Pourquoi les hôpitaux sont des proies faciles pour les cybercriminels ?

Article Article

Les cyberattaques comme celle dont a été victime cette semaine l'hôpital de Corbeil-Essonnes, en banlieue parisienne, replongent les établissements dans l'ère pré-informatique et peuvent engendrer de fortes pertes même sans payer la rançon.

Pourquoi les hôpitaux sont des proies faciles pour les cybercriminels ?

 © IStock 

De quel type d'attaque l'hôpital de Corbeil a-t-il été la cible ?

Le Centre hospitalier Sud Francilien (CHSF) a été victime d'une attaque via un logiciel rançonneur. Ces attaques, de plus en plus complexes, connaissent une croissance exponentielle à l'échelle mondiale.

Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers des entreprises cibles, réussissant à paralyser tout ou partie de leur activité. Les pirates demandent ensuite une rançon pour déchiffrer les fichiers.

Les acteurs de la cybercriminalité recherchent des cibles ayant un impératif opérationnel, comme les systèmes de santé. Mais en France, les hôpitaux publics ne peuvent pas payer de rançon du fait de leur statut.

D'autres attaques visent à récupérer des données nominatives pour les monnayer sur le darkweb. "Je vois assez peu l'intérêt de voler des données de patients français", note cependant Cyrille Politi, conseiller en numérique à la Fédération hospitalière de France (FHF), qui rappelle que les dossiers des hôpitaux publics ne comportent ni information bancaire ni mot de passe.

Comment s'en prémunir ?

"Tous les établissements de santé se dotent maintenant d'un responsable de sécurité des systèmes d'information, dont le métier est de faire de la cybersécurité", détaille Cyrille Politi, qui rappelle qu'"on ne peut aujourd'hui pas négliger le sujet" et que cela passe par des investissements pour construire des architectures informatiques plus performantes et plus sécurisées.

Pour lutter contre ce phénomène en expansion, l'Etat avait annoncé consacrer à la cybersécurité des établissements de santé une enveloppe de 25 millions d'euros dans le cadre des 136 millions consacrés à la cybersécurité des acteurs publics pour 2021 et 2022. Parallèlement, 135 hôpitaux ont été désignés "opérateurs de services essentiels", ce qui leur impose de respecter des règles de cybersécurité plus exigeantes que les institutions ordinaires.

Aujourd’hui, le ministre de la Santé, François Braun, et le ministre délégué chargé de la Transition numérique, Jean-Noël Barrot, en déplacement à Corbeilles-Essonne, ont annoncé le déblocage de 20 millions d'euros supplémentaires pour la protection des établissements de santé.

Mais la lutte contre la cybercriminalité dépasse amplement le cadre des établissements de santé. Le "coût mondial de la cybercriminalité est évalué à 6 milliards de dollars par an", et les enquêtes sont "toujours très longues, peuvent durer plusieurs mois, voire plusieurs années" et nécessiter une importante coopération internationale, a indiqué à l'AFP le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend).

Quel est l'impact de ces attaques sur les hôpitaux ?

"Tout dépend du type d'attaque et si l'équipe informatique arrive à intervenir avant qu'elle ne touche le dossier patient, le coeur du système d'information", détaille Cyrille Politi. Si elle n'y parvient pas, la structure cible peut replonger dans l'ère pré-informatique, impactant et ralentissant toute la communication entre services, notamment les rendus d'examens biologiques ou d'imagerie.

Au Centre hospitalier Sud Francilien (CHSF), "la prise en charge des patients n'est pas mise en danger", avait assuré mardi 23 août François Braun, mais 13 enfants sur 500 patients ont dû être transférés vers d'autres structures. "Aux urgences, l'activité est proche de zéro" et "la réa en néonat (néonatologie) a été vidée", avait précisé un représentant syndical de Sud Santé du CHSF, Franck Banizette.

Une désorganisation et un mode de fonctionnement dégradé dont on ignore la durée. Un retour à la normale n'est pas prévu avant "plusieurs semaines, voire plusieurs mois", a indiqué aujourd’hui M. Braun.

Un an après avoir été attaqué en février 2021, l'hôpital de Dax, dont les hackers avaient réussi à bloquer même les fichiers sauvegardés, évaluait avoir dû débourser 174 000 euros pour reconstruire son réseau informatique, et au total 2,36 millions d'euros en comptant les prestations de cybersécurité, la sous-traitance, le coût RH et les pertes commerciales, selon un retour d'expérience publié par l'Agence nationale d'appui à la performance (Anap).

"Plus d'un an après, si le cyclone et la tempête sont derrière nous, il reste des stigmates forts, et le Centre hospitalier est loin de naviguer sur une mer d'huile", note l'établissement, cité par l'Anap. Certains logiciels, notamment de bloc opératoire ou d'échographie anténatale, ne sont toujours pas accessibles.

Avec AFP

Les gros dossiers

+ De gros dossiers