Les failles ainsi exploitées permettent aux attaquants de pénétrer les systèmes et les équipements médicaux, d’acquérir le contrôle des données hospitalières, de modifier les paramètres opérationnels des dispositifs existants, de déclencher des dysfonctionnements et d’occasionner de sérieux dommages aux patients.
Or, de plus en plus de données de santé sont aujourd’hui produites et disponibles. Selon une étude d’OpinionWay datant de juillet 2020, il a par exemple été constaté que 70 % des Français avaient utilisé des services de prise de rendez-vous en ligne, tandis que 66 % d’entre eux avaient consulté ou reçu des résultats médicaux de manière numérique. Parmi les patients ayant eu recours à la téléconsultation pour la première fois pendant la pandémie, 53 % avaient déclaré être satisfaits de ces nouvelles modalités, avec un taux de satisfaction atteignant 91 %.
Une panoplie de techniques
Plusieurs techniques sont utilisées pour permettre aux cybercriminels d’accéder aux données des établissements de santé visés.
Parmi celles-ci, on peut citer les attaques par déni de service, également connues sous l’acronyme DDoS (Distributed Denial-of-Service), qui représentent près de la moitié des attaques recensées dans le monde. Cette méthode consiste à submerger le réseau informatique de l’établissement ciblé avec un grand nombre de requêtes simultanées, dans le but de rendre son système d’information hospitalier indisponible. Les attaques DDoS, en perturbant la vitesse et l’efficacité des services, ont un impact durable sur la réputation de l’établissement visé et entraînent d’importantes pertes financières.
Après le centre hospitalier régional de Brest (Finistère) en mars 2023, c’est dans la nuit du 14 au 15 janvier 2024 que le centre hospitalier universitaire (CHU) de Nantes (Loire-Atlantique) a été victime à son tour d’une attaque de ce type bloquant notamment le réseau Internet de l’établissement, l’envoi et la réception d’e-mails, ainsi que l’accès aux outils de gestion du CHU depuis l’extérieur (prise de rendez-vous sur le site de l’établissement via Doctolib notamment).
Une autre menace significative pour les établissements de santé réside dans les attaques de phishing (ou hameçonnage). Dans ces situations, les cybercriminels envoient des e-mails ou des messages trompeurs dans le but de persuader les utilisateurs de divulguer des informations personnelles en cliquant sur des liens malveillants. Ces attaques peuvent être exploitées pour accéder directement aux données personnelles et médicales des patients ou pour introduire des logiciels délétères dans le système d’information de l’établissement. Les attaques de phishing sont souvent sophistiquées, à partir de messages qui semblent provenir de sources fiables en lien vers des sites apparemment légitimes.
Aux États-Unis, cette méthode représente près de 80 % des attaques informatiques signalées, ce qui en fait la technique la plus répandue et celle dont la croissance est la plus marquée, passant de 32 % du total des attaques en 2016 à 57 % en 2020.
Le 22 août 2023, le centre hospitalier de Corbeil-Essonnes (Essonne) avait vu son fonctionnement fortement perturbé par une cyberattaque de ce type qui avait désorganisé son activité durant plusieurs semaines (dégradations de services et reports d’opérations notamment). À la suite de l’attaque, une demande de 10 millions de dollars avait été exigée par le groupe Lockbit, collectif de hackers d’origine russe, coutumiers du fait.
Autre pratique répandue : le ransomware. Cette méthode implique le chiffrement des données des systèmes informatiques de l’établissement à l’aide de logiciels malveillants. Les cybercriminels exigent ensuite une rançon en échange d’une clé de déchiffrement nécessaire pour récupérer les données verrouillées. Ces attaques sont particulièrement inquiétantes pour les établissements de santé, car elles entraînent la perte de données cruciales et des interruptions de service préjudiciables.
Initialement répandues aux États-Unis, où elles sont devenues un commerce très rentable pour les cybercriminels, ces attaques ont commencé à se propager en Europe, à l’instar du CHU de Rouen (Seine-Maritime) en novembre 2019. Si les établissements de santé publics en Europe sont souvent incapables de payer les rançons exigées, certains établissements privés, ayant rapidement retrouvé un fonctionnement normal, laissent supposer avoir versé aux hackers la rançon demandée, encourageant de ce fait les criminels à perpétuer ce type d’attaques.
Une facture salée à Dax
L’une des cyberattaques par ransomware les plus marquantes de ces dernières années a frappé le Centre hospitalier de Dax, 10 février 2021, lorsque l’ensemble de son système d’information hospitalier (SIH) a été mis hors service. Les conséquences de cette attaque, qui a fait l’objet de nos récentes recherches, ont été désastreuses pour les opérations de l’hôpital, entraînant plusieurs semaines de perturbations, tandis que la résolution complète du problème a nécessité plusieurs mois de travail pour les réparations.
Le jour de l’attaque, toutes les connexions, qu’elles soient internes ou externes, ont été complètement interrompues, y compris les lignes téléphoniques et le système informatique de l’établissement. Les accès informatiques ont été également bloqués, ce qui a rendu impossible toute forme de communication habituelle (appels téléphoniques, e-mails ou accès au site web de l’établissement notamment).
Il était, par ailleurs, impossible de se connecter aux serveurs en raison du risque de compromission des comptes. Une sauvegarde préalable sur bandes a heureusement permis de récupérer les données informatisées de nombreux patients, bien que ces données ne puissent être consultées qu’en lecture seule sur un poste dédié, sans possibilité de mise à jour.
Après plus d’un an, les coûts totaux de cette attaque ont été estimés par l’établissement à plus 2,3 millions d’euros, intégralement pris en charge par l’Agence régionale de santé (ARS) de Nouvelle-Aquitaine. Les coûts induits prennent en compte les investissements matériels nécessaires à la reconstruction du réseau (174 000 euros), des prestations de cybersécurité et de réinstallation des systèmes (546 000 euros), la sous-traitance de prestations de biologie médicale (9 000 euros), des coûts de formation et d’information internes, les équipes de renforts mobilisées et les heures supplémentaires induites (1,48 million d’euros) ou encore les pertes de recettes commerciales de l’établissement (143 000 euros).
L’incident survenu au centre hospitalier de Dax illustre les coûts financiers significatifs auxquels un hôpital est confronté lorsqu’il est victime d’une attaque. Comme cela a été le cas à Dax ainsi qu’à Versailles (Yvelines) à la fin de l’année 2022, l’arrêt des opérations causé par une immobilisation des systèmes informatiques peut entraîner des pertes d’activité pendant des semaines, voire des mois.
Un risque pour le patient
Les dépenses nécessaires à la reconstruction d’un système informatique plus sécurisé doivent être également prises en compte, augmentant d’autant la facture d’ensemble d’une cyberattaque sur les établissements de soins. Selon les experts, ces travaux de reconstruction peuvent s’étaler sur près d’un an et coûter entre 3 et 5 millions d’euros. Bien que certaines parties de ces dépenses puissent, en France, être prises en charge par des organismes tels que les Agences Régionales de Santé (ARS), une telle assistance est loin d’être permise partout dans le monde.
Pire encore, le risque encouru par les patients : une perte de contrôle des dispositifs médicaux, une altération des diagnostics ou des traitements prescrits, ou encore des erreurs dans leur administration peuvent avoir des conséquences dramatiques, voire fatales, pour les patients hospitalisés.