La cyber sécurité est l’affaire de tous.

CHU de Brest
25/04/2022
cybersecurite.jpg

Cet adage n’est pas simplement un slogan. C’est une réalité, une nécessité.

L’Agence européenne de cybersécurité (ENISA) a choisi le mois d’octobre pour être le mois européen de la cybersécurité. Dans ce cadre, le CHU a réalisé une campagne de phishing auprès de ses 7 000 utilisateurs.

Pourquoi une campagne de phishing ?

90%. C’est la part des cyberattaques induites par une action humaine de la part des utilisateurs qui ne sont pas assez sensibilisés.

Face à ce constat, le CHU a mis en place des outils de cybersécurité qui visent à réduire fortement la menace.
Néanmoins, les outils n’arrêtent pas l’ensemble des mails frauduleux. Nous devons adapter nos pratiques.

Pour information, les systèmes du CHU traitent 8 millions de mails par an et arrêtent 650 000 spams, soit plus de 1 par minute.
Néanmoins, nous remarquons que certains messages frauduleux passent encore les mailles du filet. C’est pourquoi l’attention des utilisateurs est primordiale dans un contexte où plusieurs CH ont fait l’objet de cyberattaques ces derniers mois.

Les utilisateurs doivent être le maillon fort de la cybersécurité du CHU. Nous devons modifier certains de nos comportements vis-à-vis des outils numériques pour assurer la confiance dans le traitement des données médicales. Cette confiance vaut pour les patients qui viennent au CHU, mais également pour les professionnels de santé qui utilisent ces logiciels au quotidien.

 

Quels résultats pour la campagne de phishing ?

Le 5 octobre 2021, la campagne a été lancée. Un mail a été envoyé à chaque agent du CHU en se faisant passer pour ADMIN CHU BREST (covid19@zharepoint.net) et vous demandant de cliquer sur le lien pour accéder au « rapport COVID 19 pour le CHU de Brest ». Si vous aviez cliqué sur le lien, alors vous étiez redirigé vers une fausse page Microsoft Office en vous demandant votre identifiant et votre mot de passe. En réalité, si vous êtes amené à donner ces informations, alors elles sont envoyées aux attaquants pour essayer de s’identifier sur nos systèmes d’information avec vos identifiants. C’est l’usurpation d’identité numérique.

Lors de cette campagne, au bout de 2 jours, 15% des 7 000 utilisateurs avaient cliqué sur le lien. C’est beaucoup, mais cela reste une bonne statistique vis-à-vis des autres établissements de santé.

Plus précisément, 145 professionnels ont donné leurs identifiants et mots de passe sur la plateforme usurpant la charte de Microsoft.

C’est ce domaine que nous devons améliorer. Pour cela, nous comptons sur l’attention et la vigilance de chaque agent du CHU dans cette période où les données d’identification des professionnelles de santé sont malheureusement très recherchées par les personnes malveillantes.