Retour d’expérience sur le chiffrement des postes de travail et serveurs au CH d’Armentières

CERT Santé

Ce document relate un retour d’expérience suite à une attaque informatique majeure au Centre Hospitalier d’Armentières dans la région Hauts-de-France. L’intrusion a débuté en décembre 2023 via un compte VPN, suivie d’une reconnaissance et élévation de privilèges jusqu’à la prise de contrôle du domaine en tant qu’administrateur en janvier 2024. L’attaquant a implanté des mécanismes de persistance sur le pare-feu, puis déployé une charge de chiffrement affectant postes de travail, serveurs et sauvegardes au début février. La crise a conduit au déclenchement rapide d’une cellule de crise et d’un Plan Blanc, avec un fort travail conjoint entre les équipes techniques locales, CERT Santé, ANSSI, CHU de Lille, SAMU et ARS. Les actions principales ont été l’isolement du système d’information, la restauration progressive avec reconstruction partielle améliorée, et le renforcement des plans de continuité (PCRA). Ce retour met en avant l’importance de la collaboration, de la rapidité d’intervention, de l’entraînement aux crises via des exercices réguliers, et l’identification préalable des données sensibles. Les contraintes liées à un fonctionnement en mode dégradé durable ont aussi été soulignées.

Éléments clés à retenir :

  • Intrusion via compte VPN, élévation de privilèges et prise de contrôle administrative du domaine

  • Chiffrement des postes de travail, serveurs et sauvegardes impactant fortement le SI

  • Chronologie précise des actions de l’attaquant sur plusieurs mois

  • Réaction rapide avec déclenchement de cellule de crise et Plan Blanc le 11 février 2024

  • Collaboration étroite entre le CH d’Armentières, CHU de Lille, ANSSI, CERT Santé, ARS et autres acteurs

  • Mise en œuvre d’une restauration progressive et renforcement des dispositifs de résilience (PCRA)

  • Importance des exercices réguliers et préparation aux incidents cyber

  • Nécessité d’identifier et sécuriser toutes les données critiques à l’avance

  • Prise en compte des contraintes liées à une gestion de crise en mode dégradé long terme

Source : https://cyberveille.esante.gouv.fr


BiblioCyber-2024-securite-incidents-armentieres.pdf