L’hôpital de Corbeil-Essonnes reconnaît la divulgation de données patients

Après la cyber attaque qu’il a subie le 22 août, le Centre Hospitalier Sud Francilien situé à Corbeil-Essonnes, reconnaît que le 23 septembre, les cybercriminels ont mis à exécution leur menace de divulgation des données qu’ils ont captées. “Des données exfiltrées ont été publiées sur leur site” communique l’hôpital.

Une information individuelle des patients et du personnel à venir

Selon les professionnels de la sécurité informatique mobilisés par l’hôpital, les données publiées semblent concerner les usagers du centre hospitalier, son personnel ainsi que ses partenaires. Le CHSF adressera dans les prochains jours une information individuelle à ses patients ainsi qu’à son personnel. Le Centre Hospitalier Sud Francilien dit être profondément désolé de cette situation.

Le ministre de la santé, François Braun, condamne la divulgation des données piratées. « Nous ne céderons pas face à ces criminels. L’ensemble des services de l’État sont mobilisés aux côtés du Centre hospitalier Sud Francilien de Corbeil-Essonnes » affirme le ministre.

L’hôpital prévient qu’il faut considérer que des données administratives dont le numéro de sécurité sociale (numéro NIR ou Numéro d’Inscription au Répertoire) et les données santé telles que des comptes-rendus d’examen figurent potentiellement parmi les données divulguées sur le site des attaquants. L’hôpital liste en particulier des dossiers externes d’anatomocytopathologie (examens servant à détecter des cancers éventuels), de radiologie, de laboratoires d’analyse et de médecins.

Environ 10% de l’espace de stockage de l’hôpital touché

En revanche, l’hôpital estime que ses bases de données métiers parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers  de gestion des ressources humaines n’ont pas été compromises. Le Centre Hospitalier pense que l’attaque a été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage de l’hôpital, environ 10%.

Le centre hospitalier travaille toujours avec les équipes de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Il tient informé la Commission nationale de l’Informatique et des Libertés (Cnil) de l’évolution de la violation de données conformément aux dispositions de l’article 33 du RGPD. L’enquête est confiée au centre de lutte contre les criminalités numériques (C3N) à la suite de la plainte déposée le 21 aout 2022.

Pour de plus amples informations ou pour signaler un incident, il est possible de contacter le délégué à la protection des données Ferdinand Tchadji, à l’adresse dpo@chsf.fr. Le Centre Hospitalier Sud Francilien (CHSF) a été victime d’une cyberattaque le 20 août 2022. Le 12 septembre 2022, les cybercriminels ont lancé un ultimatum de diffusion en masse des données en publiant sur leur site quelques preuves d’exfiltration des données.

Attention aux attaques de phishing

Au vu de la situation, l’hôpital recommande la plus grande vigilance, notamment s’agissant de tentatives d’escroquerie qui pourraient survenir dans les prochains mois et notamment les tentatives d’hameçonnage. Il s’agit d’être vigilants face aux emails, SMS et appels qui pourraient chercher à tirer profit de cette fuite de données.