Attaque informatique du centre hospitalier de Dax : réparation de l’Active Directory en priorité

A l’occasion de l’annonce du plan de cyber sécurité de la France par le Président de la République, le 18 février, le secrétariat d’Etat à la transition numérique publie les actions menées aux hôpitaux de Dax et de Villefranche-sur-Saône victimes récentes d’une attaque informatique, afin de rétablir une situation normale. Réparer l’annuaire « Active Directory » de Microsoft apparaît stratégique afin de contrôler la situation.

Le rançongiciel RYUK fait basculer en mode dégradé

Le 9 février  2021, le centre hospitalier de Dax-Côte d’Argent  a signalé la compromission  de son système d’information par le rançongiciel RYUK. Cette attaque informatique, et les premières mesures qui ont été prises par les équipes de l’hôpital pour la contenir ont amené le centre hospitalier à basculer dans un mode de fonctionnement dégradé.  

Les premières mesures ont consisté à compartimenter le parc informatique de l’établissement pour freiner la propagation du rançongiciel. De plus, les connexions internet ont été débranchées afin de couper l’accès de l’attaquant au réseau informatique et empêcher la diffusion du rançongiciel vers d’autres entités. Sous la pression de l’attaque, les équipes informatiques de l’hôpital se sont assurées de l’intégrité et de la disponibilité des dernières sauvegardes informatiques réalisées.

Depuis le 12 février, une équipe de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est présente sur le site pour accompagner l’hôpital dans ses actions de redémarrage et coordonner les prestataires. L’équipe de l’Anssi procède sur place au remplacement de la plateforme de gestion centralisée des permissions d’accès au réseau informatique des utilisateurs, des machines et des applications, l’annuaire  « Active directory ». Cet outil sert également à l’administration du réseau.

Le redémarrage débute par l’assainissement de l’« Active Directory »

Cet annuaire est un élément critique, susceptible de donner à un attaquant une prise de contrôle complète du système d’information et des données qu’il contient, il doit être assaini en priorité afin de pouvoir restaurer ensuite progressivement l’intégrité du réseau. Compte tenu de la complexité de l’annuaire « Active Directory », son remplacement  constitue une opération délicate et nécessite une préparation minutieuse. Elle permet d’expulser l’attaquant de la partie la plus critique du réseau informatique compromis.

En ce qui concerne l’Hôpital de Villefranche-sur-Saône, les sites de Villefranche-sur-Saône, Tarare et Trevoux de l’Hôpital Nord-Ouest, ont été victimes d’une attaque par le crypto-virus RYUK, un logiciel malveillant qui bloque les données d’un système informatique, et qui ne sont plus accessibles qu’après paiement d’une rançon.

Afin de limiter la propagation du virus, les postes de travail du centre hospitalier ont été déconnectés à l’exception du standard des urgences. L’ensemble de la téléphonie a été rendue inaccessible. Toutes les équipes hospitalières ont immédiatement mis en place des procédures dites « dégradées », c’est-à-dire le retour à l’usage du papier et du stylo, pour maintenir la prise en charge des patients.

Orientation des urgences vers d’autres hôpitaux

En coordination avec l’Agence régionale de santé Auvergne-Rhone-Alpes, le SAMU et les pompiers, les patients nécessitant le recours aux services d’urgences des sites de Villefranche et Tarare sont orientés vers d’autres hôpitaux ou cliniques. Une cellule de crise a été installée pour organiser le fonctionnement des trois hôpitaux.