Sous la capuche, un monsieur tout-le-monde avec de la frustration professionnelle. La conclusion de l’affaire de la cyberattaque contre le groupe mutualiste de santé Hospi Grand Ouest (groupe VYV) jette une lumière crue sur la réalité d’une partie de la cybermenace qui frappe les organisations françaises. Lundi 1er décembre se tenait le procès d’un informaticien soupçonné d’être le responsable des déboires d’octobre 2024 de cette entreprise de l’Ouest de la France, qui gère onze établissements de santé. Celle-ci avait subi une attaque par déni de service, puis la divulgation de mots de passe, et enfin une demande de rançon, avec des « attaquants » prétendant avoir laissé dans le système d’information de quoi nuire encore plus à la structure. Des professionnels du crime cyber ? Un effet collatéral de la « guerre hybride » menée par la Russie contre l’Europe dans le contexte de l’invasion de l’Ukraine ? Las ! Bien loin de l’image du hacker à capuche mystérieux et menaçant, le groupe de santé aura surtout été la victime d’un administrateur systèmes et réseaux de 27 ans, en période d’essai, qui se jugeait déconsidéré par la hiérarchie pour avoir pointé des failles de sécurité et à qui « les choses ont échappé », d’après son avocat. Pour un préjudice qui pourrait aller jusqu’à 3 millions d’euros, alors que Hospi Grand Ouest a mis six semaines pour remettre son système d’information sur pied. De quoi rappeler que les situations professionnelles du quotidien peuvent conduire au pire.
Loin du film d’espionnage
Devant le tribunal, lundi, le jeune homme a été confronté aux contradictions entre ses déclarations auprès des enquêteurs et la réalité des faits, comme le décrit notre confrère spécialiste de la cyber Gabriel Thierry pour Le Télégramme. Décrit par son avocat comme un employé harcelé, l’administrateur disait avoir agi sur un coup de tête, puisque ses alertes n’étaient pas prises au sérieux… mais l’attaque aurait duré trois longues journées et l’attaquant se serait dissimulé derrière plusieurs VPN pour cacher son action. Un comportement loin de l’image du « white hat », qui, par ses talents de hacking, s’efforce de protéger et de faire grandir une entreprise. L’affaire illustre sans doute autant la faiblesse des acteurs du secteur de la santé en France en matière de cybersécurité que le risque représenté par des experts IT internes, devenus hostiles à leur organisation. Un moyen aussi de rappeler que les cyberattaques ne sont pas (seulement) des affaires complexes, dignes d’un film d’espionnage. Les dégâts importants semble-t-il causés par un jeune administrateur réseau frustré en sont bien la preuve.
Des cyberattaques en décembre…
En attendant le jugement sur cette affaire, prévu pour la mi-janvier, d’autres éclairages sur la réalité variée de la cybermenace sont bien visibles. Ainsi, le même jour où le tribunal de Paris jugeait cette histoire qui pourrait être tristement banale, d’autres cyberattaques touchaient France Travail et des centaines de collectivités et d’entreprises. Cette fois-ci, pas de malveillance d’un salarié : c’est Gainsight, une plateforme d’analyse utilisée dans l’écosystème Salesforce, qui a été compromise, touchant ses utilisateurs par ricochet. Une forme de « supply chain attack » appelée à revenir régulièrement sur le devant de la scène… Même si les coupables seront dans ce cas sans doute plus difficiles à identifier et traduire en justice.
… et une bonne nouvelle
Heureusement, cette première semaine de décembre n’aura pas seulement fait la part belle aux cyberattaquants. Elle a également vu la publication de l’Observatoire SecNumCloud. Édité par la Cyber Task Force, sous la plume de Sébastien Garnault (également président du Paris Cyber Summit), ce rapport vise à mettre en lumière les efforts des entreprises et autorités pour renforcer la sécurité et la confiance dans le cloud. De quoi, selon son auteur, « reconnaître un travail discret mais vertueux et contribuer à renforcer, pas à pas, un cloud de confiance plus robuste, plus lisible et aligné avec les exigences de souveraineté ». Il ajoute : « Aujourd’hui, le marché SecNumCloud est estimé à 18 millions d’euros en France. Mais en Europe, le potentiel est de 600 M€. ». Face aux enjeux économiques et cyber en question, l’observatoire vise donc à « rendre SecNumCloud accessible » pour les organisations qui souhaiteraient s’appuyer dessus. Amené à être mis à jour tous les mois, le document présente donc un aperçu structuré des candidats engagés dans la qualification SecNumCloud et « des repères pour éclairer les complexités techniques et offrir une lecture simplifiée des démarches SecNumCloud ». Une bonne occasion de ne pas voir que le verre à moitié vide.