Essonne : victime d’une cyberattaque en août, un hôpital ciblé par un chantage aux données

Société > Hôpital > Essonne
Par Gael Brulin publié le 14 septembre 2022 à 16h00.

Déjà victime d'une cyberattaque le mois dernier, un hôpital de l'Essonne subit désormais un chantage aux données.

Mardi, par voie de communiqué, le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes (Essonne) a déploré “l’exfiltration de données à caractère personnel”, incluant “des données de santé”. Dans des propos rapportés par 20 Minutes, il est ajouté que “dans un acte de revendication et d’ultimatum, des échantillons de données volées ont été publiés sur le site des attaquants”.

Données volées dans un hôpital de l’Essonne : pas d’utilisation malveillante connue

S’il est maintenant ciblé par un chantage, l’hôpital indique cependant ne pas avoir, pour l’heure, “connaissance d’une utilisation malveillante” des données dérobées. On nous rappelle qu’il y a un peu moins d’un mois, le 21 août dernier, ce même établissement avait été victime d’une cyberattaque. Les auteurs de cette dernière demandaient une rançon de 10 millions de dollars.

La cyberattaque du mois d’août avait paralysé du système informatique

L’attaque avait sérieusement mis à mal les logiciels métiers et les systèmes de stockage de l’établissement, en plus de rendre également inaccessible le système d’information lié à l’admission des patients. Suite à quoi, une plainte avait été déposée par l’hôpital et la Commission nationale de l’informatique et des libertés (CNIL) saisie, au même titre que l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’enquête est actuellement menée par les gendarmes du Centre de lutte contre les criminalités numériques (C3N).

Incertitudes sur la nature des informations dérobées

Concernant le vol des données, le communiqué reconnaît un certain flou : “À ce stade, en dehors des échantillons, nous ne connaissons pas la nature exacte des données concernées, ni l’identité des toutes les personnes touchées”. Un “travail d’identification” de ces éléments en cours, et en temps voulu, les personnes concernées recevront des “notifications de violation de données individuelles”.

En savoir plus