Trois agences régionales de santé ont été victimes d'une cyberattaque. Des données d'identité de patients ont été dérobées, mais pas d'informations médicales. L'attaque informatique nourrit le risque de campagnes d'hameçonnage ciblées.
Les cybercriminels ont encore frappé dans la santé publique française. Cette fois-ci, ce sont les ARS (Agence régionale de santé) de Normandie, des Hauts-de-France et des Pays de la Loire qui ont été touchées, avec des milliers de données personnelles volatilisées depuis des comptes de professionnels piratés. Si aucun dossier médical n'a été compromis selon les autorités, l'incident remet au goût du jour la vulnérabilité préoccupante des systèmes régionaux face aux attaques sophistiquées.
Des comptes professionnels détournés qui ouvrent la voie aux cybercriminels
Avec les Hauts-de-France, la Normandie et les Pays de la Loire, ce sont trois régions qui ont été touchées par une même technique d'intrusion, comme l'explique Damien Bancal (Zataz). Une dizaine de comptes de professionnels de santé ont servi de sésame aux attaquants. Une fois les identifiants compromis, l'accès aux systèmes gérés par les groupements régionaux d'appui au développement de la e-santé (GRADeS) était grand ouvert.
Parmi les services infiltrés, Viatrajectoire fait figure de cible de choix. Cette plateforme, conçue pour orienter les patients vers des places en Ehpad, centralise une mine d'informations personnelles. Un accès détourné permet non seulement de consulter les bases de données, mais aussi de pratiquer du scraping massif pour aspirer automatiquement les informations disponibles.
La stratégie des pirates simple et efficace. Ils veulent éviter les infrastructures centrales, mieux protégées, pour cibler les maillons régionaux plus vulnérables. Il suffit d'un utilisateur qui répond à un faux courrier électronique, qui clique sur un voler d'informations malveillant, pour que tout l'édifice s'effondre. Une logique implacable qui fonctionne encore et toujours.
Des données personnelles transformées en arme de phishing
Parmi les données volées par les cybercriminels, on retrouve des noms, prénoms, âges, mais aussi des coordonnées personnelles et numéros de Sécurité sociale dans certains cas. Si les dossiers médicaux restent intacts selon l'État, ces données d'identité sont, on le sait, un terreau fertile pour les pirates. Car combinées entre elles, elles nourrissent des campagnes de fraude ultra-ciblées et crédibles.
L'agence régionale de santé des Hauts-de-France tire la sonnette d'alarme sur le risque majeur de campagnes de phishing à venir. Avec ces informations en poche, les hackers peuvent se faire passer pour des professionnels de santé ou l'administration. On peut très bien imaginer un SMS ou un e-mail de l'Assurance maladie ou de l'ARS pour essayer de piéger les personnes victimes de cette cyberattaque.
D'ailleurs, l'ARS des Hauts-de-France insiste sur le risque d'hameçonnage. Avec ces données personnelles, les cybercriminels peuvent se faire passer pour des professionnels de santé ou l'administration avec une crédibilité redoutable. La délégation du numérique en santé (DNS) a confirmé que les comptes usurpés ont été rapidement désactivés, mais cette réactivité ne supprime pas la vulnérabilité structurelle du système.
