stock.adobe.com

Ramsay GDS : après la cyberattaque, l’heure de la reprise

Selon nos informations, c’est un rançongiciel qui a affecté l’organisme de santé. Aucune rançon n’aurait été payée. Les sauvegardes auraient été mises à contribution avec succès.

Officiellement, le groupe Ramsay Générale de Santé (GdS) ne dira rien de la nature du maliciel qui a frappé ses systèmes d’information un peu plus tôt ce mois-ci. De la même manière, il ne précisera pas l’étendue des dégâts. Selon Caroline Desaegher, porte-parole de Ramsay GdS, c’est l’Agence nationale pour la sécurité des systèmes d’information (Anssi), qui a demandé la plus grande discrétion.
Dès lors, il n’est pas non plus question pour elle d’évoquer le vecteur de compromission initiale. Seule précision concédée : il ne s’agit pas de la messagerie électronique. Un indice suffisant pour laisser à imaginer la compromission d’un service ou d’un système exposé en ligne dans des conditions sur lesquelles il n’aurait peut-être pas véritablement dû l’être…

Pour autant, selon nos informations, c’est bien d’un rançongiciel qu’il s’agit, et aucune rançon n’aurait été versée. Aujourd’hui, assure Caroline Desaegher, il est désormais certain « qu’aucune donnée personnelle n’a été dérobée ». Et seulement une dizaine de jours après le début de l’incident, « l’essentiel de nos systèmes informatiques était relancé ». La porte-parole du groupe a indiqué que « notre priorité est maintenant de veiller à assurer une stabilité de fonctionnement de ces outils ».

Un tel délai de reprise laisse imaginer la présence de sauvegarde de qualité et, surtout, un périmètre véritablement affecté beaucoup plus restreint, que les mesures prises immédiatement au début de l’incident n’auraient pu le laisser imaginer.

Pour mémoire, le groupe Ramsay GdS compte plus d’une centaine d’établissements et plus de 20 000 collaborateurs, dont une majorité de personnels soignants. L’an dernier, son RSSI nous expliquait comment le groupe avait engagé une vaste consolidation de ses annuaires, et le déploiement d’un outil d’authentification unique (SSO).

Le système d’information de Capio France, racheté en février, n’a pas été concerné par cet incident de sécurité informatique au sujet duquel le ministère de la Santé reste étrangement silencieux : son « portail d’accompagnement cybersécurité des structures de santé » n’en fait pas la moindre mention à cette date. Pour autant, les publications s’y poursuivent dans la torpeur estivale : il ne semble donc pas affecté par des congés de personnels. En décembre dernier, l’Asip Santé faisait état de 319 incidents déclarés sur ce portail en un an de son existence.

Pour approfondir sur Menaces, Ransomwares, DDoS