Mardi 11 mai a eu lieu la deuxième édition du format « Une pause avec ». Nasser AMANI et Eric DENIZOT ont raconté aux professionnels présents leur expérience de la cyberattaque. Une petite heure de discussions qui a permis d’en savoir plus sur l’attaque subie par l’HNO. Cet article revient sur quelques points abordés.
L’hôpital Nord-Ouest n’est pas le premier et ne sera certainement pas le dernier hôpital touché par la cyber criminalité.
Qu’est ce qu’une cyberattaque ? Comment cela fonctionne ?
Une cyberattaque est une atteinte des systèmes informatiques réalisée dans un but malveillant. Elle peut cibler différents dispositifs :
- des ordinateurs ou des serveurs,
- reliés ou non à Internet,
- des équipements périphériques tels que les imprimantes,
- ou encore des appareils communicants comme les « smartphones »
Il existe différents types de risques cyber avec des conséquences diverses qui peuvent impacter tout le monde : cybercriminalité, atteinte à l’image, espionnage et sabotage.
L’hôpital Nord-Ouest victime d’une cyberattaque
L’hôpital Nord-Ouest a été victime de cybercriminalité et plus particulièrement d’attaque par rançongiciel qui a pour objectif de chiffrer l’ensemble des données du site attaqué et d’obtenir le paiement d’une rançon en échange de la clé de déchiffrement.
L’attaque s’est produite en deux temps. Tout d’abord, il y a eu une phase d’hameçonnage, opportuniste et sans cible particulière. Il s’agit là d’envoyer un très grand nombre de mails, à différentes entreprises ou structures, accompagnés d’une pièce jointe et d’attendre de voir si « ça mord ». A Villefranche, la réception de ce mail, son ouverture et celle de la pièce jointe, ont permis à un premier attaquant d’entrer dans notre SI. Puis, cet « exploit » a été mis en vente sur le dark web. C’est alors qu’un autre groupe criminel a saisi l’opportunité d’attaquer une structure hospitalière dans le but d’obtenir le paiement d’une rançon. L’attaque a été mené avec le virus Ryuk un rançongiciel qui a chiffré les données le 15 février. En 2020, le revenu des cyber-criminels est estimé à 100 milliards de dollars.
Retour sur la crise : des apprentissages et du travail pour la DSNT
L’alerte est venue des urgences car des logiciels n’étaient plus disponibles à 4h30. La personne d’astreinte d’informatique a alors été contactée et celui-ci s’est rendu compte très vite du lancement du chiffrement. Les 2 salles serveurs ont alors été immédiatement débranchées pour éviter la propagation.
Une cellule de crise a été mise en place dans la matinée du 15 février pour définir le plan de continuité. En parallèle, l’établissement d’un diagnostic a été lancé. L’ANSSI est venue en renfort pour aider les informaticiens.
« La chance que l’on a eu, c’est sur la partie sauvegarde car elle n’a pas été accessible par l’attaquant, c’est ce qui nous sauve. On a alors su très rapidement que les données étaient intègres et qu’aucune n’avait été exfiltrées. » explique Nasser AMANI
L’équipe de la DSNT a alors fait face à un dilemme. A la suite des premières analyses la remise en fonctionnement du système semblait possible à court terme. Mais l’accompagnement et l’expérience de l’ANSSI ont orienté les équipes SI vers une autre option, celle de la reconstruction d’un nouveau système d’information. Cette action plus longue permet d’éliminer tout doute sur la présence du virus, et par conséquent de disposer d’un système sécurisé.
Aujourd’hui encore la DSNT continue de travailler pour améliorer encore les performances des serveurs et renforcer la sécurité.
« C’est comme un iceberg, on ne voit que la partie visible quand cela fonctionne à nouveau, mais derrière les équipes continuent de travailler chaque jour sur les conséquences de la cyberattaque » Eric DENIZOT
Prise de parole dans les médias
Les médias ont été très présent durant cette crise, le choix de l’établissement a été de communiquer autour de ce sujet pour montrer les risques et participer à la prise de conscience nationale. En effet, les attaques se sont multipliées par 4 selon l’ANSSI en 2020.
Se protéger face aux risques
- Utiliser des mots de passe robustes et les changer fréquemment
- Ne pas donner son mot de passe
- Avoir un système d’exploitation, des logiciels et un antivirus à jour.
- Redoubler de vigilance lors de la réception de courriels contenant des liens et des pièces jointes
- Limiter la visite de site internet non sur ou non professionnel
Retrouvez ici la présentation.