Ille-et-Vilaine : un ancien responsable de la sécurité informatique arrêté après une cyberattaque de plusieurs établissements de santé

Il est suspecté d'avoir organisé, en octobre, une cyberattaque d'envergure contre le Groupe Hospitalier Grand Ouest dont il était responsable de la sécurité informatique.

franceinfo

Radio France

Publié le 23/12/2024 15:06

Temps de lecture : 2min

Un véhicule de la gendarmerie nationale. Image d'illustration. (LISA GUINIC / RADIO FRANCE)

Un ancien responsable de la sécurité informatique du Groupe Hospitalier Grand Ouest, âgé de 26 ans, a été arrêté mardi dernier pour avoir organisé en octobre une "cyberattaque d’envergure" contre ce groupe d'établissements de santé, indique la Gendarmerie nationale à franceinfo, lundi 23 décembre. Il comparaîtra devant le tribunal le 6 février prochain pour "entrave à un système de traitement automatisé de données", "suppression et extraction de données", indique le parquet de Paris.

À lire aussi

Cybersécurité : le FBI recommande d'arrêter d'envoyer des SMS, et d'utiliser à la place des messageries chiffrées

Le Groupe Hospitalier Grand Ouest (GHGO), gestionnaire de neuf établissements de santé en Bretagne et dans les Pays de la Loire, a été victime "d’une cyberattaque d’envergure, de type attaque DDOS, entre le 2 et le 4 octobre 2024", rapporte la gendarmerie. Ces attaques par déni de service consistent à saturer le trafic d'un site pour le ralentir ou qu'il tombe en panne. La manœuvre a principalement paralysé les systèmes d'information de la clinique mutualiste La Sagesse, à Rennes (Ille-et-Vilaine), "entraînant le report de plusieurs interventions chirurgicales".

Une rançon de 650 741 dollars pour débloquer le système avait été exigée. C'est cette demande de rançon qui a "mis la puce à l'oreille des enquêteurs", explique le colonel Bertrand Michel, n°2 de l’Unité nationale cyber (UNC). "Une demande de rançon pour une attaque DDOSS n'est pas quelque chose d'habituel. C'est ce qui nous a mis sur une autre piste que celle d'un groupe de cybercriminels internationaux, auxquels on fait habituellement face", poursuit-il.

"Des indices de compromission interne" mis en évidence

Le Centre de lutte contre les criminalités numériques (C3N) de l’Unité nationale cyber (UNC) et son antenne rennaise ont enquêté, "dès les premières heures de l'attaque", sur les "traces laissées par les attaquants". "L’analyse des données a rapidement mis en évidence des indices de compromission interne", détaillent-ils. Les recherches se sont donc orientées vers un ancien responsable de la sécurité des systèmes d'information du groupe d'établissements de santé.

Le suspect a envoyé des mails de menace en anglais et en russe au personnel des établissements, indique le parquet. Employé comme administrateur réseau depuis juillet 2024, il avait démissionné en octobre 2024. Le suspect, dont l'adresse IP a été identifiée par les enquêteurs, a été interpellé le 17 décembre et son domicile a été perquisitionné. Il a été déféré deux jours plus tard et comparaîtra devant le tribunal en février.