Ce 29 juillet un mail suspect, non encore authentifié, a été envoyé à une trentaine de professionnels du CHU. Il menaçait le CHU d’une diffusion, sur le darkweb, de tout ou partie des données ayant fait l’objet d’une exfiltration illégitime, lors de la cyberattaque intervenue le 21 juin dernier (voir l’article).
Par la direction, les employés ont été invités à ne pas donner suite aux instructions mentionnées. Ils ont été conviés à informer immédiatement les équipes de sécurité. « En parallèle, le CHU a aussitôt prévenu les autorités compétentes afin de procéder aux investigations complémentaires », précise l’établissement dans un communiqué envoyé à notre rédaction.
À ce jour, il n’est pas possible d’identifier avec détail la nature exacte des renseignements exfiltrés. Mais le CHU a constaté un potentiel accès à des fichiers informatiques contenant des données de santé (associées ou non à une identité). La fuite concernerait les services du Centre de Soins dentaires (CSD), des salles techniques de cardiologie et des laboratoires du CHU.
Des données à caractère personnel des professionnels du CHU sont encore concernées par la fuite (numéro de sécurité sociale, bulletin de salaire) », ajoute la communication.
Une plainte a été déposée par le CHU de Rennes dès le 22 juin 2023. Une enquête est en cours, sous l’égide du parquet de Paris, spécialisé dans le traitement judiciaire des cyberattaques. Une notification a également été effectuée auprès de la Commission nationale de l’informatique et des libertés (CNIL), dès le 21 juin 2023 comme prévu par l’article 33 du règlement européen sur la protection des données (RGPD). Parallèlement, les professionnels du CHU ont été informés et accompagnés dans l’application des recommandations nationales.
Conformément aux recommandations émises par la CNIL, le CHU invite les bénéficiaires de soins et les professionnels à la plus grande vigilance face aux risques d’escroquerie ou d’hameçonnage qui pourraient survenir dans les prochaines semaines. En cas de constatation d’une utilisation frauduleuse de leurs données, il est recommandé aux patients de porter plainte rapidement. Ils sont également exhortés à en informer le CHU via l’adresse mail [email protected]. Un dispositif similaire est développé pour les professionnels. Les équipes du CHU restent pleinement mobilisées pour traiter cette cyberattaque et ses conséquences sur les personnels et patients.