Hôpitaux : la France traverse une véritable tempête cyber

Le couperet n'a pas tardé à tomber. Après avoir exigé une rançon de 10 millions de dollars à l'hôpital de Corbeil-Essonnes qu'ils venaient de hacker, des cybercriminels ont décidé de diffuser des données administratives et personnelles. Quelques semaines plus tard, ce fut au tour de l'hôpital de Versailles d'être frappé par une cyberattaque. Ces événements mettent en lumière l'intensification des attaques cyber contre les établissements hospitaliers français, la fragilité de ces derniers face à ce type de menace mais aussi le manque d'acculturation à la cybersécurité des personnels soignants et des usagers.

Un cas de plus dans la longue liste des cyberattaques

Le 3 décembre, l'hôpital André-Mignot de Versailles a été frappé par une cyberattaque. Une partie des ordinateurs a été complètement bloquée. Cet hôpital regroupe les consultations et tous les services d'hospitalisation de court séjour et ambulatoire avec 700 lits et 3.000 membres du personnel. Il est aussi un centre administratif, logistique et technique. Face à cette cyberattaque, la direction a coupé son système informatique. L'accueil a par la suite été limité, notamment aux urgences. Une cellule de crise a été ouverte avec l'Agence régionale de santé (ARS). L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a également été contacté pour gérer cette crise.

En septembre, le groupe de hackers russe LockBit 3.0, qui a mené une cyberattaque contre le Centre hospitalier sud-francilien de Corbeil-Essonnes (CHSF), a commencé à divulguer 11 Go de contenu sensible face au refus de l'hôpital de payer la rançon. Ces données concernent des patients, du personnel, et des partenaires. Certaines données, comme des comptes rendus d'examens, coloscopie, accouchement, examens gynécologiques, figurent parmi les données divulguées.

L'hôpital paye le prix fort d'une accélération de la numérisation alors même que son écosystème informatique est peu sécurisé. Ces nouvelles attaques viennent gonfler des chiffres alarmants : 730 attaques en 2021 [1] selon l'Agence du Numérique en Santé (ANS) dont celle de Villefranche-sur-Saône (Rhône) avec 3.000 ordinateurs à l'arrêt, ou celle de Dax (Landes) avec la perte des données patients et tout un système informatique refondu pour 2,4 millions d'euros.

Hôpitaux : des cibles vulnérables

Les attaques cyber, dont sont victimes les hôpitaux, ne datent pas d'aujourd'hui et l'attaque du CHSF est loin, malheureusement, d'être un incident isolé, en France comme à l'étranger. Le plan de relance a même intégré un dispositif de lutte contre les cyberattaques pour aider les hôpitaux à faire face à ces menaces. Mais rien n'y a fait.

Une récente étude menée par la société américaine BreachQuest, analyse les attaques cyber menées contre des établissements de santé. Qu'est-ce qui ressort de cette étude ? D'abord, que les rançongiciels sont un moyen classique d'attaque. Ensuite, que les fichiers piratés sont revendus à prix d'or. En fait, les données en santé sont les données les plus lucratives pour les cybercriminels. Par exemple, le coût d'un dossier médical peut atteindre 350 dollars sur le darkweb, soit 50 fois plus qu'un dossier bancaire [2]. L'autre fait intéressant relève du budget réservé à la cybersécurité qui oscille entre 4 et 7% seulement du budget total réservé aux technologies de l'information.

Or, cette situation est d'autant plus préoccupante que les nouveaux équipements, la télémédecine, les systèmes et services de soins de santé interconnectés mais aussi l'internet des objets (IoT) prennent de plus en plus de place dans de très nombreux équipements (pacemaker, pompes à insuline, etc.) et génèrent d'énormes quantités de données qui sont autant de cibles pour les hackers. Également, l'acte médical est dorénavant connecté aux différents outils utilisés par le corps médical pour le transfert de données, accroissant de fait la vulnérabilité des hôpitaux.

Enfin, et ce n'est pas le moindre des dangers, ces cyberattaques peuvent bloquer les systèmes, conduisant à la paralysie totale de l'hôpital qui est, rappelons-le, en forte situation de dépendance vis-à-vis du système d'information et des IoT.

France : le déficit de protection cyber

Outre l'année 2020, l'année 2021 a également été marquée par de nombreuses cyberattaques. Selon les chiffres de l'ANSSI, chaque semaine, un incident de ce type a eu lieu dans un établissement de santé français. Le phénomène est donc d'une très grande ampleur.

Complexes, les infrastructures des hôpitaux n'en sont que plus fragiles. Cela facilite l'entrée aux pirates qui dès lors diffusent des virus dans les systèmes. Au sein des hôpitaux, mais cela est également vrai dans un grand nombre de PME en France, lutter contre les cyber-menaces demande un budget pour l'achat de logiciels de protection, de matériel, mais aussi pour les moyens humains comme les équipes informatiques ou les prestataires, pour mener des actions d'acculturations, des formations indispensables ou des plans de prévention. Dans ce contexte, les usagers et les personnels soignants sont insuffisamment acculturés à la cybersécurité, surtout lorsque certains établissements de santé gèrent leur cybersécurité de manière autonome et non homogène.

Enfin, de nombreux hôpitaux n'ont pas de chef de la sécurité informatique, poste devenu clé, voire incontournable.

Les dispositifs de défense actuels

Dans ce contexte en tension, il faut bien avouer que le dispositif de défense est particulièrement morcelé avec de nombreux services de l'État spécialisés sur la question de la cybersécurité. Citons par exemple l'organisme Cybermalveillance.gouv.fr, lancé en 2017 par l'ANSSI, qui est une plate-forme nationale d'assistance qui accompagne les victimes, ou encore le Commandement de la Gendarmerie dans le cyberespace (ComCyberGend), formé en 2021, qui lutte contre la criminalité et regroupe toutes les composantes dédiées au numérique de la gendarmerie [3].

À un niveau plus global, l'ANSSI, depuis 2013, pilote la stratégie de défense et de sécurité des systèmes d'information de la France et vise au renforcement de la cybersécurité des infrastructures nationales stratégiques. En 2020, l'ANSSI a donné l'appellation Opérateurs de services essentiels (OSE) à 100 hôpitaux et 13 hôpitaux ont reçu l'appellation Opérateurs d'importance vitale (OIV).

Enfin, le Campus cyber de la Défense est opérationnel depuis mars 2022. Il rassemble les acteurs privés et publics de la cybersécurité (services de l'État, grands groupes, jeunes entreprises et entreprises de service du numérique). La mission de ce campus est de fédérer les acteurs français de la cybersécurité et de créer des synergies grâce à la réalisation de projets communs.

La stratégie cyber française et européenne

Le 18 avril 2021, le président de la République a présenté la nouvelle stratégie cyber de la France. La stratégie de cybersécurité pour les établissements de santé et médico-sociaux s'est renforcée avec une enveloppe de 350 millions d'euros [4]. De plus, 25 millions d'euros ont été alloués à des audits de cyber-sécurisation des établissements de santé. La sensibilisation à la cybersécurité a été intégrée dans tous les cursus de formation des acteurs en santé pour développer les pratiques d'« hygiène numérique ».

D'autre part, dans le cadre du plan France Relance, l'ANSSI a bénéficié d'une enveloppe de 136 millions d'euros pour renforcer la cybersécurité de l'État et des territoires pour la période 2021-2022.

Au niveau européen, l'Agence européenne pour la cybersécurité (ENISA) a publié un guide de cybersécurité pour les hôpitaux européens qui fournit des recommandations et des bonnes pratiques. Ce guide rejoint ainsi la feuille de route du numérique en santé de l'Agence du numérique en santé (ANS) et la Délégation du numérique en santé (DNS). L'objectif est la mise en place d'une gouvernance entre les 3.000 établissements de santé afin de standardiser les usages du numérique et les process de cybersécurité.

Renforcer la résilience cyber

La prise en charge du risque cyber se compose principalement de quatre grands axes :

·       Se préparer afin de se prévenir des attaques ou dans limiter les impacts : sensibilisation et formation des personnels, identification des vulnérabilités majeures, et conception d'un plan de continuité tant au niveau stratégique qu'au niveau opérationnel ;

·       Protéger les biens ciblés ;

·       Détecter en temps réel et réagir rapidement ;

·       Assurer la continuité des activités que ce soit pendant la période de crise ou pour favoriser un retour à la normale le plus transparent possible.

-------------------------------------------------------------

[1] Une hausse de 70% par rapport à 2020.

[2] https://www.ibm.com/downloads/cas/PJDB7AB8

[3] 7.000 cyberenquêteurs avec l'objectif de passer à 10.000, répartis dans onze antennes en région et trois centres principaux.

[4] Cyberattaques : l'urgence de renforcer la sécurité informatique des 135 GHT (reseau-hopital-ght.fr)