Wikimedia-CC Ceci est une légende Alt](https://www.faceaurisque.com/wp-content/uploads/2022/08/Hopital-de-Corbeil-Essonnes-Photo-Poudou99-Wikimedia-CC.jpg)
Suite à l’attaque de son système d’information dans la nuit du samedi 20 au dimanche 21 août, le Centre hospitalier sud francilien de Corbeil-Essonnes a déclenché son plan blanc exigeant l’intervention de sa cellule de crise.
Cette attaque, de type ransomware, rend pour l’heure inaccessible les logiciels métiers de l’hôpital, les systèmes de stockage ainsi que la partie du système d’information liée à l’admission des patients.
Une rançon de 10 millions de dollars a été demandée par les pirates, que l’hôpital a choisi de refuser de payer. L’hôpital met tout en œuvre pour maintenir son activité mais est néanmoins contraint de rediriger certains patients selon le besoin vers d’autres établissements de santé.
Une cible clé
Ce type d’infrastructure est malheureusement une cible clef pour les attaquants et ce pour plusieurs raisons, dont :
- des difficultés d’obtention de moyens proportionnés aux enjeux de ce type de système d’information ;
- une hétérogénéité des systèmes d’information, avec des équipements et logiciels propriétaires appartenant à une multitude de prestataires ;
- une complexité d’un maintien en conditions de sécurité dû aux enjeux extrêmes en termes de disponibilité des équipements, et des dispositifs de maintenance réalisés à distance par les prestataires en question ;
- le besoin même de ces systèmes d’information, assurant un besoin critique car permettant d’assurer des soins.
Les hôpitaux sont de facto considérés comme des Opérateurs d’importance vitale (OIV), et sont donc soumis à des règles et mesures spécifiques, leur permettant de protéger les systèmes d’information stratégiques
Les incidences directes de l’attaque
Ce type d’attaque n’est en revanche pas neutre, car pendant la gestion de la crise et la remise à niveau du système d’information, mobilisant ressources humaines, moyens financiers et compétences spécifiques, c’est tout un dispositif d’accueil des patients et de soins qui est pénalisé.
La question suivante se pose également : quid de l’éthique des attaquants ? Attaquer des systèmes d’information pouvant mettre en péril des vies ne devrait-il pas être moralement interdit ?
Si les attaques de structures de santé peuvent paraître comme une cible intéressante, elles n’en demeurent pas moins comme éthiquement dérangeantes et peu opportunes pour qui est intéressé par l’appât du gain ; l’attention des experts et forces de l’État étant naturellement fortement mobilisées pour ce type d’établissement.
Quelles solutions ?
Pour se prémunir au maximum, différentes solutions combinées peuvent réduire la vraisemblance d’un ransomware ou les impacts de ce type d’incident : diagnostic cyber, sensibilisation des directions, audits d’architectures ou encore accompagnements dans la définition d’un schéma directeur et mise en œuvre de mesures clefs.
![Romain-Rousseau Romain Rousseau, consultant et manager Conseil & Formation Cybersécurité à CNPP](https://www.faceaurisque.com/wp-content/uploads/2022/08/Romain-Rousseau.jpg)
Romain Rousseau
Consultant et manager Conseil et Formation Cybersécurité à CNPP.
![Idris-Bouguerra-e1661865440202 Idris Bouguerra, consultant CNPP en sécurité des systèmes d'information](https://www.faceaurisque.com/wp-content/uploads/2022/08/Idris-Bouguerra-e1661865440202.jpg)
Idris Bouguerra
Consultant CNPP en sécurité des systèmes d’information.
Les plus lus…
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l'Agence nationale de sécurité des systèmes…
La directive (UE) 2024/1785 du Parlement européen et du Conseil du 24 avril 2024 modifiant la directive 2010/75/UE du…
Le règlement européen sur l'intelligence artificielle, ou IA Act, a été publié au Journal officiel de l'Union européenne le…
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a lancé le 15 juillet 2024 son CyberDico, un dictionnaire…
Après avoir fêté ses 20 ans d’existence, la directive « Machines » de 2006 tirera sa révérence en 2027…
Drivecase, spécialiste de la prévention routière, propose des solutions pour renforcer les actions de sensibilisation dans le cadre professionnel.…