Au tribunal, les laborieuses explications de l’informaticien accusé de la cyberattaque d’Hospi Grand Ouest

C’est une attaque informatique qu’il « regrette amèrement », assure son avocat, Antonin Devivier. Pourtant, ce lundi 1er décembre, au tribunal judiciaire de Paris, le mea culpa de Bastien L., costume noir à la barre, emprunte des voies bien tortueuses. Cet informaticien de 27 ans, qui vivait auparavant à Rennes, est jugé pour la cyberattaque subie, début octobre 2024, par son ancien employeur, Hospi Grand Ouest, un groupe mutualiste qui gère onze établissements de santé dans l’Ouest.

Devant les juges de la 13e chambre correctionnelle, le prévenu a ainsi d’abord minimisé les conséquences de ses actes. L’attaque en déni de service, cette façon d’empêcher l’accès à un site web en le saturant de requêtes ? « On ne pouvait juste plus aller sur Google ou Youtube », assure avec aplomb Bastien L. Les données de santé qu’on l’accuse d’avoir supprimées ? Il les aurait restaurées aussitôt, mais personne ne s’en est aperçu, répond-il en substance.

Deux ans de prison avec sursis requis

Une façon de présenter les choses peu du goût de la substitute du procureur, Audrey Gerbaud. Alors que le prévenu explique son attaque par une sorte de coup de sang, le ministère public relève qu’elle s’est étalée sur plusieurs jours. De même, après avoir assuré ne pas avoir cherché à se dissimuler, le prévenu a finalement admis à l’audience avoir utilisé jusqu’à trois réseaux privés virtuels (VPN) sur son téléphone, parfois simultanément. Des services conçus précisément pour masquer ses traces. Dans ce dossier, « on a du mal à voir autre chose qu’une pure vengeance », résume la magistrate. Et de demander une peine de deux ans de prison avec sursis et l’interdiction d’exercer dans la cybersécurité.

« Les choses lui ont échappé et il s’est brûlé les doigts », rétorque son avocat. En début d’audience, il a dépeint le portrait d’un « salarié en détresse », encore en période d’essai mais « humilié parce qu’il avait mis en lumière des failles informatiques ». Désormais, il va devoir « payer toute sa vie » pour cette cyberattaque, souligne Me Antonin Devivier, une référence aux enjeux financiers du dossier « absolument énormes ». Peut-être avec sa nouvelle entreprise de conseil, si le tribunal le permet – la défense assure qu’elle n’a rien à voir avec la sécurité informatique mais sa présentation sur le réseau social professionnel LinkedIn indique le contraire. Si le groupe Hospi Grand Ouest n’a pas encore chiffré exactement son préjudice, le chiffre de trois millions d’euros avait été précédemment évoqué.

Le jugement a été mis en délibéré au 12 janvier 2026.