Retour d’expérience incident centre hospitalier de Cahors

CERT Santé

Le document décrit le retour d’expérience d’un incident majeur sur le système d’information du Centre Hospitalier de Cahors survenu en 2022. L’alerte initiale a été donnée le 23 août 2022 concernant une vulnérabilité critique exploitée sur un serveur de messagerie Zimbra non patché, permettant la prise de contrôle à distance. La cyberattaque impliquait un rançongiciel provoquant chiffrement des données, indisponibilité des ressources et risque de fuite de données sensibles des patients et employés. Après la confirmation de la compromission, des mesures immédiates de confinement, déconnexion des serveurs compromis et déploiement de correctifs ont été mises en œuvre avec l’appui technique du CERT Santé. L’attaque a également permis d’identifier des actions malveillantes comme le minage de cryptomonnaie. Un plan de remédiation a été co-construit pour renforcer la sécurité, segmenter le réseau et améliorer les pratiques d’administration IT. L’incident a été maîtrisé rapidement grâce à la collaboration étroite entre le Centre Hospitalier et le CERT Santé. Les données patients hébergées chez un prestataire certifié n’ont pas été affectées, bien que les services administratifs aient été impactés pendant la crise. Ce retour souligne l’importance d’une veille continue, de la rapidité d’intervention et du travail conjoint pour contenir ce type d’incidents.

Éléments clés à retenir :

  • Alerte du CERT Santé le 23 août 2022 sur vulnérabilité critique sur serveur Zimbra

  • Exploitation de la faille permettant prise de contrôle et rançongiciel

  • Mesures immédiates : déconnexion serveurs, confinement, déploiement de correctifs

  • Collaboration étroite entre Centre Hospitalier et CERT Santé pour réponse à incident

  • Identification des actions malveillantes (minage de cryptomonnaie) sans perte des codes ou réinstallation du serveur

  • Plan de remédiation incluant segmentation réseau, durcissement des équipements et changement des pratiques

  • Données patients protégées grâce à un hébergeur certifié HDS

  • Impact fonctionnel sur services administratifs pendant la crise

  • Importance de la veille, de la réaction rapide et de l’accompagnement expert en cybersécurité

Source : https://cyberveille.esante.gouv.fr


BiblioCyber-2022-retexincident-chcahors.pdf