Retour au tribunal pour Bastien L., poursuivi pour être derrière la cyberattaque qui avait visé son ancien employeur, Hospi Grand Ouest. Ce lundi 1er décembre, après deux renvois, cet informaticien rennais de 27 ans doit, en effet, être jugé, à Paris, dans cette affaire. Sous réserve que la juridiction retienne le dossier. Selon nos informations, son avocat, Antonin Devivier, qui n’a pas souhaité faire de commentaires auprès du Télégramme, devrait demander un supplément d’information. Ces investigations devraient permettre d’évaluer si, à l’époque des faits, le discernement du prévenu avait été altéré ou aboli à cause d’un « harcèlement professionnel », qu’Hospi Grand Ouest conteste.
Frustration et manque de reconnaissance professionnelle
En octobre 2024, ce groupe de santé, qui gère onze établissements de santé dans l’Ouest, dont six en Bretagne (dont les cliniques mutualistes de Bretagne occidentale à Quimper ou de la Porte de l’Orient à Lorient, l’Hôpital privé des Côtes-d’Armor à Plérin…), avait d’abord été ciblé par une attaque informatique en déni de service, cette façon de bloquer l’accès à un site internet en le saturant de requêtes. Puis, outre la divulgation de plusieurs milliers de mots de passe, une demande de rançon d’environ 650 000 dollars avait ensuite été reçue.
Mais la thèse d’un piratage mené par des menaçants hackers russes – les attaquants prétendaient, par exemple, avoir placé une « bombe dormante » dans l’informatique – avait fait long feu. En garde à vue, à la mi-décembre 2024, un ancien employé, Bastien L., avait finalement avoué être derrière l’intrusion. Il justifiait ce piratage par de la frustration et un manque de reconnaissance professionnelle. Le jeune homme, en période d’essai au moment des faits, indiquera avoir alerté plusieurs fois, en vain, ses supérieurs sur la présence de failles informatiques.
Cyber-pompier pyromane
Dans nos colonnes, en décembre 2024, il assurait également ne pas avoir cherché à dissimuler ses traces. Mais l’enquête des gendarmes laisse entrevoir un autre scénario. Un courrier électronique suggère ainsi que le prévenu cherchait à devenir le « cyber-pompier » de cette attaque informatique, qu’il est soupçonné d’avoir manigancé. Dans ce mail, envoyé en pleine crise à l’un des directeurs d’Hospi Grand Ouest, l’administrateur systèmes et réseaux – une fonction en dehors du périmètre de la sécurité informatique -, expliquait, en substance, avoir une solide expérience dans la cybersécurité et pouvoir aider à la résolution de l’attaque.
L’un de ses proches, entendu par les enquêteurs, avait, lui, eu vent d’une autre version encore plus romanesque. Après avoir identifié des failles dans l’informatique de son employeur, l’ordinateur de Bastien L. aurait été détourné par des cybercriminels pour mener la campagne malveillante, avait-il compris.
Quoi qu’il en soit, l’histoire pourrait coûter très cher, aujourd’hui, au prévenu. L’évaluation du préjudice de la partie civile, pas encore connue, devrait être considérable. Après la cyberattaque, le groupement d’intérêt économique basé à Nantes, qui avait réalisé, en 2024, un chiffre d’affaires de 460 millions d’euros, avait mis six semaines pour reconstruire une infrastructure sécurisée.