Le centre hospitalier de Cannes Simone Veil confirme le 2 mai que les données publiées sur le Dark Web dans la soirée du 1er mai lui appartiennent. Il s’agit de 61 Go de données. L’hôpital avait annoncé le 30 avril que la cyber attaque dont il est victime depuis le 16 avril avait été revendiquée par le groupe de voyous Lockbit 3.0. L’établissement déclarait avoir alors pris connaissance d’une demande de rançon du groupe de hackers Lockbit3.0.
L’hôpital n’avait pas l’intention de régler la rançon. La revendication a été transmise à la Gendarmerie et à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). « Les établissements publics de santé ne paient jamais de rançon face à ce type d’attaque » soulignait l’hôpital.
Dommages à venir sur les patients et les partenaires
La direction du centre hospitalier condamne la publication des données et regrette les dommages qui seront occasionnés à certains de ses patients, des professionnels et des partenaires. L’hôpital poursuit la qualification des données qui ont été exfiltrées de ses systèmes.
L’hôpital annonce qu’il fera un retour dans les prochains jours, circonstancié et personnalisé auprès des personnes et des institutions concernées. La direction du centre hospitalier est accompagnée du CERT-Santé et de différents partenaires spécialisés en cyber sécurité. Elle a déposé plainte et contribue à l’enquête en cours. Une alerte a également été envoyée à la Cnil et à l’ANSSI.
Reprise de l’activité de façon quasi ordinaire
L’hôpital indique avoir repris le cours de son activité de l’hôpital de façon quasi ordinaire. La direction informe que le rétablissement du fonctionnement normal de son système d’information se fait à un rythme conforme au plan d’actions défini au début de la crise.
Le 17 avril, l’hôpital avait déclaré qu’une cyber attaque était en cours depuis le mardi 16 avril au matin. Une cellule de crise avait décidé d’un cyber confinement général sur tous les secteurs. L’ensemble des accès informatiques avaient été coupés en conséquence. La téléphonie continuait de fonctionner.
La cyber attaque était analysée avec l’ANSSI, le Cert Santé, Orange CyberDéfense et le GHT06 (Groupement Hospitalier de Territoire des Alpes Maritimes). Le 17 avril, l’hôpital indiquait qu’il n’y avait pas eu de demande de rançon ni de vol de données identifiés à ce stade.
Recours au papier afin de continuer à fonctionner
Les professionnels de l’hôpital avaient appliqué depuis le mardi matin des procédures dégradées en ayant recours au papier. Ces procédures prennent plus de temps et les temps de rendu d’examens sont allongés.
L’hôpital déclarait agir pour garantir la poursuite des prises en charge sur l’ensemble des champs d’activité, c’est-à-dire les urgences, la médecine, la chirurgie, l’obstétrique, la gériatrie, la pédiatrie, la psychiatrie, l’hospitalisation à domicile et la rééducation.
L’établissement s’appuyait sur l’Agence Régionale de Santé et le Groupement Hospitalier de Territoire des Alpes Maritimes pour réguler les patients sur le territoire en fonction des profils médicaux et des capacités d’hospitalisation au sein du centre hospitalier de Cannes Simone Veil et des autres établissements. L’organisation des soins faisait l’objet d’un suivi à l’échelle départementale. L’activité des urgences restait active en lien avec le Samu.
L’hôpital de Cannes s’appuie sur l’écosystème local
Les partenaires de l’’établissement au sein du GHT sont les CHU de Nice, CH de Grasse, CH d’Antibes.
Sur la journée de mardi 16 avril et mercredi 17 avril, environ un tiers des programmations d’interventions non urgentes au bloc opératoire ont été annulées sur décision médicale. Plusieurs consultations non urgentes avaient été déprogrammées. Certaines consultations peu requérantes en termes d’informatique et concernant des patients chroniques connus avaient pu être maintenues.
Le CHC-SV déclarait alors qu’il n’avait jamais été victime de cyber attaque de ce type. La priorité de remise en route informatique était alors donnée aux logiciels directement liés au processus de prise en charge patient pour le dossier patient informatisé et le rendu des examens. Des exercices avaient été tenus au cours des derniers mois à l’hôpital et avaient permis une forte réactivité face à l’événement, selon la direction.