Rançongiciel Conti contre HSE Irlande — arrêt national du système de santé (2021)
Les opérateurs de Conti ont piégé un utilisateur du HSE pour qu'il télécharge une pièce jointe Excel malveillante ; le rançongiciel qui en a résulté a contraint le Health Service Executive à arrêter tous les systèmes informatiques de santé en Irlande et a exfiltré 700 Go de données, dont des informations médicales sur la vaccination COVID-19. Le coût de la remise en état a dépassé 100 millions d'euros.
- Victime
- Service de santé exécutif (HSE) d'Irlande
- Perte
- $110.0M
Le 14 mai 2021, le Health Service Executive (HSE) — le service de santé publique national d'Irlande — a été frappé par le rançongiciel Conti. Pour stopper la propagation, le HSE a arrêté l'ensemble de son parc informatique, à l'échelle nationale. Les hôpitaux sont revenus au papier. Les rendez-vous ont été annulés dans tout le pays. Il s'agit de la plus grande attaque par rançongiciel connue contre un système de santé publique dans le monde.
Ce qui s'est passé
L'intrusion a commencé le 18 mars 2021 par une attaque d'hameçonnage classique : une pièce jointe Microsoft Excel envoyée à un utilisateur, ouverte et exécutée. Conti, opéré par le groupe Wizard Spider lié à la Russie, a établi un accès discret et est resté dans le réseau pendant deux mois avant de déclencher sa charge utile de rançongiciel le 14 mai.
La réponse du HSE a été de déconnecter l'intégralité de son parc informatique. Face à l'alternative — laisser le rançongiciel se propager aux systèmes prenant en charge le traitement du cancer, les urgences et les soins de maternité — le HSE a choisi la catastrophe opérationnelle de tout couper. Les personnels hospitaliers sont revenus au papier et au stylo pour les ordonnances, les demandes de laboratoire et le suivi des patients. La maternité nationale a averti d'une « perturbation importante ». Les campagnes de vaccination COVID-19 se sont poursuivies, mais avec des systèmes gravement dégradés.
Conti a exfiltré environ 700 Go de données, dont des informations de santé publique relatives à des milliers de personnes ayant reçu un vaccin contre la COVID-19. Le groupe a exigé 19 999 000 $ de rançon. Le HSE a refusé de payer. Quelques jours plus tard, Conti — face à l'indignation mondiale provoquée par l'attaque d'un système de santé en pleine pandémie — a publié un outil de déchiffrement gratuit. Mais le groupe a conservé les données volées et a menacé de les vendre ou de les publier.
La Haute Cour d'Irlande a émis des injonctions bloquant la publication des dossiers volés. La remise en état s'est étalée sur plusieurs mois et a été estimée à au moins 100 millions d'euros pour la transformation informatique, le soutien partenaires et les travaux de prestataires — l'impact global (capacité de soins perdue, refonte informatique) étant nettement plus élevé.
Impact
- Tous les systèmes informatiques du HSE arrêtés à l'échelle nationale ; prestation de soins dégradée pendant des semaines.
- ~700 Go de données exfiltrées, dont des PHI sur la vaccination COVID-19.
- Le HSE a refusé de payer la rançon de 19 999 000 $.
- Conti a publié un déchiffreur gratuit sous la pression publique mais a conservé les données volées.
- Coût de remise en état d'au moins 100 millions d'euros ; estimations ultérieures plus élevées.
Pourquoi cela compte
L'attaque du HSE est la référence canonique pour comprendre pourquoi les services de santé nationaux sont particulièrement exposés aux rançongiciels : budgets informatiques minces, architectures fragmentées, segmentation faible, dépendances opérationnelles vitales et forte exposition médiatique qui crée un levier pour l'attaquant. Le bilan post-incident irlandais réalisé par PWC — publié ouvertement — a été étudié par tous les grands services de santé occidentaux depuis.
Impact financier
Coûts déclarés en USD
- Remédiation$110.0M
Chronologie
Un utilisateur d'un site du HSE télécharge une pièce jointe Microsoft Excel piégée provenant d'un courriel d'hameçonnage ; les opérateurs de Conti établissent un accès initial.
Conti déclenche le rançongiciel à travers les réseaux du HSE. Le HSE arrête tous les systèmes informatiques de santé en Irlande. Les hôpitaux reviennent au papier-crayon ; les rendez-vous sont annulés à l'échelle du pays.
Conti publie un déchiffreur gratuit pour le HSE — apparemment après que la publicité d'une attaque contre un service de santé national est devenue trop dommageable — mais menace de vendre ou publier les 700 Go de données exfiltrées sauf paiement de 19,999 M$.
Le HSE refuse de payer ; la Haute Cour d'Irlande émet des injonctions bloquant la publication des données volées.
Le directeur général du HSE estime publiquement que les coûts de remise en état pourraient dépasser 100 millions d'euros ; le coût global (capacité perdue, refonte informatique) sera plus tard projeté à un montant bien supérieur.
Le bilan post-incident indépendant de PWC identifie comme facteurs aggravants un sous-financement systémique de la cybersécurité du HSE, l'absence de MFA sur les comptes critiques et une segmentation faible.
Sources
- en.wikipedia.orghttps://en.wikipedia.org/wiki/Health_Service_Executive_ransomware_attack
- krebsonsecurity.comhttps://krebsonsecurity.com/2021/12/inside-irelands-public-healthcare-ransomware-scare/
- cpomagazine.comhttps://www.cpomagazine.com/cyber-security/irish-healthcare-system-requires-more-than-100-million-to-recover-from-the-conti-ransomware-attack/
- hhs.govhttps://www.hhs.gov/sites/default/files/lessons-learned-hse-attack.pdf
- paubox.comhttps://www.paubox.com/blog/conti-ransomware-attack-irelands-healthcare-system-cost-100m