RetEx Cyberattaque au Centre Hospitalier de Rueil-Malmaison
Ce document relate une cyberattaque majeure ayant frappé le Centre Hospitalier Départemental Stell de Rueil-Malmaison initiée par la compromission d’un ancien compte administrateur sur le VPN, réactivé récemment pour un audit réseau. L’attaquant a ainsi pu accéder au système d’information, déployer un rançongiciel et chiffrer plusieurs serveurs, paralysant les services critiques comme les soins, la gestion des repas, et rendant difficile l’accès au dossier patient informatisé. Une exfiltration suspectée de données sensibles a également eu lieu. La chronologie détaillée couvre les phases de reconnaissance, l’intrusion, la persistance, la latéralisation sur d’autres serveurs, puis le chiffrement. Les équipes ont déclenché un confinement et une reconstruction progressive de l’infrastructure, avec l’appui de l’ANSSI et du CERT Santé. Les actions post-crise ont inclus la remise en place sécurisée du système d’information, la formation des équipes, et la mise en place de mesures de sécurité renforcées. Le rapport souligne l’importance d’une gestion rigoureuse des comptes utilisateurs, même inactifs, et le recours à l’authentification multifactorielle pour éviter ce type d’intrusion.
Éléments clés à retenir :
-
Compromission via un ancien compte administrateur activé pour un audit
-
Intrusion initiale par VPN avec mot de passe faible
-
Déploiement d’un rançongiciel et chiffrement des serveurs Windows
-
Impact sur les services hospitaliers essentiels et gestion administrative
-
Exfiltration de données personnelles suspectée
-
Intervention conjointe de l’ANSSI et du CERT Santé pour remédiation
-
Confinement, isolation des serveurs et coupure des flux VPN et Internet
-
Reconstruction de l’Active Directory et restauration progressive des services
-
Importance d’une revue régulière des comptes et des mots de passe forts
-
Nécessité de l’authentification multifactorielle pour accès critiques
Source : https://cyberveille.esante.gouv.fr