©DR
« Il y a eu 27 attaques majeures d’hôpitaux en 2020, il y en a une par semaine depuis 2021 », indiquait en février dernier le secrétaire d’État à la transition numérique Cédric O, lors d’une session de questions au gouvernement suite à l’attaque ayant ciblé le Centre Hospitalier de Dax, dans les Landes, dans la nuit du 8 au 9 février. Quelques jours plus tôt, l’hôpital Nord-Ouest de Villefranche-sur-Saône, dans le Rhône, était victime du rançongiciel RIUK, l’un des plus actifs à ce jour. Il avait dû rebâtir son système informatique de A à Z. En mars, c’était au tour du Centre Hospitalier Général d’Oloron-Sainte-Marie, dans les Pyrénées-Atlantiques. Le retour à la normale de son réseau interne n’est pas espéré avant septembre. Début avril, les pirates s’en prennent au Centre Hospitalier Comminges Pyrénées de Saint-Gaudens, en Haute-Garonne. Amputé de son service informatique, il a vu ses 800 soignants troquer ordinateurs et souris contre les bons vieux papier et crayon. Moins de trois semaines plus tard, nouvelle cyberattaque massive sur la Fondation Santé des Étudiants de France (FSEF), qui gère 13 cliniques de soins non urgents. Et le décompte peut se poursuivre. En janvier déjà, l’Institut Pasteur avait fait les frais d’une campagne malveillante, via des attaques ciblant ses partenaires pour tenter de récupérer des informations sur le vaccin contre le Covid-19.
Une hausse « en totale cohérence avec la tendance globale »
S’il est probablement favorisé par la crise sanitaire, eu égard au rôle stratégique joué par les hôpitaux pour juguler l’épidémie, ce boom des cyberattaques ciblant le milieu médical ne date pas d’aujourd’hui. Les établissements de santé sont dans la ligne de mire des pirates informatiques depuis quelques années maintenant, et la tendance va crescendo. Le 22 mars 2020, au plus fort de la première vague, même la vénérable Assistance Publique - Hôpitaux de Paris avait été prise pour cible, alors que l’Île-de-France était la région la plus touchée par l’épidémie de Covid-19. Les conséquences, heureusement limitées, auraient pu être dramatiques.
D’après l’Observatoire 2020 des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la santé, dont les résultats ont été dévoilés fin avril*, 250 établissements ont déclaré 369 incidents en 2020. Ce qui est déjà beaucoup en soi, même si « le taux de déclaration reste […] toujours faible au regard du nombre de structures concernées par l’obligation de déclaration », souligne l’Observatoire, en précisant toutefois que les incidents d’origine malveillante sont de plus en plus notifiés, « surtout lorsqu’il y a un impact avéré ou potentiel sur l’organisation des soins ». Toujours est-il que la hausse des actes de cybermalveillance dans le secteur de la santé s’est confirmée en 2020, « en totale cohérence avec la tendance globale ». La part des incidents d’origine malveillante déclarés auprès du CERT Santé, la cellule nationale d’appui dans le traitement des incidents de cybersécurité, est ainsi « en constante augmentation depuis trois ans : 41 % en 2018, 43 % en 2019, pour atteindre 60 % en 2020 », indique le rapport. Les attaques par maliciels, ou logiciels malveillants, ont quant à elles représenté 25 % des attaques déclarées en 2020. Plus de la moitié était des rançongiciels, qui constituent la menace la plus importante.
D’après l’Observatoire 2020 des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la santé, dont les résultats ont été dévoilés fin avril*, 250 établissements ont déclaré 369 incidents en 2020. Ce qui est déjà beaucoup en soi, même si « le taux de déclaration reste […] toujours faible au regard du nombre de structures concernées par l’obligation de déclaration », souligne l’Observatoire, en précisant toutefois que les incidents d’origine malveillante sont de plus en plus notifiés, « surtout lorsqu’il y a un impact avéré ou potentiel sur l’organisation des soins ». Toujours est-il que la hausse des actes de cybermalveillance dans le secteur de la santé s’est confirmée en 2020, « en totale cohérence avec la tendance globale ». La part des incidents d’origine malveillante déclarés auprès du CERT Santé, la cellule nationale d’appui dans le traitement des incidents de cybersécurité, est ainsi « en constante augmentation depuis trois ans : 41 % en 2018, 43 % en 2019, pour atteindre 60 % en 2020 », indique le rapport. Les attaques par maliciels, ou logiciels malveillants, ont quant à elles représenté 25 % des attaques déclarées en 2020. Plus de la moitié était des rançongiciels, qui constituent la menace la plus importante.
Des conséquences potentiellement délétères dans le monde réel
Deux modi operandi sont en effet particulièrement privilégiés par les cyberpirates : le phishing, ou hameçonnage, qui consiste à usurper l’identité d’une personne ou d’une entreprise pour duper l’utilisateur et entrer dans le système dont il dépend. Et, beaucoup plus nocifs, les ransomwares, ou rançongiciels, capables de paralyser un système à vitesse grand V : ils chiffrent les données pour les rendre inaccessibles aux utilisateurs, qui devront dès lors payer une rançon pour obtenir la clé de déchiffrement. Pour les pirates, ces rançongiciels sont donc vus comme le moyen de s’assurer rapidement une petite fortune… d’autant que les établissements de santé représentent des cibles potentiellement très lucratives. Un hôpital dont le système informatique devient tout d’un coup inopérant devra en effet fonctionner en mode (très) dégradé, ce qui n’est assurément pas optimal pour prendre en charge les patients dans les meilleures conditions possibles. La pression est dès lors immense.
Comme l’a rappelé l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), véritable tête de pont de la politique de cybersécurité en France, dans son rapport publié début février, « une attaque par rançongiciel peut avoir des conséquences pour la vie des patients dans le monde réel, en mettant en danger [leur] vie ». Nombreuses seraient donc les victimes tentées de verser la rançon demandée pour pouvoir assurer la continuité des soins en toute sécurité, même si, en France, les hôpitaux comme toutes les administrations, « ont pour consigne stricte de ne jamais payer », avait rappelé l’Élysée le 17 février dernier. Il ne leur reste bien souvent plus qu’à reconstruire leur système informatique de zéro, ce qui peut prendre au bas mot plusieurs semaines – voire quelques mois lorsque l’attaque a été particulièrement massive, comme dans le cas du CH Oloron-Sainte-Marie.
* À consulter sur https://esante.gouv.fr/actualites/lobservatoire-des-signalements-dincidents-de-securite-des-systemes-dinformation-pour-le-secteur-sante-et-medico-social-est-en-ligne.
Comme l’a rappelé l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), véritable tête de pont de la politique de cybersécurité en France, dans son rapport publié début février, « une attaque par rançongiciel peut avoir des conséquences pour la vie des patients dans le monde réel, en mettant en danger [leur] vie ». Nombreuses seraient donc les victimes tentées de verser la rançon demandée pour pouvoir assurer la continuité des soins en toute sécurité, même si, en France, les hôpitaux comme toutes les administrations, « ont pour consigne stricte de ne jamais payer », avait rappelé l’Élysée le 17 février dernier. Il ne leur reste bien souvent plus qu’à reconstruire leur système informatique de zéro, ce qui peut prendre au bas mot plusieurs semaines – voire quelques mois lorsque l’attaque a été particulièrement massive, comme dans le cas du CH Oloron-Sainte-Marie.
* À consulter sur https://esante.gouv.fr/actualites/lobservatoire-des-signalements-dincidents-de-securite-des-systemes-dinformation-pour-le-secteur-sante-et-medico-social-est-en-ligne.
Article publié dans le numéro de mai d'Hospitalia à consulter ici
Envoyer à un ami
Version imprimable
Partager