Retour d’expérience incident cyber du GHT La Réunion

CERT Santé

Le document présente un retour d’expérience sur un incident de cybersécurité survenu au GHT La Réunion, signalé au CERT Santé début février 2023. L’attaque a ciblé plusieurs systèmes dont le serveur Active Directory, des serveurs applicatifs Citrix et des postes de travail. Le SOC a détecté des activités malveillantes comme l’exécution de Mimikatz et le déploiement d’un RAT (Remote Access Trojan), avec prise de contrôle à distance des équipements et compromission de plusieurs comptes à privilèges, ce qui a conduit à une compromission globale du domaine avec un risque de chiffrement des données et d’exfiltration. Le GHT comprend 15 établissements, 3 domaines, environ 900 serveurs et 7330 professionnels. La chronologie précise des événements va du 3 février (premières connexions suspectes) au 24 avril, incluant la détection, l’analyse, la coupure des interconnexions, le confinement, la collecte des traces, le démarrage de la remédiation, puis le durcissement et la remise en service progressive. Le plan de remédiation établi comprenait segmentation réseau, réduction de l’obsolescence des équipements critiques, durcissement des machines, changement des pratiques d’administration, et déploiement de nouveaux outils de sécurité. Aucun vol massif de données n’a été constaté, mais plusieurs identifiants ont été exfiltrés. Le bilan insiste sur la réactivité du CERT Santé, la collaboration avec les prestataires et la mobilisation interne.

Éléments clés à retenir :

  • Incident détecté début février 2023, touchant AD, serveurs Citrix, postes de travail.

  • Exécution de Mimikatz, déploiement de RAT, prise de contrôle distante confirmés.

  • Compromission globale du domaine avec risque de chiffrement et exfiltration.

  • 15 établissements, 900 serveurs, 7330 professionnels concernés.

  • Chronologie de l’intervention du 3 février au 24 avril avec confinement, remédiation et durcissement.

  • Plan de remédiation axé sur segmentation réseau, durcissement, nouvelles pratiques et outils.

  • Aucun vol massif de données détecté malgré exfiltration d’identifiants.

  • Importance de la collaboration entre CERT Santé, GHT, prestataires pour contenir la crise.

  • Mise à disposition d’experts cybersécurité pour accompagner l’établissement.

Source : https://cyberveille.esante.gouv.fr


BiblioCyber-2023-IncidentCyber-GHTLaReunion.pdf