Hospices Civils de Lyon– Compromission du SI suite à l’exfiltration d’un compte utilisateur
Les Hospices Civils de Lyon (HCL) ont été victimes en décembre 2023 d’une compromission de leur SI par un attaquant ayant utilisé des identifiants valides d’un compte d’un utilisateur. Accompagnés par le CERT santé, les HCL ont réussi à neutraliser l’attaquant et à empêcher le déploiement d’outils malveillants sur leur SI.
Au cours de l'investigation, les équipes conjointes des HCL et du CERT Santé ont découvert que les identifiants dont disposait l’attaquant avaient été obtenus suite à l’infection d’un poste personnel d’un utilisateur du SI. L’attaquant a tenté d’utiliser des outils de contrôle à distance pour installer des outils malveillants sur le SI des HCL. Ces tentatives ont été détectées et bloquées par l'EDR, mais également par la mise en place de mesures de confinement et de filtrage : désactivation des comptes compromis et procédure de renouvellement de leurs identifiants, tri des flux par géoblocage et mise en liste noire d'IP malveillantes. Ainsi, aucun impact sur la prise en charge des patients n’a été constaté durant cette attaque.