Cyberattaque : la communication de crise du CH de Cannes au stéthoscope

Depuis le 16 avril, et au 3 mai à 14h, la cyberattaque menée contre le centre hospitalier Simone Veil à Cannes a généré plus de 70 articles de presse, un score impressionnant.

Certes, l’impact perceptible de la plupart des cyberattaques affectant le secteur de la santé n’y est pas pour rien, ni d’ailleurs l’émotion qu’elles suscitent quasi-systématiquement. Mais la communication de crise de l’établissement n’est pas non plus étrangère à cette couverture médiatique. Certains commentaires adressés à la rédaction en privé font d’ailleurs ressortir un accueil globalement positif, malgré quelques réserves. 

C’est Var-Matin qui, le premier, rapporte ce qui, le 16 avril en début d’après-midi, n’est encore qualifié que « d’incident technique » suffisamment sérieux toutefois pour justifier l’activation d’une « cellule de crise ». Certes, l’information semble avoir initialement filtré via des patients. Mais le centre hospitalier ne s’est pas muré dans le mutisme et a répondu aux sollicitations de nos confrères. 

Il ne faudra pas attendre plus de quelques heures pour que l’établissement commence à communiquer directement et ouvertement : dans un billet publié le 16 avril à 18h30 sur LinkedIn, il reconnaît explicitement être touché par une cyberattaque. Le centre hospitalier fait également le point sur les mesures prises, dans les grandes lignes, et fournit des conseils à l’intention de ses usagers.

Surtout, l’établissement semble bien contrôler le narratif : pour l’essentiel, et à part quelques recours au terme « cyberattaque » avant que le centre hospitalier ne l’emploie lui-même, sa communication est pleinement reprise. 

Le 17 avril, en fin de journée, France 3 reprend ainsi les propos d’Yves Servant, directeur de l’hôpital, selon lesquels il n’y a « pas eu de demande de rançon ni de vol de données identifiés à ce stade ». Quelques plus tôt, un message à la même teneur était publié sur LinkedIn. 

Ces publications ont continué, avec un nouveau point le 24 avril au matin, puis le 30, dans la foulée de la publication d'une revendication sur le site vitrine de la franchise mafieuse LockBit 3.0, non réfutée, et enfin le 2 mai, avec un constat : « les données publiées dans la soirée du 1er mai […] appartiennent » au centre hospitalier. 

Mais au fil des jours, la mécanique apparemment bien huilée a montré certaines limites. Tout d’abord, le message relatif à un éventuel vol de données a été mal interprété. Chez BFM, le 17 avril, un intertitre était affirmatif : « pas de vol de données ni de demande de rançon ». 

L’histoire l’a montré : dire à cette date qu’aucun vol de données n’avait encore été identifié « à ce stade » était à tout le moins trompeur. En toute vraisemblance, le 17 avril, l’hôpital savait non seulement qu’il avait été attaqué avec le rançongiciel de la franchise LockBit 3.0, mais également que la franchise était impliquée et pas l’un des multiples usurpateurs utilisant son builder rendu public en septembre 2022, employé notamment précédemment contre le centre hospitalier d’Armentières ou encore celui de Versailles. 

Dès lors, il aurait été plus approprié de prévenir que, compte tenu des acteurs malveillants vraisemblablement impliqués dans l’attaque et de leurs pratiques habituelles connues, un vol de données était à craindre, même s’il restait à confirmer. 

Il n’est pas non plus à exclure qu’il aurait été encore plus pertinent de préciser qu’à ce stade, il n’était pas encore possible de déterminer si des données avaient été volées et, le cas échéant, lesquelles et dans quelle quantité : il n’est pas rare que les victimes de cyberattaque ne disposent pas des traces d’activité nécessaires à l’établir avant que ne surviennent une éventuelle divulgation. 

Il ne serait pas surprenant que cela vaille pour le centre hospitalier de Cannes. Son message du 2 mai le suggère en indiquant que « la qualification des données exfiltrées se poursuit et un retour dans les prochains jours, circonstancié et personnalisé sera réalisé auprès des personnes et institutions concernées ».

Ce n’est pas le seul message trompeur. Celui du 30 avril portait confusion entre revendication et demande de rançon : « ce jour, l’établissement a pris connaissance d’une demande de rançon du groupe de hackers Lockbit3.0 ». A moins que les équipes impliquées dans la gestion de la crise n’ait, à l’occasion de la publication de la revendication, décidé de prendre langue avec les cybercriminels, cette affirmation est en fait largement erronée.

Car avec LockBit 3.0 et ses affidés, la demande de rançon n’est formulée que dans l’espace de négociation – en interface Web, accessible via Tor – à laquelle il est possible d’accéder en utilisant des données d’authentification fournies dans la mal-nommée note de rançon. Cette dernière est déposée – et le cas écheant imprimée – lors du déclenchement du chiffrement par le rançongicel. Mais avec la franchise LockBit 3.0, elle ne contient pas de demande pécuniaire – au contraire de ce que font nombre d’usurpateurs utilisant le builder évoqué plus haut. 

Dès lors, l'absence de connaissance de la demande de rançon ne vaut absence de ladite demande.