Cyberattaque d’un établissement Aléo Santé : le Groupe Softway Medical « hors de cause »

Rappel des faits
Dans la nuit de lundi à mardi dernier, vers 5 ou 6 heures, des données issues de 750 000 dossiers patients d’un établissement du groupe Aléo Santé ont été mises en ligne sur un site de vente sur le Dark Web. La nuit suivante, un ultimatum était lancé : l’établissement devait s’acquitter dans les trois jours dupaiement d’une rançon d’un montant de 5 000 dollars. L’établissement a été victime d’une usurpation d’identité sur un compte à privilèges, dont les login et mot de passe, après avoir été récupérés, ont permis l’exfiltration des données.

Selon les explications de Sherley Brothier, Chief Technical Officer du groupe Softway Medical, interrogé par DSIH, le groupe a été alerté par un journaliste du site d’information Clubic réalisant une veille sur le Dark Web, où le pirate mettait en avant le nom du logiciel du groupe. « Dès que l’attaque a été authentifiée et validée dans la matinée, nos équipes ont immédiatement informé le client concerné », souligne le directeur technique. Il s’agirait de données non structurées : identité des patients, médecins traitants, certains champs de commentaires libres, mutuelles.

La mise au point du groupe Softway Medical
La direction du groupe précise qu’« il s’agit d’une situation d’exfiltration de données chez un de [ses] clients, qui utilise le DPI Mediboard on-premise, installé chez un prestataire HDS qu’il a sélectionné ». Elle ajoute : « Nous avons donc bien fourni le logiciel, mais les données de santé concernées n’étaient pas hébergées par le groupe Softway Medical, et notre hébergement n’est pas en cause. »

Le groupe a tout de même mobilisé ses équipes opérationnelles, techniques et la direction des services informatiques pour accompagner le client dans le processus de sécurisation de sa solution. « Il s’agissait notamment de rappeler les modalités du dépôt de plainte, la nécessité de contacter le CERT Santé [le service d’appui à la gestion des cybermenaces et des cyberattaques], les obligations en termes d’assurance… » Le groupe d’établissements, qui n’a pas encore communiqué sur ce dossier, est désormais accompagné par le CERT Santé.

Règles d’hygiène pour anticiper et agir
Softway continue à encourager ses clients à assurer une veille, à activer régulièrement des mesures d’hygiène cyber, à vérifier les accès et à auditer. « Nous mettons en œuvre des mesures de cybersécurité et nous allons continuer à communiquer pour sensibiliser. La santé est un secteur sensible, mais les établissements ont àleur portée les “traces” et le nombre d’accès », indique-t-il.

Par ailleurs, au sein de Softway, des exercices de simulation de crise sont réalisés, « comme tous les hébergeurs sont censés le faire depuis deux ans, dans le cadre de la certification HDS d’hébergement de données de santé et la norme ISO 27001 », explique Vincent Trély, président de l’Apssis, l’Association pour la sécurité des systèmes d’information de santé, contacté par téléphone. Il rappelle à cette occasion une règle essentielle de bon usage : la revue régulière des accès et des habilitations, notamment des professionnels n’exerçant plus dans l’établissement.