Début octobre, plusieurs hôpitaux de l’ouest de la France ont été la cible d’une cyberattaque d’envergure.
Les enquêteurs de l’Unité nationale cyber (UNC) de la gendarmerie ont remonté la piste de l’auteur présumé de l’attaque.
L’homme, âgé de 26 ans, était en charge de la sécurité informatique du groupe hospitalier.
Suivez la couverture complète
Le 20H
Après plus de deux mois de recherche, les enquêteurs ont finalement pu remonter la piste jusqu’à l’auteur présumé de la cyberattaque d’envergure qui a visé le Groupe Hospitalier Grand Ouest, début octobre. Âgé de 26 ans et domicilié à Rennes, l’homme a été interpellé chez lui le 17 décembre dernier. Si aucune donnée n’a été volée, le cybercriminel réclamait une rançon de 650.741 dollars (626.045 euros), « mais l’enquête technique rapide permet de mettre fin à cette menace« , souligne la gendarmerie dans un communiqué publié lundi 23 décembre.
L’enquête, menée par les spécialistes de l’Unité nationale cyber (UNC) et leur antenne rennaise, a permis de retracer rapidement l’origine de l’attaque. « L’analyse des données a rapidement mis en évidence des indices de compromission interne, orientant les recherches vers un ancien responsable de la sécurité des systèmes d’information (RSSI) du groupe. […] Des éléments techniques clés, dont l’adresse IP du suspect, ont permis de l’identifier comme étant à l’origine de l’attaque« , détaillent les enquêteurs.
Le suspect encourt cinq ans de prison et 150.000 euros d’amende
L’auteur présumé de l’attaque, qui était en charge de la sécurité informatique du groupe hospitalier, a opéré depuis l’intérieur. « Le fait que l’attaque provienne de quelqu’un qui connaissait parfaitement ce système d’information était évidemment facilitateur. Mais c’est aussi un mode d’attaque qui laisse beaucoup plus de traces, en tout cas des traces de nature différente que des attaques externes« , souligne le colonel Bertrand Michel, commandant en second de l’Unité nationale cyber de la gendarmerie nationale, dans la vidéo du JT de TF1 à voir en tête de cet article.
Placé sous contrôle judiciaire, l’auteur présumé de la cyberattaque comparaîtra le 6 février devant le tribunal judiciaire de Paris, compétent pour ce type d’infractions. Il encourt une peine maximale de cinq ans de prison et 150.000 euros d’amende. « Les motivations de l’auteur, ce sera à lui de les expliquer devant le tribunal. Ce n’est pas au niveau de l’enquête judiciaire que l’on travaille sur cet aspect des choses« , reprend l’officier. Contactée par la rédaction de TF1, la direction de la clinique où l’homme travaillait n’a pas souhaité faire de commentaire.
14 interventions ont dû être reportées
Au sein de l’établissement, on se souvient surtout des conséquences de l’attaque. Les appareils permettant aux patients de s’enregistrer ne fonctionnaient plus, par exemple. « On a redéployé notre service administratif pour accueillir des patients en présentiel. Notre informatique étant coupée, nos services administratifs n’avaient plus de quoi œuvrer« , explique John Charriat, directeur administratif et financier (DAF) à la clinique mutualiste La Sagesse, à Rennes. Comme dans neuf autres établissements de l’ouest de la France, les systèmes d’information ont dû être coupés durant plusieurs semaines.
« Par chance, notre matériel de soins fonctionnait, car il n’était pas dépendant de l’informatique. Ici, vous pouvez voir les dossiers papier de nos patients qui nous ont permis de gérer au mieux cette cyberattaque. On était en cours de dématérialisation à la clinique. Ces exemplaires nous ont permis de reprendre l’ancienne méthode« , détaille ce responsable. Sans ce système d’information, les retards au bloc opératoire s’accumulent. Au total, « 14 interventions de patients« n’ayant « pas de perte de chance« ont été reportées « de quelques jours à quelques semaines« , explique un médecin dans notre reportage.
Aujourd’hui, la clinique bretonne fonctionne à nouveau normalement. Mais selon le colonel Bertrand Michel, elle pourrait être à nouveau la cible d’une cyberattaque. « La question n’est pas de savoir si une entreprise ou un établissement de santé va être victime d’une cyberattaque, mais quand« , souligne ce spécialiste. En 2022 et en 2023, trente hôpitaux ont été la cible d’une attaque par rançongiciel. Cette dernière permet de paralyser l’infrastructure informatique d’une entreprise ou d’une institution pour ensuite réclamer une rançon.
