24e Panocrim -17- Retex sur la cyberattaque du CHU de Brest

CLUSIF
8 Feb 202416:31

Summary

TLDRDans cette présentation, un responsable de la cybersécurité d'un hôpital universitaire revient sur l'attaque informatique subie le 9 mars. Face à cette crise, l'hôpital a mis en place une réponse rapide et collaborative, impliquant des équipes techniques et médicales pour sécuriser les systèmes critiques et gérer les conséquences. L'incident a révélé des vulnérabilités dans l'accès à distance et a permis de renforcer la cybersécurité de l'hôpital, améliorant ainsi la résilience face à de futures attaques. L'expérience a montré l'importance de l'organisation, de la communication et de la formation dans la gestion de crises informatiques.

Takeaways

  • 😀 L'hôpital universitaire de Brest a été confronté à une cyberattaque importante le 9 mars, impliquant des attaques multiples et des méthodes d'intrusion sophistiquées.
  • 😀 Les systèmes d'information hétérogènes du CHU rendent la gestion de la sécurité difficile, avec environ 200 applications métier, 700 serveurs et 160 bases de données.
  • 😀 En raison de la diversité des systèmes, le CHU a un grand nombre de vulnérabilités et est régulièrement la cible de tentatives de phishing.
  • 😀 Le personnel du CHU est fréquemment exposé à des attaques par phishing, avec des tentatives de phishing toutes les 50 secondes en moyenne et des emails malveillants toutes les minutes.
  • 😀 Le 9 mars, une alerte a été donnée concernant une adresse IP publique liée à des connexions frauduleuses, ce qui a conduit à la mise en place d'une cellule de crise.
  • 😀 L'incident a révélé qu'un ordinateur personnel d'un membre du personnel a été compromis, permettant aux attaquants d'accéder aux systèmes du CHU via une interface RDP non sécurisée.
  • 😀 L'attaque a été menée par un groupe utilisant plusieurs outils et vulnérabilités, notamment des vulnérabilités dans les systèmes Windows pour obtenir un accès privilégié.
  • 😀 Bien que l'attaque ait échoué à compromettre l'annuaire Active Directory du CHU, des charges utiles actives ont été installées sur les serveurs RDS, entraînant une interruption significative.
  • 😀 La réponse à l'incident a été bien coordonnée, impliquant à la fois une cellule de crise institutionnelle et des unités opérationnelles dédiées, avec des mises à jour régulières pour assurer la reprise des opérations.
  • 😀 En fin de compte, la cyberattaque a conduit à des améliorations significatives en matière de cybersécurité au CHU, notamment un durcissement des systèmes, une meilleure gestion des accès et des procédures de remise en ligne plus sécurisées.

Q & A

  • Quelle est la situation décrite dans le script concernant les attaques informatiques à Finistère ?

    -Le script décrit une série d'attaques informatiques survenues à Finistère, en particulier au sein du Centre Hospitalier Universitaire (CHU) de Brest, qui ont exposé la vulnérabilité des systèmes informatiques dans un environnement hospitalier complexe et très numérisé.

  • Quel est le rôle des différents acteurs dans la gestion de la crise au CHU de Brest ?

    -Les différents acteurs, y compris les directeurs des systèmes d'information, la cellule de crise, et le personnel médical, ont travaillé ensemble pour évaluer et gérer l'incident. Les médecins ont apporté des retours sur l'impact des cyberattaques sur les services critiques et ont pris des décisions opérationnelles, tandis que les équipes IT ont géré la réponse technique.

  • Comment la crise a-t-elle été gérée dès l'apparition des alertes ?

    -Dès l'apparition des alertes, une cellule de crise a été activée, l'accès à Internet a été coupé pour limiter l'impact de l'attaque, et des mesures préventives ont été mises en place pour protéger les services critiques tels que le SAMU, les urgences, la biologie et l'imagerie médicale.

  • Quel était l'impact de la coupure d'Internet sur les opérations de l'hôpital ?

    -La coupure d'Internet a eu des conséquences imprévues, comme la géolocalisation des ambulances pour le SAMU, mais des mesures de contournement ont été mises en place pour maintenir la fonctionnalité du SAMU, par exemple en fournissant des clés 4G pour les services de soins.

  • Pourquoi la question de la confiance dans les systèmes a-t-elle été cruciale pendant l'incident ?

    -La confiance dans les systèmes était cruciale car des partenaires extérieurs, comme les instituts de recherche pharmaceutique, s'inquiétaient de la sécurité et de l'intégrité des données de recherche. Il était nécessaire de prouver que le système hospitalier était sécurisé et que les données n'avaient pas été compromises.

  • Quelles mesures de sécurité ont été prises après l'attaque ?

    -Après l'attaque, des mesures de durcissement des systèmes ont été mises en place, comme la réouverture progressive des systèmes Internet uniquement après vérification de leur sécurité, l'implémentation de l'authentification à double facteur, et la mise à jour des proxies et des contrôles d'accès.

  • Quelles sont les principales difficultés rencontrées lors de l'investigation de l'attaque ?

    -Une difficulté majeure a été l'analyse de la station de travail personnelle d'un membre du personnel, dont l'ordinateur était utilisé par l'attaquant pour accéder aux systèmes. Les questions juridiques concernant l'accès à l'ordinateur et la légitimité des accès ont également compliqué l'enquête.

  • Comment l'attaque a-t-elle été attribuée à un groupe spécifique ?

    -L'attaque a été attribuée au groupe fin 12, connu pour avoir déployé le malware Black Cat, grâce à l'analyse des outils utilisés par les attaquants et des similitudes avec des cas précédents d'attaques similaires.

  • Quels outils ont été utilisés par les attaquants pour réaliser l'attaque ?

    -Les attaquants ont utilisé des outils comme Pinncastle et NetScan pour effectuer des analyses réseau, ainsi que des vulnérabilités comme BlueKeep, Zerologon, et Rubeus pour tenter d'élever leurs privilèges, sans toutefois réussir à compromettre complètement les systèmes.

  • Quels enseignements clés peuvent être tirés de cette cyberattaque ?

    -L'attaque a mis en lumière l'importance d'une réaction rapide, d'une bonne collaboration entre les équipes de sécurité et les équipes médicales, ainsi que de la formation continue pour gérer les incidents. Elle a également renforcé la sécurité informatique au sein de l'hôpital, notamment avec l'application stricte des mises à jour de sécurité et l'implémentation de systèmes d'authentification renforcée.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

L'administrateur RESEAU et l'administrateur SYSTEME : deux métiers DIFFERENTS pour une même mission

Willow la PUCE QUANTIQUE de GOOGLE peut-elle prouver les UNIVERS PARALLÈLES ? DNDE 373

Chris Domas: The 1s and 0s behind cyber warfare

FB Live "Présentation orale de 10 minutes : quoi raconter et comment structurer ses propos ?"

12 - La réponse contractuelle : les chartes Informatiques - France CHARRUYER

THE SOCIAL NETWORK - Official Trailer [2010] (HD)

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CyberattaqueGestion criseSécurité informatiqueBrestHôpitalIncident cyberAttaque cibléeRécupération donnéesRéseaux hospitaliersSystème d'informationFormation équipe
Do you need a summary in English?