Cyberattaque : communication relative à une violation de données à caractère personnel

Home / Actualités / Cyberattaque : communication relative à une violation de données à caractère personnel

Cyberattaque : communication relative à une violation de données à caractère personnel

Le Centre Hospitalier Sud Francilien (CHSF) a été victime d’une cyberattaque le dimanche 21 août 2022. Depuis cette date, les professionnels de santé de l’établissement assurent la continuité et la sécurité des soins avec un recours limité à l’informatique.

En lien avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), le ministère des Solidarités et de la Santé et le ministère en charge du Numérique, le Centre Hospitalier Sud Francilien a rapidement mis en place les mesures nécessaires.

L’établissement a déposé plainte dimanche 21 août 2022, immédiatement après le constat de la cyberattaque. L’enquête est diligentée, sur les instructions du parquet de Paris, par le Centre de lutte contre les criminalités numériques (C3N), le service compétent de la gendarmerie nationale.

En parallèle, l’établissement a notifié cet incident à la Commission nationale de l’informatique et des libertés (CNIL), comme prévu par l’article 33 du règlement européen sur la protection des données (RGPD).

Des experts informatiques, appuyés par l’ANSSI sont immédiatement intervenus auprès des équipes du Système d’Information Hospitalier pour limiter l’impact de cette attaque, stabiliser la situation et contribuer à sécuriser les installations.

Malgré ces mesures et cette réactivité, les pirates ont toutefois réussi à exfiltrer des données à caractère personnel, y compris des données de santé.

En effet, dans un acte de revendication et d’ultimatum, des échantillons de données volées ont été publiés sur le site des attaquants.

A ce stade, en dehors des échantillons, nous ne connaissons pas la nature exacte des données concernées, ni l’identité des toutes les personnes touchées. Ce travail d’identification mobilise actuellement des experts et les autorités compétentes.

Pour l’heure, nous n’avons connaissance d’aucune utilisation malveillante des données dérobées au CHSF. Pour autant, nous recommandons à nos patients, anciens patients, personnels et anciens personnels de considérer que certaines données les concernant ont été exfiltrées et risquent d’être divulguées à l’issue de l’ultimatum posé par les cybercriminels.

Conformément à l’article 34 du RGPD, les personnes pouvant être identifiées dans les données concernées recevront des notifications de violation de données individuelles.

La direction de l’établissement, aidée de ses partenaires, est pleinement consciente des conséquences qui peuvent résulter de cette attaque et souhaite assurer ses patients et son personnel de son investissement le plus total pour en limiter au maximum les effets.

Le Centre Hospitalier Sud Francilien (CHSF) est un établissement public de santé. Implanté en Essonne, il rayonne sur un territoire de santé de 700 000 habitants. Il enregistre une activité annuelle de 72 000 séjours hospitaliers (Médecine, Chirurgie, Obstétrique). Il dispose d’un budget de 400M€ pour exercer ses missions de service public, sans but lucratif.

RECOMMANDATIONS

Par mesure de précaution, en lien avec l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), et dans l’attente une communication individualisée plus précise, nous vous recommandons la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie qui pourraient survenir dans les prochains mois et notamment les tentatives d’hameçonnage1.

Ainsi, nous recommandons :

  • d’être particulièrement vigilants face aux emails, SMS et appels qui pourraient chercher à tirer profit de cette fuite de données.
  • En particulier :
  • de vérifier que l’expéditeur est bien légitime et en lien avec le sujet,
  • de ne jamais fournir d’informations confidentielles (bancaires, mots de passe…),
  • d’être vigilant si le ton du message est pressant, qu’il pousse à l’action, d’autant plus si aucun message de ce type n’est attendu,
  • de ne pas ouvrir les pièces jointes d’un message suspect, car elles peuvent potentiellement être piégées.
  • de vérifier les comptes associés au numéro de Sécurité sociale, de surveiller l’activité des comptes en ligne associés, de changer les mots de passe de ces accès.

En cas de suspicion d’usurpation d’identité à la suite de la divulgation d’informations, nous vous recommandons :

  • de porter plainte au plus vite auprès d’un commissariat de police ou de gendarmerie.
  • de prendre connaissance des conseils pour vous prémunir d’usurpation sur le site cybermalveillance.gouv.fr  ;

D’une manière générale, assurez-vous de disposer de mots de passe suffisamment longs et complexes sur tous les services utilisés, et activer si possible une double identification. Il convient de changer ses mots de passe au moindre doute.

Pour en savoir plus, nous vous invitons à consulter ces bonnes pratiques de vigilance informatique : https://cybermalveillance.gouv.fr/bonnes-pratiques

Pour de plus amples informations ou pour signaler un incident, il est possible de contacter notre délégué à la protection des données à l’adresse (dpo@chsf.fr).

1 L’hameçonnage (phishing) consiste à vous envoyer un courriel ou SMS frauduleux qui vous paraîtra plus réaliste du fait de l’utilisation des données récupérées grâce à la fuite de données (un soi-disant courriel de votre médecin ou de la Sécurité sociale par exemple).

 

Back-To-Top
Back-To-Top