Machinalement et même plusieurs fois par jour, Sandrine [son prénom a été modifié] regarde son compte en banque sur son téléphone. « Pour voir si on ne m'a rien piqué », explique cette soignante. Il y a un mois, son RIB et celui de 800 de ses collègues ont été piratés puis diffusés sur le Net après la cyberattaque de grande ampleur qu'a subie l'hôpital d'Armentières (Nord). « Le RIB seul, il n'y a pas de risque, mais s'ils ont la carte d'identité en plus, là ça peut être très dangereux », explique-t-elle, anxieuse. « À date, il n'y a pas d'usurpation d'identité des membres du personnel », veut rassurer Joris Lannoy, le directeur de la communication de l'hôpital, visiblement fatigué après des semaines de combat contre cet ennemi invisible. « À date » rappelle étrangement le « à ce stade » largement utilisé pendant la crise Covid par le gouvernement.

Lire aussiCyberattaques contre des ministères : le parquet de Paris ouvre une enquête

Autre temps, autre virus. Il est 1h18 du matin, le 11février, lorsqu'une page s'échappe toute seule de l'ensemble des imprimantes de l'hôpital. Les rares employés présents en cette nuit de week-end gardent leur sang-froid, ils comprennent vite la gravité de la situation et réveillent la direction. Ce qui sort de l'imprimante, c'est un message - en anglais - d'un cyberattaquant : « Vos données ont été volées et sont cryptées. » Via des liens, la direction du centre hospitalier est ensuite invitée à contacter le pirate pour éviter que les données ne soient publiées.

Tableau de chasse de Blockout

Elle ne le fera pas. « C'est interdit, on ne doit pas entrer en contact avec eux, explique Thomas Aubin, le responsable des systèmes de sécurité informatique de l'établissement, sorti de son lit cette nuit-là. Ils demandent une rançon, mais on ne paye pas. » À combien la rançon s'élevait-elle? À plusieurs centaines de milliers d'euros, des millions peut-être. Deux semaines plus tard, l'hôpital d'Armentières apparaît sur un tableau de chasse de Blockout, le pirate informatique qui a revendiqué l'attaque. Un compte à rebours s'affiche sur la page de son blog. Il ne reste plus que quelques jours à l'hôpital pour payer la rançon, sinon les centaines de milliers de données volées seront accessibles sur le darknet. L'hôpital ne cède pas. Blockout ne bluffait pas. Des données sont lâchées à la fin du mois de février. « Nous sommes toujours en train d'analyser ce qui a été publié, détaille Joris Lannoy. À date, les données de 300000 patients sont concernées: ce dont on est sûr, c'est qu'il y a leurs noms et la date de leur venue à l'hôpital. » La Tribune Dimanche a pu consulter certaines de ces données volées. Les adresses postales y figurent également et la question des numéros de Sécurité sociale reste encore en suspens. « Vu notre réactivité, on a évité que des milliers d'autres soient volées », se défend Joris Lannoy.

Ce que dit l'escroc

Quelques jours après l'attaque, le journaliste spécialisé en cybersécurité Damien Bancal, créateur du blog Zataz, parvient à entrer en contact avec Blockout. Dans des échanges assez hallucinants dont nous avons eu connaissance, l'escroc justifie le ciblage de cet hôpital : « J'ai vu que cette clinique avait au moins deux serveurs ESXi, je me suis dit qu'ils devaient donc avoir de l'argent pour payer la rançon. [...] Nous sommes désolés d'avoir dû publier les données de cette clinique, mais ils n'ont même pas voulu nous contacter. À mon avis, elle aurait pu éviter les tragédies [...] si elle avait pris soin de sa cybersécurité. La vie est compliquée, j'espère que vous comprenez. »

Damien Bancal lui a ensuite demandé son pays d'origine. Pas de réponse. Depuis plusieurs années, des dizaines d'hôpitaux ont été ciblés par la cybercriminalité à des degrés plus ou moins graves. « L'une des raisons pour lesquelles ils le sont, c'est le prix attractif de la donnée de santé », explique Vincent Trély, président de l'Association pour la sécurité des systèmes d'information de santé. « On peut faire plein de choses avec cette data médicale: vendre les numéros de Sécurité sociale, les diplômes de médecin, les photos de carte Vitale. Les escrocs analysent les données et font de la vente à la découpe, c'est très lucratif. » Autre exemple qui fait froid dans le dos: « Le cybercriminel peut aussi faire chanter personnellement les patients en leur demandant de l'argent contre la diffusion de leur cancer, de leurs problèmes psychiatriques ou de leur séropositivité; ils n'ont pas de limites, et dans de nombreux cas les gens paient. »

Tout l'hôpital est revenu au papier et au crayon

Vulnérabilité

L'autre raison, c'est la vulnérabilité des établissements de santé. Élodie Chaudron, directrice de programme à l'Agence du numérique en santé, parle de « dette technologique » pour illustrer le retard pris par les hôpitaux au niveau de la cybersécurité. À Armentières, les syndicats et des représentants du personnel avaient convoqué la direction au mois de janvier pour se plaindre de l'état des outils informatiques. Avant l'attaque, certains ordinateurs de l'hôpital étaient encore sous Windows 98. « La vulnérabilité est une chose, mais on ne peut pas faire de lien entre le matériel et la cyberattaque », balaie Thomas Aubin.

Il y a quelques jours, 400 ordinateurs reconditionnés sont arrivés du centre hospitalier universitaire de Lille, qui appartient au même groupement hospitalier, un investissement important pour l'hôpital d'Armentières. « Entre les patients qu'on ne peut plus recevoir et les investissements qu'on a dû faire en urgence, cette cyberattaque nous coûte près de 1 million d'euros par semaine », avoue Joris Lannoy, qui a dû faire appel à des agents d'une entreprise privée, Wavestone, pour refonder le système d'information, les agents publics étant débordés.

 La task force Care

Face à ce problème, l'État a pourtant décidé de mettre 750 millions d'euros sur la table, notamment après la cyber-attaque massive subie par le centre hospitalier de Versailles en décembre 2022, en créant la task force Care (Cybersécurité accélération et résilience des établissements), codirigée par Élodie Chaudron. « On ne peut pas éviter d'être attaqués, on ne va pas aussi vite que les cyber-attaquants, donc l'idée c'est de contenir les attaques et de réagir vite », dit celle-ci. Pour cela, Care a créé de la documentation à consulter en cas d'attaques, sensibilise les directions d'hôpital, organise des exercices de crise pour préparer les agents, tente de rendre attractifs les métiers de la cybersécurité dans les hôpitaux. Une initiative bienvenue car « tout le monde stresse », assure Vincent Trély. « Il y a 225 hôpitaux qui sont dans les dispositifs JO, poursuit-il. Ils ont tous reçu des enveloppes pour se muscler avant le combat de cet été. »

Cet été, les cyberattaquants pourraient avoir des motivations économiques mais aussi politiques. « Le groupe Lockbit, l'un des groupes les plus puissants, est russe et a toujours revendiqué son attachement au pouvoir russe », observe Damien Bancal. Il y a quelques jours, les services de police cyber d'une dizaine de pays, dont la France, avaient annoncé avoir démantelé Lockbit et mis plusieurs dirigeants en prison. Une semaine plus tard, le groupe revendiquait de nouvelles attaques. Dès le 11 février, tout l'hôpital d'Armentières est revenu au papier et au crayon. La direction a fermé les urgences pendant plus de quarante-huit heures. Les services informatiques reviennent petit à petit, mais cela pourra prendre plusieurs mois pour que tout revienne à la normale. Sandrine, malgré la fatigue, n'a pas perdu le sens de l'humour: « On revient vingt ans en arrière, à l'ère du papier. On avait presque oublié que les médecins avaient une écriture indéchiffrable. »