https://global.agfahealthcare.com/france/systemes-informations/srd_restauration/
https://www.ctm-telemedecine.fr/

Systèmes d'information

Nantes: l'hôpital du Confluent ciblé par une série d'attaques informatiques

0 151

NANTES (TICsanté) - L’Hôpital privé du Confluent de Nantes a été touché par quatre attaques informatiques entre le 14 mai et le 9 juillet 2019 "sous la forme d'une campagne de mails frauduleux adressés aux salariés du groupe et notamment à destination des utilisateurs d'Apicrypt", a expliqué à TICsanté Rémi Menanteau, directeur adjoint des systèmes d’information et responsable sécurité des systèmes d’information (RSSI) du groupe Confluent.

l’Hôpital privé du Confluent de Nantes a été touché par plusieurs attaques informatiques entre le 14 mai et le 9 juillet sous la forme d'une campagne de mails frauduleux adressés aux salariés du groupe et notamment à destination des utilisateurs d'Apicrypt.

La première campagne d'envoi massif de mails frauduleux (ou phishing) s’est produite le 14 mai, elle a été suivie de deux autres attaques similaires les 18 et 24 juin et d'une attaque de moindre envergure le 9 juillet, dont fait état un rapport d'incident mis en ligne par Apicem, l'éditeur de la messagerie MSSanté Apicrypt.

"A trois reprises, nous avons détecté un volume inhabituellement important de messages en provenance d’une adresse mail du groupe destiné au carnet d'adresses du groupe dont des utilisateurs de la messagerie MSSanté Apicrypt", a expliqué Rémi Menanteau.

"Il ne s'agit pas d'un mail contenant un logiciel malveillant (ou malware), un rançongiciel (ou ransomware), mais d'un mail invitant les salariés du groupe à renouveler leurs mots de passe et identifiants de connexion. Il suffit d'y répondre pour communiquer ses identifiants et permettre aux envoyeurs d'intégrer le système", a poursuivi le DSI adjoint et RSSI du groupe Confluent.

Pour répondre à ces attaques, la DSI du groupe a "bloqué les flux" et a "travaillé avec Apicem à un plan d'action et de communication", a précisé le RSSI des hôpitaux privés nantais.

"Nous avons réinitialisé tous les postes de travail et les mots de passe de tous nos collaborateurs. Nous avons également bloqué les accès extérieurs à la messagerie", a détaillé Rémi Menanteau.

"Trois comptes ont été touchés. Il y a 2.000 comptes utilisateurs et ce sont en moyenne 150.000 mails qui transitent tous les mois, nous en filtrons déjà plus de la moitié mais parfois, il y a des mails frauduleux qui passent entre les mailles du filet."

L'Apicem répond

"Nous avons décelé a posteriori la campagne de spams du 14 mai dont les utilisateurs d'Apicrypt figurant dans le carnet d'adresses de l'hôpital étaient destinataires. Nous ne bloquons pas systématiquement les flux mais nos techniciens sont intervenus et nous avons alors rappelé au groupe du Confluent que le spamming était contraire à la charte d'utilisation de la messagerie. Ils se sont alors engagés à la respecter mais nous ne savions pas qu'il s'agissait d'une attaque", a expliqué Alexandre Caron, RSSI de l'Apicem.

Lorsque des événements similaires se produisent le 18 juin, l'Apicem se montre "plus ferme" sur le respect des engagements mais ne sait "toujours pas" qu'il s'agit alors d'une campagne de phishing, a raconté le responsable informatique.

Le 24 juin, alors que l'hôpital privé Nantais subit une troisième campagne d'envois de mails frauduleux, le RSSI de l'Apicem est alors informé du caractère de l'attaque "et des mesures sont immédiatement mises en place avec la direction des systèmes d'information (DSI) du Confluent", a-t-il souligné.

"Les utilisateurs ont été informés immédiatement de la cyberattaque et nous avons mis en oeuvre un dispositif de surveillance des flux du Groupe Confluent depuis le 25 juin jusqu’au 5 juillet. Ce dispositif visait à stocker les messages du Groupe Confluent temporairement et à les analyser avant d’autoriser leur traitement et leur expédition aux utilisateurs d’Apicrypt*."

Cette action de contrôle, plusieurs heures de vérification manuelle par jour, était réalisée par un technicien de l'Apicem et "représentait un coût quotidien important que la société ne pouvait maintenir sur le long terme", a expliqué le RSSI.

Le 9 juillet, une dernière attaque est survenue, forçant ainsi l'Apicem "à remettre en place ses mesures de surveillance des flux et la coordination étroite avec la DSI du Confluent fut relancée".

Au lendemain de cette dernière campagne de mails frauduleux, l'hôpital privé du Confluent a ainsi choisi de faire intervenir son prestataire informatique, "qui a pris contact avec l’Apicem" afin de l’informer de la décision du Confluent de couper les accès de messagerie externes du groupe de cliniques privées nantais. "Cette mesure permet de stopper immédiatement l’attaque et toute tentative ultérieure", a souligné l'éditeur.

Le 12 juillet, "la cellule de crise de l’Apicem" prend la décision d’agréer le plan d’action présenté par le tiers du Groupe Confluent et de lever la mesure de filtrage des flux. Cette cellule de crise a été clôturée le 18 juillet.

Depuis lors, "même si aucune autre attaque n'a été signalée, nous maintenons une coordination étroite avec la DSI du Confluent jusqu’à la fin de l’exécution du plan d’action et un point de situation est d'ailleurs prévu au début du mois de septembre", a précisé Alexandre Caron.

L'Asip santé et la Cnil avertis

De son côté, le groupe Confluent a indiqué que des sessions de formation à la cybersécurité à destination de l'ensemble des salariés de l'hôpital sont "régulièrement" organisées afin d'éviter ce genre d'incidents.

L'Agence des systèmes d'information partagés de santé (Asip santé) a été avertie dès la première campagne de mails frauduleux et "suit la situation de près". Une déclaration a également été faite auprès des services de la Commission de l'informatique et des libertés (Cnil) suite à la dernière attaque.

Ces campagnes de mails frauduleux "n'ont pas eu d'impacts sur le travail des professionnels de santé, ni sur les patients", a souligné Rémi Menanteau.

Ces dernières semaines, le groupe Ramsay-Générale de santé (RGdS) a aussi fait l'objet d'une cyberattaque qui a touché ses 120 établissements de santé en France, rappelle-t-on.

Pour rappel, en mai, l'Asip santé faisait état de près de 500 incidents de cybersécurité depuis la mise en place de la cellule d'accompagnement cybersécurité des structures de santé (ACSS) en octobre 2017.

Dans le détail, 88% des déclarations d'incidents proviennent des établissements de santé, 6% d'autres structures de type Ehpad (établissements d'hébergement pour personnes âgées dépendantes), 4% des laboratoires de biologie médicale et 2% des centres de radiothérapie.

La cellule ACSS est placée sous la responsabilité du fonctionnaire en charge de la sécurité des systèmes d'information (FSSI) du ministère, Philippe Loudenot, rappelle-t-on également.

Wassinia Zirar
Wassinia.Zirar@apmnews.com

http://www.computer-engineering.fr/

En bref

L'éditeur de logiciels Inovelan décroche l'homologation V2 pour alimenter le DMP

Inovelan, une société du groupe Agfa HealthCare, reçoit l’homologation V2 pour l’alimentation et la création du dossier médical partagé (DMP) par le Centre national de dépôt et d'agrément (CNDA), a annoncé le groupe dans un communiqué le 30 avril.

0 280

En bref

Nouvelle version de la messagerie immédiate sécurisée en santé (MiSS)

L'Apicem a annoncé le 25 mars la sortie d'une nouvelle version de l'application de messagerie immédiate sécurisée en santé (MiSS) pour la communication instantanée entre professionnels de santé.

0 340
https://www.apmjob.com/display-job/74556/?searchId=1567170277.2615&page=1

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
5 + 9 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019
https://www.evolucare.com/articles/salon-sfar2019-palais_des_congres.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=sfar2019

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Université des déserts médicaux et numériques

    Du 20/09/2019 au 21/09/2019

  • Catel Paris 2019

    Le 03/10/2019

  • 5ème Colloque cybersécurité en santé

    Le 03/10/2019

  • FASN Hôpital du futur

    Le 03/10/2019

  • 2ème SOPHI.A Summit

    Du 20/11/2019 au 22/11/2019