Secu
Opération BlindSpot : un hôpital, des attaques cyber, des attaquants déterminés…
Par Alain Clapaud, publié le 11 juin 2026
Un hôpital pris sous le feu d’une cyberattaque le jour de l’inauguration de son SOC (Security Operations Center) ? C’est le point de départ d’un exercice de simulation de gestion de crise cyber, au cours duquel le groupe d’attaquants va rappeler aux défenseurs que même avec les solutions de protection les plus modernes, il y a toujours des surprises. Immersion…
Le scénario de l’exercice était simple : une équipe pour assurer la défense d’un hôpital, une seconde pour tenter de lui voler des données patients et obtenir une rançon. Les deux se sont affrontées en cinq rounds de 10 minutes, avec 5 minutes de débriefing entre chaque tour. La simulation s’effectuait sur table : ni ordinateur, ni application, une page blanche et un paperboard comme seul terrain de jeu. Il n’y avait pas de limite, ni pour les attaquants qui pouvaient imaginer tous les scénarios possibles pour parvenir à leurs fins, ni pour les défenseurs qui disposaient de tous les moyens techniques les plus modernes pour détecter et stopper les attaques.
Sans prétendre à être une véritable simulation de crise, cette opération poursuit surtout des objectifs de sensibilisation des participants à toutes les facettes d’une crise cyber. L’éditeur Semperis, qui organise habituellement ce type d’exercice en marge des grands événements cyber, a ici accepté de tenir cette première édition parisienne au Campus Cyber de Paris. Elle a réuni des consultants en cybersécurité et des membres du CERT de Netsys, des consultants de Semperis et des membres des équipes cyber de la SNCF et de Daher.
Un premier round d’observation
Pour les défenseurs, le premier round a surtout permis la mise en place de leurs moyens de protection. Ici, le nouveau CISO de l’hôpital dispose d’un budget confortable pour protéger son SI : protection Active Directory de pointe, sécurité Microsoft 365, XDR, EDR, NDR, protection des comptes à privilège, d’emblée les défenseurs placent la barre très haut. Néanmoins, au début de l’exercice, le tout nouveau SOC de l’hôpital détecte une activité suspecte sur un équipement de test sanguin…
Pour les attaquants, ce premier tour est consacré à la reconnaissance et à la planification de l’attaque. De nombreux subterfuges sont tentés pour éprouver la sécurité physique de l’établissement : déclenchement d’une alerte incendie, infiltration par un faux malade pour mener une reconnaissance et laisser quelques clés USB infectées dans l’hôpital et sur le parking. En outre, les attaquants font embaucher un alternant dans le SOC de leur cible. Ils invitent même l’ancien CISO en retraite à un concours de pêche pour lui soutirer des informations, et ils projettent le kidnapping du nouveau CISO… aucune limite n’est fixée par l’arbitre.
L’attaque se met en place, les défenseurs démasquent une taupe
En phase 2, les défenseurs « bleus » peuvent affiner leurs protections, tandis que les attaquants poursuivent la préparation de leur offensive. Ces derniers multiplient les initiatives pour obtenir un accès initial : faux appels du support, phishing, et ils récupèrent finalement les identifiants de l’ancien CISO lors du concours de pêche. Mais un fait imprévu va alerter les défenseurs : le service RH de l’hôpital découvre que le nouveau prestataire IT est lié au groupe d’attaquants… Les « bleus » décident alors de bloquer son compte et tous les ports USB des ordinateurs de l’hôpital. En parallèle, un incident de sécurité sur l’équipement d’analyse sanguine provoque l’arrêt de toute l’activité du laboratoire de l’hôpital. Mais aucun mouvement latéral n’ayant encore été détecté, la cellule de crise n’est pas activée.
L’exfiltration des données devait survenir en phase 3, mais la pose d’un script Bitlocker pour chiffrer tous les postes de l’hôpital échoue. La solution de protection Active Directory a heureusement détecté cette activité suspecte, mais les attaquants disposent encore d’un atout clé : l’alternant au sein du SOC va accéder à la salle machine et tout simplement retirer les disques contenant les données patients des racks.
Le format BlindSpot, volontairement décontracté, plaît. Semperis organise ce type de simulations en marge de ses grands événements cyber tels que Infosec ou Microsoft Ignite, avec parfois jusqu’à 200 participants. L’éditeur a décidé de mener l’expérience pour la première fois en France en novembre dernier, dans les locaux du Campus Cyber.
Une intrusion physique déjoue toutes les mesures de sécurité
Dans les phases finales et malgré leurs efforts, les rouges ne parviennent pas à immobiliser le SI de l’hôpital et ce dernier dispose de sauvegardes dans le cloud. Néanmoins, les disques physiques volés n’étant pas chiffrés, les attaquants vont pouvoir accéder librement aux données. Dès lors, ils vont enchaîner les actions parasites pour perturber le fonctionnement de l’hôpital : un message posté sur le DarkNet alerte les médias sur le blocage du laboratoire d’analyse et une attaque DDoS est déclenchée contre le site web. Autant d’initiatives qui mettent la pression sur la direction au moment où les rouges envoient leur demande de rançon : 60 000 € à payer en Monero, une cryptomonnaie intraçable…
Si la position de l’ANSSI est de refuser tout paiement, les attaquants estiment que ce montant assez faible devrait inciter la direction de l’hôpital à le faire. Mais il s’agit d’une triple extorsion potentielle : si l’hôpital passe à la caisse, ils vont pouvoir menacer la direction de communiquer sur leur victoire auprès de la presse… et envoyer une nouvelle demande à 5 M€. Et pourquoi s’arrêter là ? Les attaquants ont les coordonnées de chaque patient et peuvent menacer chacun d’eux de diffuser son dossier médical.
La vertu, si l’on ose s’exprimer ainsi, d’une telle simulation est de nous rappeler à tous qu’il est plus facile de jouer en attaque en matière cyber : les rouges peuvent tout imaginer pour piéger leur cible, depuis les attaques les plus complexes aux actions sur le terrain les plus simples. Pour les bleus, la tâche est bien plus ardue, puisqu’ils doivent avoir imaginé une réponse à absolument tous les cas de figure, même les plus improbables.
Par ailleurs, on comprend bien ici qu’une réponse à incident ne consiste pas seulement à mener des actions techniques. Il faut aussi savoir orchestrer le travail des équipes cyber avec celles du juridique et de la communication. « Il faut une vraie gouvernance », insiste Matthieu Trivier, responsable avant-vente chez Semperis. « Dans ce type de simulation, nous essayons de mixer différents profils dans chaque groupe pour que tout le monde puisse bien appréhender la diversité des actions à mener simultanément. Ici, côté bleu, la première réaction était essentiellement technique et ils ont oublié qu’un hôpital opère dans un secteur régulé. Il y a des déclarations à faire auprès de la CNIL, de l’ARS car des données de santé ont fuité. »
De même, ne pas pouvoir s’appuyer sur un service de communication s’est avéré ici un lourd handicap quand les attaquants se sont servi des médias pour mettre la pression sur leur victime.
« Dans la vraie vie, les choses ne se déroulent pas comme prévu. »
Mickey Bresman, CEO de Semperis
« Avec ce type de simulations, nous voulons simplement montrer à quel point une situation peut dégénérer rapidement. Vous faites une supposition, mais ensuite, de nouvelles informations vous parviennent et tout change. Dans cet exercice, il n’y a pas une présentation PowerPoint sur laquelle les participants se précipitent et qu’ils peuvent suivre : “Si cela se produit, nous ferons ceci. Et ensuite, cela se produira.” Car la vraie vie ne fonctionne pas ainsi. Dans la réalité, une cyberattaque provoque beaucoup de chaos et beaucoup de choses ne fonctionnent pas comme prévu. Ceci vise à le montrer. Lorsque vous êtes confronté à un ransomware, les attaquants exigent un paiement, en échange duquel ils vous donneront le décrypteur. Vous devez prendre une décision : allez-vous vous adresser aux autorités ? Si vous ne le faites pas, l’un de vos employés peut divulguer l’information aux médias. Les autorités vous poursuivent également. Que faites-vous dans cette situation ? Il y a beaucoup de choses à prendre en compte. Avec ce type d’opérations, nous voulons créer un sentiment un peu plus réaliste, prendre un peu de recul. »
À LIRE AUSSI :
À LIRE AUSSI :
