Comment Ramsay Générale de Santé a survécu à une cyber-attaque majeure
Depuis le 9 août 2019, le groupe Ramsay Générale de Santé était victime d'une cyber-attaque, aujourd'hui repoussée. Aucune perte ou compromission de données sensibles n'ont été détectées.
PublicitéIl y a des vacances ou des grands week-ends plus tranquilles que d'autres. Après d'autres établissements ou organismes du secteur de la santé (CHU de Montpellier, NHS britannique...), le groupe Ramsay Générale de Santé a été à son tour victime d'une cyber-attaque majeure la semaine passée, attaque aujourd'hui repoussée. Fort de 23 000 salariés et 6000 praticiens libéraux dans 121 établissements et centres au service de deux millions de patients par an, le groupe Ramsay Générale de Santé revendique la première place de la santé privée en France. Il est issu du rachat de la Générale de Santé (créée par le groupe Générale des Eaux) par l'Australien Ramsay Health Care (présent en France depuis 1993) et Crédit Agricole Assurances (via Predica) en 2014.
Le groupe indique que l'incident a été détecté le samedi 9 août 2019. La première application où le blocage a été détecté par le DSI a été tout simplement la messagerie. Au cours de la vérification systématique aussitôt enclenchée, le blocage d'applications métier a aussi été détecté. Le processus de gestion de crise, formellement anticipé, a donc été aussitôt déclenché. « La réglementation de notre secteur est très précise sur nos obligations » rappelle une porte-parole du groupe.
Une gestion d'incident pré-formalisée
Respect de la réglementation et organisation préalable ont été les clés de la résolution de l'incident, notamment via la constitution d'une cellule de crise et le respect des procédures documentées. Rapidement, l'origine de l'incident a été identifiée. Et des consignes ont été transmises aux établissements pour basculer en processus de crise. « Le respect de la réglementation implique notamment de préserver une totale traçabilité... avec du papier et des crayons » indique une porte-parole du groupe. Un point quotidien a été réalisé avec les chefs d'établissements. Les prestataires sous contrats ont été mobilisés (notamment Thalès), tout comme l'ANSSI en lien avec l'autorité de tutelle, le Ministère de la Santé.
Le groupe reconnaît évidemment que l'incident « a été très handicapant pour les métiers puisque ce sont leurs outils logiciels quotidiens qui étaient touchés ». Cependant, selon la porte-parole, « aucune donnée personnelle de nos patients n'a été compromise et aucun impact n'a été perçu par les patients en dehors des éventuelles discussions entre salariés du groupe ».
Rétablissement en une semaine
La reconstruction du système d'information a bien sûr été lancée dès la détection de l'incident initial. Les derniers serveurs et la messagerie sont aujourd'hui totalement opérationnels, au bout d'une semaine de travail. « Tout le monde a joué le jeu, même en plein mois d'Août, les attaquants comptant sans doute sur une désorganisation de nos services à ce moment de l'année » se réjouit la porte-parole du groupe.
PublicitéSi le groupe reconnaît avoir été victime d'un virus et affirme que son origine a été identifiée, la nature exacte de l'attaque et son canal de pénétration ont été déclarés confidentiels. En particulier, il refuse de confirmer ou d'infirmer qu'il s'agissait bien, comme la rumeur l'indique, d'un crypto-virus avec demande de rançon, bref d'une cyber-attaque classique à but uniquement lucratif.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire