Un hôpital de plus victime d’une cyberattaque. Le centre hospitalier de Villefranche-sur-Saône (Rhône) a été victime d’une attaque par ransomware lundi 15 février. Le logiciel malveillant a crypté les données du système informatique et a perturbé le fonctionnement de l’hôpital qui a été contraint de mettre en place des procédures de fonctionnement dégradées. Toutes les interventions chirurgicales programmées ont été reportées et les personnes se rendant aux urgences ont été orientées vers d’autres établissements.
Ce cauchemar, d’autres hôpitaux, l’ont déjà vécu. Une semaine auparavant, c’était l’établissement de Dax (Landes) qui était victime de cybercriminels qui avaient réussi à paralyser une grande partie de l’informatique et à couper les lignes téléphoniques. L’attaque d’ampleur du CHU de Rouen (Seine-Maritime), à la fin de l’année 2019, était annonciatrice de ce qui allait arriver. La cyberattaque avait provoqué un arrêt général des équipements informatiques, mais aussi des ascenseurs, de l’imagerie médicale, des systèmes d’analyses…Le point commun à toutes ces attaques : une demande de rançon en échange des clés de déchiffrement nécessaires pour relancer l’informatique !
Des victimes plus visibles que les autres
Le secteur de la santé est lus que jamais dans la ligne de mire des cyberpirates. Gare toutefois à un certain prisme déformant. "Si les hôpitaux sont des cibles, c’est d’abord des cibles visibles", explique Gérôme Billois. Selon cet expert en cybersécurité pour le cabinet Wavestone, la hausse des cyberattaques est générale. "Les cyberattaques frappent toutes les entreprises de toutes les tailles et de tous les secteurs. Seulement pour un hôpital, c’est difficile à cacher", souligne-t-il.
Il n’empêche. Le secteur de la santé est bel et bien dans l’œil du cyclone. L’agence nationale de la sécurité des systèmes d’information (ANSSI), appelée en dernier secours pour éteindre les incendies de cybersécurité, ne peut que constater cette évolution inquiétante. "Actuellement, l’ANSSI recense environ une tentative d’attaque par semaine sur des infrastructures comme des EHPAD, CHU, hôpitaux et cliniques ou d’autres entités en lien avec des services de santé", précise l’agence.
Une tentative d'attaque par semaine
L’éditeur français de solution de protection du courrier électronique Mailinblack fait le même constant. Ses logiciels sont capables de mesurer les courriels malveillants dans les flux de messagerie des entreprises. "Depuis le début de la pandémie, nous avons constaté un doublement de la quantité des mails malveillants entrants dans les hôpitaux", explique Thomas Kerjean, son directeur général. Selon les statistiques établies par sa société, un hôpital de taille moyenne gère 3,5 millions de mails par mois dont désormais 48 000 sont porteurs d’une charge informatique malveillante !
Pourquoi s’attaquer à des hôpitaux ? L’appât du gain facile ! Selon l’ANSSI, la plupart des attaques ciblant les hôpitaux sont réalisées à des fins lucratives. "Dans le modèle du ransomware, les cyberpirates cherchent clairement un retour sur investissement. Ils vont donc cibler les victimes qui présentent le plus de vulnérabilités et dont l’informatique est critique pour leur bon fonctionnement", explique Laurent Besset, directeur associé chez I-Tracing, une société spécialisée dans la détection des cyberattaques. A ce petit jeu, les établissements de santé apparaissent comme des cibles idéales.
Des budgets informatiques réduits
Primo, pour des questions budgétaires. Dans les hôpitaux, les investissements informatiques n’échappent pas à la restriction budgétaire. Les conséquences en termes de cybersécurité sont immédiates. "Le niveau de sécurité est inférieur en général à celui que l’on trouve dans le secteur bancaire ou de l’assurance qui ont une appétence historique plus importante pour la sécurité informatique avec des budgets à lui consacrer bien supérieurs", constate encore Laurent Besset.
Dans le domaine de la santé, rares sont les acteurs qui peuvent s’offrir les services d’un RSSI, ces fameux responsable de la sécurité des systèmes d’information capables de mettre en place une véritable stratégie en matière de défense informatique. Selon Wavestone, ces perles rares sont plutôt l’apanage des grandes entreprises. Un tel recrutement est envisagé dès lors que l’entreprise compte plus de 850 salariés ou un parc équivalent de machines.
Segundo, les acteurs de la santé disposent d’une matière première informatique qui a une forte valeur aux yeux des cybercriminels. "Les hôpitaux, les cliniques sont une cible privilégiée, car ils détiennent des données de santé confidentielles et commercialisables. La donnée de santé a une valeur à la revente", affirme Thomas Kerjean de Mailinblack
Et surtout, les hôpitaux subissent une pression plus forte que les autres entreprises en cas d’indisponibilité de leur informatique. De quoi en faire des cibles idéales pour les attaques par ransongiciel. "Dans une telle situation, les entreprises traditionnelles risquent une perte de chiffre d’affaires. Pour les hôpitaux, ce sont des vies humaines qui peuvent être en jeu", souligne Laurent Besset de la société I-Tracing. La tentation de payer la rançon peut être plus forte. Aux Etats-Unis, les hôpitaux n'ont pas hésité à céder au chantage des pirates.
Développer les gestes barrière informatiques
La bataille est-elle perdue ? Pas sûr. Conscient du danger et de la vulnérabilité du secteur, les pouvoirs publics ont réagi pour renforcer la cybersécurité des acteurs du domaine de la santé. Le ministère des Solidarités et de la santé épaulé par l’ANSSI a lancé un plan d'actions fin 2019 visant à renforcer la prise en compte du risque cyber et la sécurisation des systèmes d'information les plus critiques. "Aujourd’hui, 115 établissements de santé ont réalisé un diagnostic de leur niveau de sécurité, sur les parties les plus critiques du système d’information, via les outils proposés par l’ANSSI. Ces outils permettent notamment aux établissement de santé d’améliorer par eux-mêmes et progressivement leur niveau de sécurité", précise l’agence.
Pour les experts de la cybersécurité, des simples mesures permettraient d’améliorer nettement la situation. "La première parade, c’est de ne pas être une cible facile", conseille Gérôme Billois. Selon lui, lors des dernières cyberattaques que ses équipes ont a eu à traiter, les assaillants n’ont pas eu de difficultés pour rentrer dans le système d’information. Cela nécessite de gérer avec rigueur l’ensemble du système d’information, depuis les correctifs de sécurité jusqu’ à la réalisation fréquente des sauvegardes des données sensibles et la mise en place d'un système d’authentification renforcée. Bref, des vrais gestes barrières informatiques à adopter d’urgence pour les hôpitaux !
