Le 17 décembre 2024, un ancien Responsable de la sécurité des systèmes d'information (RSSI) du Groupe hospitalier Grand Ouest (GHGO), suspecté d’avoir orchestré une cyberattaque d’envergure contre son ancien employeur, a été interpellé par les gendarmes.
Le suspect a été déféré au tribunal judiciaire de Paris le 19 décembre 2024, à l’issue de sa garde à vue. Il sera jugé le 6 février 2025 pour « entrave à un système de traitement automatisé de données » et « suppression et extraction de données ».
Le GHGO, gestionnaire de neuf établissements en Bretagne et dans les Pays de la Loire, a été victime de cette cyberattaque, de type attaque DDoS, entre le 2 et le 4 octobre 2024, perturbant gravement la continuité des soins.

Encadré Déni de service ou DDOS

Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service, explique le site Cybermalveillance.gouv.fr. Ce type d’attaque peut être d’une grande gravité pour l’organisation qui en est victime. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement, ou difficilement, ce qui peut entraîner des pertes directes de revenus pour les sites marchands et des pertes de productivité. L’attaque est souvent visible publiquement, voire médiatiquement, et laisse à penser que l’attaquant aurait pu prendre le contrôle du serveur, donc potentiellement accéder à toutes ses données, y compris les plus sensibles (données personnelles, bancaires, commerciales…), ce qui porte directement atteinte à l’image et donc la crédibilité du propriétaire du site auprès de ses utilisateurs, clients, usagers, partenaires, actionnaires.

Une demande de rançon de 650 741 dollars

Principal site touché, la clinique mutualiste La Sagesse de Rennes voit ainsi ses systèmes d'information paralysés au cours de la journée du 4 octobre 2024, entraînant le report de plusieurs interventions chirurgicales et contraignant le groupe à fonctionner en mode dégradé.
Les cybercriminels exigent alors une rançon de 650 741 dollars pour débloquer les systèmes.
Le Centre de lutte contre les criminalités numériques (C3N) de l’Unité nationale cyber (UNC) est immédiatement chargé de l'enquête. Dès les premières heures de l'attaque, ses enquêteurs sont mobilisés pour analyser les traces laissées par les attaquants.
Les investigations techniques menées en collaboration avec les cybergendarmes de la Section de recherches (S.R.) de Rennes vont ainsi permettre de retracer avec précision l’origine de l’attaque. L’analyse des données met rapidement en évidence des indices de compromission interne et oriente les recherches vers un ancien Responsable de la sécurité des systèmes d'information (RSSI) du groupe. Des éléments techniques clés, dont l’adresse IP du suspect, l’identifient en effet comme étant à l’origine de l’attaque.
Le 17 décembre 2024, le suspect est interpellé à son domicile lors d’une opération judiciaire conduite par les gendarmes. Plusieurs équipements informatiques sont saisis pour analyse.
La mobilisation immédiate des autorités judiciaires et des cybergendarmes, dont l’expertise technique et la coordination exemplaire entre le C3N de l’UNC et son antenne rennaise ont été un facteur clé de réussite, a permis de résoudre très rapidement cette cyberattaque, minimisant ainsi les impacts sur la prise en charge des patients.