Une clinique frappée par un ransomware récupère en quelques heures grâce à un solide plan de réponse aux incidents

Maffi Clinics, une chaîne de cliniques de chirurgie esthétique située aux États-Unis, a informé ses patients d’un incident lié à un ransomware qui a brièvement affecté ses systèmes. Contrairement à la plupart des cas impliquant des ransomwares, cependant, celui-ci n’a pas laissé de cicatrice, illustrant la puissance des protocoles de sécurité.

Selon la notification d’infraction, Maffi a rencontré une “activité inhabituelle” sur l’un de ses serveurs en septembre dernier. La chaîne a immédiatement mis en place son plan d’intervention en cas d’incident et arrêté ses systèmes pour éliminer le risque de propagation de logiciels malveillants. L’intuition des administrateurs s’avère alors juste : la clinique vient d’être infectée par un ransomware.

«Nous avons immédiatement mis en place nos protocoles de violation de la sécurité, qui impliquent l’arrêt de tous nos ordinateurs et serveurs», a déclaré le cabinet. «Quelques heures après la découverte de l’activité suspecte, un cabinet de conseil en informatique indépendant était sur place aux cliniques Maffi et a déterminé qu’une source non identifiée avait obtenu un accès distant à notre serveur et installé un logiciel de ransomware.»

Au bout d’environ cinq heures, l’incident était maîtrisé et toutes les données restaurées. En d’autres termes, la clinique a refusé de verser la rançon aux pirates et s’en est tirée indemne. La clinique a néanmoins envoyé un courrier électronique à tous les patients dont les informations avaient été potentiellement compromises lors de l’attaque, par prudence. En vertu de la loi HIPAA (Health Insurance Portability and Accountability Act), Maffi a rempli son obligation légale de reconnaître l’infraction et en a informé le département américain de la Santé et des Services sociaux (HHS).

Le même avis révèle que Maffi a depuis mis en place et évalué en permanence des mesures de protection supplémentaires afin de prévenir tout incident similaire. Toutefois, la clinique conseille aux patients de surveiller également leur compte bancaire pour détecter tout signe de vol d’identité, par précaution.
«Si vous détectez une activité suspecte sur l’un de vos comptes, vous devez immédiatement informer l’institution financière ou la société par laquelle le compte est géré», ajoute l’avis de violation. «Vous devez également signaler sans délai toute activité frauduleuse ou tout soupçon d’incident de vol d’identité aux autorités compétentes.»