Cyberattaque à l’Hôpital privé du Confluent de Nantes: l'Apicem répond

L'Apicem, éditeur de la solution de messagerie sécurisée de santé (MSSanté) Apicrypt*, "n'a été averti de la campagne de mails frauduleux adressés aux salariés du groupe privé du Confluent et notamment à destination des utilisateurs d'Apicrypt*, qu'à l'issue de la troisième attaque le 24 juin", a expliqué Alexandre Caron, responsable sécurité des systèmes d’information (RSSI) de la société nordiste.

Pour rappel, l’Hôpital privé du Confluent de Nantes a été touché par plusieurs attaques informatiques entre le 14 mai et le 9 juillet sous la forme d'une campagne de mails frauduleux adressés aux salariés du groupe et notamment à destination des utilisateurs d'Apicrypt* (cf dépêche TecHopital).

La première campagne d'envoi massif de mails frauduleux (ou phishing) s’est produite le 14 mai. Elle a été suivie de deux autres attaques similaires les 18 et 24 juin et d'une attaque de moindre envergure le 9 juillet, dont fait état un rapport d'incident mis en ligne par Apicem, l'éditeur de la messagerie MSSanté Apicrypt*.

"Nous avons décelé a posteriori la campagne de spams du 14 mai dont les utilisateurs d'Apicrypt* figurant dans le carnet d'adresses de l'hôpital étaient destinataires. Nous ne bloquons pas systématiquement les flux mais nos techniciens sont intervenus et nous avons alors rappelé au groupe du Confluent que le spamming était contraire à la charte d'utilisation de la messagerie. Ils se sont alors engagés à la respecter mais nous ne savions pas qu'il s'agissait d'une attaque", a expliqué Alexandre Caron à APMnews (site d'information du groupe APM International dont fait partie TecHopital).

Lorsque des événements similaires se produisent le 18 juin, l'Apicem se montre "plus ferme" sur le respect des engagements mais ne sait "toujours pas" qu'il s'agit alors d'une campagne de phishing, a raconté le RSSI.

Le 24 juin, alors que l'établissement nantais subit une troisième campagne d'envois de mails frauduleux, le RSSI de l'Apicem est alors informé du caractère de l'attaque "et des mesures sont immédiatement mises en place avec la direction des systèmes d'information (DSI) du Confluent", a-t-il souligné.

"Les utilisateurs ont été informés immédiatement de la cyberattaque et nous avons mis en œuvre un dispositif de surveillance des flux du Groupe Confluent depuis le 25 juin jusqu’au 5 juillet. Ce dispositif visait à stocker les messages du Groupe Confluent temporairement et à les analyser avant d’autoriser leur traitement et leur expédition aux utilisateurs d’Apicrypt*."

Cette action de contrôle, plusieurs heures de vérification manuelle par jour, était réalisée par un technicien de l'Apicem et "représentait un coût quotidien important que la société ne pouvait maintenir sur le long terme", a expliqué le RSSI.

Une quatrième attaque et l'activation d'une "cellule de crise"

Le 9 juillet, une dernière attaque survient, forçant ainsi l'Apicem "à remettre en place ses mesures de surveillance des flux" et "la coordination étroite avec la DSI du Confluent [est] relancée".

Au lendemain de cette dernière campagne de mails frauduleux, l'hôpital privé du Confluent choisit ainsi de faire intervenir son prestataire informatique, "qui a pris contact avec l’Apicem" afin de l’informer de la décision du Confluent de couper les accès de messagerie externes du groupe de cliniques privé nantais. "Cette mesure permet de stopper immédiatement l’attaque et toute tentative ultérieure", a souligné l'éditeur.

Le 12 juillet, "la cellule de crise de l’Apicem" prend la décision d’agréer le plan d’action présenté par le tiers du Groupe Confluent et de lever la mesure de filtrage des flux. Cette cellule de crise est close le 18 juillet.

Depuis lors, "même si aucune autre attaque n'a été signalée, nous maintenons une coordination étroite avec la DSI du Confluent jusqu’à la fin de l’exécution du plan d’action et un point de situation est d'ailleurs prévu au début du mois de septembre", a conclu Alexandre Caron.

Contacté par APMnews, le Groupe Confluent n'a pas souhaité réagir.