En ce moment

Piratage des hôpitaux : l’arbre qui cache la forêt

Posté le 26 février 2021
par Philippe RICHARD
dans Informatique et Numérique

Exploitées depuis des années par des bandes de cybercriminels, les attaques par ransomwares se sont multipliées ces derniers mois. Parmi les victimes, des établissements de santé. De quoi désorganiser encore plus des établissements sous tensions depuis la pandémie. Ces cyberattaques montrent également que toutes les entreprises et administrations ne sont pas correctement protégées contre ces virus.

Les établissements de santé, hôpitaux et laboratoires de santé, sont dans le viseur des cybercriminels. Récemment, les hôpitaux de Dax et de Villefranche-sur-Saône ont vu leurs réseaux informatiques paralysés après une attaque avec un ransomware.

En mars 2020, le CHU de Rouen avait été visé par une cyberattaque massive qui avait paralysé son système informatique pendant plusieurs jours. Les pirates avaient exigé une rançon d’environ 300 000€.

Au mois d’août 2019, un virus informatique avait pénétré le système informatique de l’hôpital privé Clairval, situé à Marseille. D’après la direction de l’établissement, les 120 hôpitaux du groupe Ramsay, une firme australienne qui détient la plupart des cliniques privées de France, étaient visés.

« Tout papier »

Dans tous les cas, c’est le même scénario : un virus de type ransomware (ou rançongiciel) pénètre le réseau informatique (via dans la plupart des cas une pièce jointe infectée) et chiffre tous les fichiers. En quelques minutes, l’activité est au point mort : plus de messagerie, impossible d’accéder à des dossiers ou d’utiliser des machines connectées aux réseaux informatiques… Les hôpitaux sont contraints de repasser au « tout papier ».

La situation n’est pas propre à la France. Fin 2020, le FBI avait indiqué que des pirates d’Europe de l’Est, regroupés sous le nom de code UNC1878, avaient attaqué au moins cinq hôpitaux américains et demandé des rançons supérieures à 10 millions de dollars par cible. Cette bande organisée projetait d’infecter plus de 400 hôpitaux, cliniques et autres établissements médicaux. Un business très rentable !

Après ces différentes cyberattaques touchant une activité aussi sensible que celle de la santé, Emmanuel Macron a confirmé, jeudi 18 février, un plan de 1 milliard d’euros pour renforcer la cybersécurité des systèmes sensibles.

L’intégration de solutions de sécurité plus efficaces (pour contrôler les accès aux données, détecter des tentatives d’infiltration, des comportements anormaux de programmes…) et des formations de sensibilisation de tout le personnel de santé (du standardiste au directeur de l’hôpital) permettront à terme de limiter les risques.

Mais cette multiplication des attaques confirme ce que tout le monde sait depuis des années : le réseau informatique des établissements de santé est obsolète et pas correctement géré pour assurer une résilience et renforcer la confidentialité des données de santé.

Des réseaux informatiques vieillots

« Si les hôpitaux sont dans le viseur des cybercriminels, c’est parce qu’ils combinent plusieurs faiblesses : des systèmes informatiques hétérogènes et vieillots, des logiciels pas forcément mis à jour, parfois une faible sensibilisation du personnel à des précautions en ligne. La crise sanitaire a accéléré le télétravail et les consultations à distance, plus ou moins bien sécurisées, des dossiers médicaux. Si ces pratiques ont permis d’éviter la paralysie d’un service, elles ont augmenté la surface d’attaque des systèmes d’information (SI) de ces établissements. Dans certains cas, des professionnels de santé se sont débrouillés par eux-mêmes. Ils ont utilisé des outils qu’ils connaissaient bien, mais qui ne sont pas contrôlés par leur DSI [Direction des Systèmes d’Information, NDLR] », déclare Bertrand Servary, directeur général de NetExplorer, une entreprise française spécialisée dans la gestion des fichiers dans le Cloud et certifiée « Hébergeur de Données de Santé ».

« Les cliniques privées, les centres de rééducation, les laboratoires pharmaceutiques ou encore les agences de santé sont autant de cibles pour les cybercriminels », souligne Loïc Guezo, directeur de la stratégie cybersécurité pour la société Proofpoint, et secrétaire général du Club de la sécurité de l’information français (Clusif), contacté par France 24.

Faute de moyens humains et financiers, de nombreux responsables informatiques d’hôpitaux ont dû faire avec les moyens du bord. Ces attaques témoignent aussi de l’impréparation des entreprises et des administrations aux enjeux du « tout numérique ». L’hyperconnexion implique de mettre en place une politique de sécurité adaptée aux… menaces numériques.

« Tout le monde semble découvrir que toutes les entreprises et les administrations ne sont pas correctement sécurisées. Mais, il n’y a rien d’étonnant : on a mis le chariot avant les bœufs en ne parlant aux décideurs que de transformation numérique sans insister sur la nécessité de protéger les données sensibles. Il en va pourtant de la pérennité des entreprises. Je tiens ce discours depuis des années ; sans résultat », se lamente, sous couvert d’anonymat, un expert militaire spécialisé dans la protection des données.


Pour aller plus loin