Un incident de sécurité a eu lieu dans la nuit le 21 août 2022 au Centre Hospitalier Sud Francilien (CHSF), un hôpital d’un millier de lits de Corbeil-Essonnes. Tous les logiciels métiers de l’hôpital ont été paralysés. Les données personnelles et de santé de patients ont également été dérobées.

L’hôpital a indiqué dans un communiqué qu’une cyberattaque est à l’origine de cet incident.

Le groupe de hackers nommé « LockBit 3.0 » a revendiqué être à l’origine de cet incident. Le groupe demande le paiement de 1 million de dollars contre la non-divulgation des données dérobées. Le centre hospitalier n’a manifestement pas payé cette somme, car les données ont été finalement publiées. Elles contiendraient un million de document d’après les dires des hackers.

Les communiqués du CHSF sur l’incident :

Communiqué du CHSF du 12 septembre 2022

Le Centre Hospitalier Sud Francilien (CHSF) a été victime d’une cyberattaque le dimanche 21 août 2022. Depuis cette date, les professionnels de santé de l’établissement assurent la continuité et la sécurité des soins avec un recours limité à l’informatique.

En lien avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le ministère des Solidarités et de la Santé et le ministère en charge du Numérique, le Centre Hospitalier Sud Francilien a rapidement mis en place les mesures nécessaires.

L’établissement a déposé plainte dimanche 21 août 2022, immédiatement après le constat de la cyberattaque. L’enquête est diligentée, sur les instructions du parquet de Paris, par le Centre de lutte contre les criminalités numériques (C3N), le service compétent de la gendarmerie nationale.

En parallèle, l’établissement a notifié cet incident à la Commission nationale de l’informatique et des libertés (CNIL), comme prévu par l’article 33 du règlement européen sur la protection des données (RGPD).

Des experts informatiques, appuyés par l’ANSSI sont immédiatement intervenus auprès des équipes du Système d’Information Hospitalier pour limiter l’impact de cette attaque, stabiliser la situation et contribuer à sécuriser les installations.

Malgré ces mesures et cette réactivité, les pirates ont toutefois réussi à exfiltrer des données à caractère personnel, y compris des données de santé.

En effet, dans un acte de revendication et d’ultimatum, des échantillons de données volées ont été publiés sur le site des attaquants.

A ce stade, en dehors des échantillons, nous ne connaissons pas la nature exacte des données concernées, ni l’identité des toutes les personnes touchées. Ce travail d’identification mobilise actuellement des experts et les autorités compétentes.

Pour l’heure, nous n’avons connaissance d’aucune utilisation malveillante des données dérobées au CHSF. Pour autant, nous recommandons à nos patients, anciens patients, personnels et anciens personnels de considérer que certaines données les concernant ont été exfiltrées et risquent d’être divulguées à l’issue de l’ultimatum posé par les cybercriminels.

Conformément à l’article 34 du RGPD, les personnes pouvant être identifiées dans les données concernées recevront des notifications de violation de données individuelles.

La direction de l’établissement, aidée de ses partenaires, est pleinement consciente des conséquences qui peuvent résulter de cette attaque et souhaite assurer ses patients et son personnel de son investissement le plus total pour en limiter au maximum les effets.

Communiqué de CHSF du 21 août 2022

« Le plan blanc du Centre Hospitalier Sud Francilien (CHSF) a été déclenché dimanche 21 août 2022 en raison d’une attaque informatique sur le réseau du Centre Hospitalier survenue à 1h du matin.

Cette attaque sur le réseau informatique de l’établissement rend pour l’heure inaccessible tous les logiciels métiers de l’hôpital, les systèmes de stockage (notamment d’imagerie médicale) et le système d’information ayant trait aux admissions de la patientèle.

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a été rapidement saisie par la cellule de crise. Des experts ont été mandatés par cette autorité pour intervenir rapidement.

Dans ce contexte, une première mesure est entrée en vigueur dimanche 21 août afin de garantir la sécurité des soins. Les patients dont les soins nécessitent l’accès au plateau technique sont adressés au sein du réseau des hôpitaux publics d’Ile-de-France en lien avec l’Agence Régionale de Santé et avec le concours du SAMU-SMUR 91.

Aux urgences, les patients qui se présentent spontanément sont évalués puis possiblement adressés à la Maison Médicale de Garde du CHSF. Les patients dont les soins nécessitent l’accès au plateau technique sont transférés dans un autre établissement.

S’agissant des personnes hospitalisées dans l’établissement, la cellule de crise a mis en place les mesures nécessaires à leur prise en charge.

L’établissement met tout en œuvre pour maintenir les soins ambulatoires de sa patientèle (consultations et soins dispensés en hôpital de jour) dans les conditions de sécurité requises. En revanche, cette situation exceptionnelle devrait avoir un impact sur l’activité du bloc opératoire, étroitement articulée à celle du plateau technique. Chaque patient concerné sera individuellement informé d’une déprogrammation éventuelle et des suites envisagées pour assurer la continuité des soins avec le concours des hôpitaux de notre région.

Cette attaque n’impacte pas le fonctionnement et la sécurité du bâtiment hospitalier. Tous les réseaux restent en activité (téléphone à l’exception du fax, flux automatisés de distribution…).