En août 2022, le Centre hospitalier sud-francilien de Corbeil-Essonnes était victime d'une attaque aux lourdes conséquences : systèmes informatiques à l'arrêt, empêchant l'enregistrement de nouveaux patients aux urgences, et vol de données personnelles de nombreux patients de l'hôpital avec demande de rançon. Face au refus de l'hôpital de payer, les attaquants avaient mis en ligne 11 gigaoctets de données personnelles et médicales de patients, employés et partenaires. Parmi ces données : des comptes-rendus d'examens, coloscopies, accouchements ou encore examens gynécologiques.

Lire aussiCyberattaques contre les collectivités territoriales : le pire est-il à venir ?

Et l'incident est loin d'être isolé, puisque les cyberattaques sur les hôpitaux se sont multipliées ces dernières années. En 2021, 730 cyberattaques sur des hôpitaux avaient été recensées par l'Agence du Numérique en Santé (ANS). Selon Adrien Merveille, expert en cybersécurité chez CheckPoint « Les attaques visibles, déclarées par les organismes ou publiées par les attaquants, sont définitivement en augmentation. ». Les observations sur un panel de clients de l'entreprise en France pour preuve : sur les six derniers mois, CheckPoint estime à 400 en moyenne le nombre d'attaques par mois et par hôpitaux et organismes de santé en France. Dax, Villefranche, Versailles, Corbeil-Essonnes... Les exemples font légion.

Un an presque après l'attaque du CHSF de Corbeil, si une prise de conscience collective semble actée chez les acteurs du secteur de la santé, la pénurie de main d'œuvre et le manque de sensibilisation fragilisent toujours l'ambition d'une lutte généralisée contre la cybermenace. Et ce malgré un large budget débloqué.

Des cibles vulnérables

Les hôpitaux sont d'évidence des structures vulnérables et privilégiées pour les hackers : si les attaques par rançongiciels sont les plus fréquentes, les hôpitaux sont particulièrement exposés au vol de données personnelles. Aussi, font-ils souvent face à une extorsion qui s'opère à deux niveaux : avec une demande de rançon d'une part (bien qu'officiellement, aucun hôpital public n'ait jamais payé), et avec un vol de données qui seront ensuite exploitées. La vente de dossiers médicaux est en effet un business très lucratif pour les attaquants, le prix d'un dossier étant estimé à 350 dollars pièce environ. Ces données sont dans la plupart des cas réutilisées pour le phishing, « hameçonnage ».

Les intrusions physiques (avec introduction d'une clé USB dans un ordinateur), bien que jamais recensées officiellement, font également partie des risques pour les espaces ouverts comme les hôpitaux : la surveillance est minime dans les locaux, la sécurité du système d'information souvent obsolète... De plus, l'utilisation d'objets interconnectés médicaux, caméras et autres systèmes de surveillance, introduit davantage de vulnérabilités, puisque l'ensemble des appareils sont souvent branchés sur les mêmes prises réseaux.

Un large budget débloqué

Le problème est pourtant pris au sérieux, en témoignent les aides débloquées pour les différents centres hospitaliers : ces deux dernières années, le gouvernement a investi 25 millions d'euros pour faire accompagner par l'Anssi, l'Agence nationale de la sécurité des systèmes d'information, les «150 plus grands hôpitaux » (sur plus de 3.000 établissements, dont 1.300 publics) qualifiés d'importance vitale, dans le cadre d'un plan de sécurisation. Après l'attaque sur le CHSF de Corbeil, Jean-Noël Barrot, Ministre délégué chargé de la Transition numérique et des Télécommunications, avait annoncé l'injection de 20 millions d'euros supplémentaires pour « doubler » le nombre de bénéficiaires de cet accompagnement.

Dans le cadre du plan France Relance, le gouvernement avait également investi 136 millions d'euros sous la forme d'appels à projets, permettant aux centres hospitaliers d'acheter de nouveaux outils de cybersécurité. Si les moyens sont là, la pénurie de main d'œuvre et le manque de sensibilisation dans le milieu hospitalier reste le cœur du problème.

Une pénurie de compétences et un manque de sensibilisation

Dans un post LinkedIn maintenant supprimé, un responsable de la sécurité de systèmes d'information (RSSI) partageait sa détresse dans la gestion des cyberattaques : « La sécurité dans les hôpitaux est lamentable [...]. Je suis tout seul en tant que RSSI pour dix établissements, avec trois personnes en sécurité opérationnelle mais qui ne font pas que cela ». La pénurie de compétences en matière de cybersécurité dans les centres hospitaliers reste un problème de fond, peu importe les montants injectés. En cause le manque de formation, de connaissances, et un budget serré pour les hôpitaux, qui tendent à prioriser leurs effectifs de personnels soignants par rapport à ceux de la sécurité.

Lire aussiAu Campus Cyber, 160 experts entraînés au pire des scénarios d'une cyberattaque

De plus, si une prise de conscience tend à se développer, la cybersécurité n'est toujours pas une question centrale pour de nombreux centres hospitaliers. Aussi, pour Pierre-Antoine Failly Crawford, responsable de l'équipe de réponse à incident chez Varonis, celle-ci doit urgemment trouver sa place « au cœur de la volonté stratégique des centres hospitaliers » avec l'accord d'une plus forte responsabilité aux RSSI par exemple, « souvent à peine consultés lorsqu'il s'agit de l'achat d'outils cyber et de logiciels ». Sur le même plan, la question de la sensibilisation du personnel soignant apparaît essentielle : les experts en cybersécurité déplorent le manque de « culture cyber » et d'attention aux gestes simples pour se protéger en ligne : la reconnaissance de pièces jointes et mails malveillants, le verrouillage des ordinateurs...