Ils ont mis leur menace à exécution.
Les membres du groupe de pirates informatiques russophone
Lockbit 3.0, qui ont perpétré une cyberattaque contre le Centre
hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes le 21 août
dernier, avaient donné jusqu’au 23 septembre à la direction de
l’hôpital pour payer une rançon de 10 millions de dollars, ramené à
1 ou 2 millions selon les sources.
L’établissement de santé ayant refusé de payer la rançon, les
« hackeurs » ont commencé à diffuser sur leur site certaines des
données informatiques dérobées à partir de ce vendredi.
1,5 millions de patients potentiellement concernés
Les éléments rendus publics « semblent concerner les
usagers, le personnel ainsi que les partenaires de l’hôpital »
a indiqué ce dimanche la direction du CHSF dans un communiqué. On y
trouve « certaines données administratives » comme le numéro de
Sécurité Sociale des patients mais également « certaines données
de santé telles que des comptes rendus d’examen et en particulier
des dossiers externes de radiologie ou de laboratoire d’analyse
».
L’hôpital de Corbeil-Essonnes assure en revanche que les
pirates ne sont pas parvenus à s’emparer des dossiers médicaux
informatisés (DPI) des patients. Selon Damien Bancal, expert
informatique qui a pu accéder au fichier révélé par les hackeurs,
il contient des données aussi diverses que des recours à la
couverture maladie universelle (CMU) ou des autorisations
d’internement psychiatrique.
Maire de Corbeil-Essonnes et membre du conseil de surveillance
du CHSF, Bruno Piriou assure que l’administration va désormais
tenter d’entrer en contact avec tous ceux dont les données ont
fuité, pour leur permettre de porter plainte. « Sur dix ans, ce
sont des données qui concernent près 1,5 million de personnes qui
ont pu être patients à l’hôpital et des milliers d’agents, c’est
considérable » explique-t-il.
20 millions d’euros supplémentaire pour la cybersécurité
La révélation de ces données sensibles, qui en annonce sans
doute d’autres, n’a pas fait changer la position de l’hôpital,
déterminé à ne pas céder au chantage des pirates. « Si on se met
à donner des millions d’euros à des criminels pour qu’ils ne
divulguent pas des données, c’est la porte ouverte à ce que cela se
reproduise tout le temps » avance Bruno Piriou.
Mais selon plusieurs experts en cybersécurité, la révélation
de ces données n’a pas pour seul but de faire plier la direction du
CHSF. Il s’agit également d’une opération de « marketing de la
malveillance », selon les termes de Damien Bancal, qui vise à
terroriser les futures victimes de cyberattaque pour les inciter à
payer les rançons.
Les hackeurs russes peuvent également être tentés de vendre
les données dérobées, car toute information personnelle peut
constituer le point de départ d’une escroquerie. « Avec des
numéros de téléphone ou de Sécurité Sociale, des pirates peuvent se
faire passer facilement pour l’Assurance maladie » explique
Damien Bancal.
A la suite de la cyberattaque contre le CHSF, le ministre de
la Santé François Braun avait annoncé vouloir débloquer 20 millions
d’euros supplémentaires pour augmenter la cybersécurité des
hôpitaux. Les cyberattaques contre les établissements de santé ont
explosé ces dernières années, avec 730 incidents recensés en 2021,
soit deux fois plus qu’en 2020.
Grégoire Griffard
