Rechercher
Se connecter
Adhérer
Actualités de l'Urgence - APM
Retour
LE COÛT TOTAL DE LA CYBERATTAQUE DU CH D'ARMENTIÈRES DEVRAIT S'ÉLEVER À PRÈS DE 2 M€
PARIS, ARMENTIÈRES (Nord), 22 mai 2024 (APMnews) - Touché par une attaque informatique le 11 février, le centre hospitalier (CH) d'Armentières finalise la reconstruction de ses systèmes d'information et estime le coût total de la cyberattaque à près de 2 millions d'euros (M€), a fait savoir à APMnews Thomas Aubin, responsable de la sécurité des SI (RSSI) du groupement hospitalier de territoire (GHT) Hôpitaux publics Grand Lille, lors du salon Santexpo qui se tient jusqu'à jeudi à Paris.
Mercredi matin, le CERT Santé et le CH d'Armentières ont livré un premier retour d'expérience de la cyberattaque ayant touché le CH d'Armentières dans la nuit du samedi 10 au dimanche 11 février.
Cette nuit-là, les imprimantes du CH se sont mises à fonctionner toutes seules. Des pages en format A4 en sont sorties, avec un message rédigé en anglais et faisant mention d'une ransom demand, rappelle-t-on (cf dépêche du 12/02/2024 à 10:06).
Il s'agissait alors d'une attaque par rançongiciel ou ransomware. Pour rappel, ce type d'attaque passe par un logiciel malveillant qui bloque les systèmes informatiques de la victime et chiffre ses données. Comme à Armentières, l'attaquant adresse ensuite un message à la victime pour lui proposer de lui fournir le moyen de déchiffrer ses données contre le paiement d'une rançon.
Une cellule de crise a été mise en place dès la survenue de l'attaque, composée d'experts de la sécurité des systèmes d'information de l'hôpital d'Armentières et du CHU de Lille, venus en renfort de leurs collègues. L'ensemble des ordinateurs a été déconnecté et "par mesure de sécurité", le service des urgences a été fermé, a souligné Thomas Aubin, RSSI du GHT Hôpitaux publics Grand Lille, auquel est rattaché le CH d'Armentières.
"La décision de fermer les urgences, bien que difficile, a été nécessaire pour garantir la sécurité des patients. Cela a permis aux équipes de se concentrer sur le rétablissement des systèmes critiques", a-t-il expliqué, précisant que "les délais ont été tenus" puisque les urgences ont pu rouvrir à "J+3, comme annoncé".
Le RSSI a partagé un retour d'expérience détaillé. "Les premiers jours ont été consacrés à l'investigation numérique pour comprendre l'étendue de l'attaque et planifier une reconstruction sécurisée du SI. Des mesures immédiates ont inclus la restauration de l'Active Directory, l'isolation de certains systèmes et la mise en place de postes de travail sécurisés connectés par des galets 4G", a-t-il ainsi rapporté.
"La phase de reconstruction a intégré des mesures de sécurité renforcées, telles que des politiques de mots de passe strictes, l'authentification multi-facteurs et la mise à jour des systèmes obsolètes. L'établissement a également profité de cette crise pour mettre en place des pratiques de sécurité de l'état de l'art, recommandées notamment par l'Agence nationale de sécurité des systèmes d'information [Anssi]", a détaillé Thomas Aubin.
"La communication a été cruciale, tant en interne qu'en externe, avec des assemblées générales pour informer les professionnels de l'établissement. La gestion de la crise a impliqué une forte sollicitation médiatique et une coordination avec les autorités pour le dépôt de plainte et la gestion des violations de données."
Le CERT Santé et l'Anssi ont apporté leur concours et expertise au CH nordiste, la Commission nationale de l'informatique et des libertés (Cnil) a été saisie. Une plainte a été déposée au commissariat d'Armentières et auprès du parquet de Paris, qui dispose d'une cellule cyber, rappelle-t-on.
10 gigas de données volées
Le 25 février, le CH d'Armentières confirmait le vol de données et faisait savoir que les pirates informatiques à l'origine de la cyberattaque avaient "rendu accessibles des fichiers informatiques" (cf dépêche du 29/02/2024 à 13:07).
Interrogé par APMnews mercredi matin, Thomas Aubin a indiqué que le volume de données dérobées s'élève à 10 Go et concerne quelque 230.000 patients.
La facture de la cyberattaque devrait atteindre près de 2 M€, a-t-on également appris.
Le RSSI a aussi profité de son intervention pour partager les principaux enseignements tirés de cette crise. Il a souligné l'importance de la documentation, de la cartographie des systèmes, et des fiches réflexes pour les premières minutes d'une attaque.
"La protection de la cellule de crise et la communication avec les équipes ont été essentielles pour une gestion efficace", a-t-il salué. Les besoins en matériel de rechange, les moyens de communication alternatifs, et la préparation des équipes aux modes dégradés ont été identifiés comme centraux.
La collaboration avec le CHU de Lille, établissement support du GHT, et les autres établissements de santé du territoire "a été déterminante pour la gestion de la crise", a insisté Thomas Aubin, qui a aussi rappelé l'importance de réaliser des exercices de crise pour "aider à renforcer la résilience".
L'établissement a depuis lors "réussi à non seulement restaurer ses systèmes, mais aussi à renforcer sa sécurité pour prévenir de futures attaques", s'est félicité le RSSI du GHT.
wz/ed/APMnews
Informations professionnelles
- AFMU
- Agenda
- Annonces de postes
- Annuaire de l'urgence
- Audits
- Calculateurs
- Cas cliniques
- Cochrane PEC
- Consensus
- Consensus SFMU
- COVID-19
- DynaMed
- E-learning
- Géodes
- Grand public
- Librairie
- Médecine factuelle
- Outils professionnels
- Portail de l'urgence
- Recherche avancée
- Référentiels SFMU
- Textes réglementaires
- UrgencesDPC
- Webinaire
- Weblettre
Adhérer à la SFMU
Alerte sanitaire
Inscription newsletter Retour
LE COÛT TOTAL DE LA CYBERATTAQUE DU CH D'ARMENTIÈRES DEVRAIT S'ÉLEVER À PRÈS DE 2 M€
PARIS, ARMENTIÈRES (Nord), 22 mai 2024 (APMnews) - Touché par une attaque informatique le 11 février, le centre hospitalier (CH) d'Armentières finalise la reconstruction de ses systèmes d'information et estime le coût total de la cyberattaque à près de 2 millions d'euros (M€), a fait savoir à APMnews Thomas Aubin, responsable de la sécurité des SI (RSSI) du groupement hospitalier de territoire (GHT) Hôpitaux publics Grand Lille, lors du salon Santexpo qui se tient jusqu'à jeudi à Paris.
Mercredi matin, le CERT Santé et le CH d'Armentières ont livré un premier retour d'expérience de la cyberattaque ayant touché le CH d'Armentières dans la nuit du samedi 10 au dimanche 11 février.
Cette nuit-là, les imprimantes du CH se sont mises à fonctionner toutes seules. Des pages en format A4 en sont sorties, avec un message rédigé en anglais et faisant mention d'une ransom demand, rappelle-t-on (cf dépêche du 12/02/2024 à 10:06).
Il s'agissait alors d'une attaque par rançongiciel ou ransomware. Pour rappel, ce type d'attaque passe par un logiciel malveillant qui bloque les systèmes informatiques de la victime et chiffre ses données. Comme à Armentières, l'attaquant adresse ensuite un message à la victime pour lui proposer de lui fournir le moyen de déchiffrer ses données contre le paiement d'une rançon.
Une cellule de crise a été mise en place dès la survenue de l'attaque, composée d'experts de la sécurité des systèmes d'information de l'hôpital d'Armentières et du CHU de Lille, venus en renfort de leurs collègues. L'ensemble des ordinateurs a été déconnecté et "par mesure de sécurité", le service des urgences a été fermé, a souligné Thomas Aubin, RSSI du GHT Hôpitaux publics Grand Lille, auquel est rattaché le CH d'Armentières.
"La décision de fermer les urgences, bien que difficile, a été nécessaire pour garantir la sécurité des patients. Cela a permis aux équipes de se concentrer sur le rétablissement des systèmes critiques", a-t-il expliqué, précisant que "les délais ont été tenus" puisque les urgences ont pu rouvrir à "J+3, comme annoncé".
Le RSSI a partagé un retour d'expérience détaillé. "Les premiers jours ont été consacrés à l'investigation numérique pour comprendre l'étendue de l'attaque et planifier une reconstruction sécurisée du SI. Des mesures immédiates ont inclus la restauration de l'Active Directory, l'isolation de certains systèmes et la mise en place de postes de travail sécurisés connectés par des galets 4G", a-t-il ainsi rapporté.
"La phase de reconstruction a intégré des mesures de sécurité renforcées, telles que des politiques de mots de passe strictes, l'authentification multi-facteurs et la mise à jour des systèmes obsolètes. L'établissement a également profité de cette crise pour mettre en place des pratiques de sécurité de l'état de l'art, recommandées notamment par l'Agence nationale de sécurité des systèmes d'information [Anssi]", a détaillé Thomas Aubin.
"La communication a été cruciale, tant en interne qu'en externe, avec des assemblées générales pour informer les professionnels de l'établissement. La gestion de la crise a impliqué une forte sollicitation médiatique et une coordination avec les autorités pour le dépôt de plainte et la gestion des violations de données."
Le CERT Santé et l'Anssi ont apporté leur concours et expertise au CH nordiste, la Commission nationale de l'informatique et des libertés (Cnil) a été saisie. Une plainte a été déposée au commissariat d'Armentières et auprès du parquet de Paris, qui dispose d'une cellule cyber, rappelle-t-on.
10 gigas de données volées
Le 25 février, le CH d'Armentières confirmait le vol de données et faisait savoir que les pirates informatiques à l'origine de la cyberattaque avaient "rendu accessibles des fichiers informatiques" (cf dépêche du 29/02/2024 à 13:07).
Interrogé par APMnews mercredi matin, Thomas Aubin a indiqué que le volume de données dérobées s'élève à 10 Go et concerne quelque 230.000 patients.
La facture de la cyberattaque devrait atteindre près de 2 M€, a-t-on également appris.
Le RSSI a aussi profité de son intervention pour partager les principaux enseignements tirés de cette crise. Il a souligné l'importance de la documentation, de la cartographie des systèmes, et des fiches réflexes pour les premières minutes d'une attaque.
"La protection de la cellule de crise et la communication avec les équipes ont été essentielles pour une gestion efficace", a-t-il salué. Les besoins en matériel de rechange, les moyens de communication alternatifs, et la préparation des équipes aux modes dégradés ont été identifiés comme centraux.
La collaboration avec le CHU de Lille, établissement support du GHT, et les autres établissements de santé du territoire "a été déterminante pour la gestion de la crise", a insisté Thomas Aubin, qui a aussi rappelé l'importance de réaliser des exercices de crise pour "aider à renforcer la résilience".
L'établissement a depuis lors "réussi à non seulement restaurer ses systèmes, mais aussi à renforcer sa sécurité pour prévenir de futures attaques", s'est félicité le RSSI du GHT.
wz/ed/APMnews