Web en continu

Confronté à une intensification des cyberattaques depuis 2019, le système de santé français ne possède pas d’outils de sécurité et une culture du numérique suffisants pour y faire face. Mais une prise de conscience s’opère pour Vincent Trély, expert en cybersécurité dans le domaine de la santé.

Victime d’une cyberattaque, l’hôpital de Villefranche-sur-Saône a dû reporter les opérations non urgentes le 16 février. Ce centre de santé est loin d’être le seul à avoir subi les assauts des pirates informatiques cette année : “il y en a eu une par semaine”, a indiqué Cédric O, le secrétaire d'Etat à la transition numérique, devant les sénateurs le 17 février. Une fréquence particulièrement soutenue puisqu’en France, “27 attaques majeures d'hôpitaux” ont été dénombrées toujours selon Cédric O. En pleine crise sanitaire, ces données inquiètent et questionnent l’action des pouvoirs publics en matière de cybersécurité. 

Vincent Trély, président-fondateur de l’Apsiss, association qui fédère les experts en cybersécurité dans le domaine de la santé, intervient en amont auprès des hôpitaux afin de renforcer leur sécurité informatique et prévenir toute cyberattaque. Il décrypte le phénomène pour Cuej.info. 

Quel genre de piratage informatique est en cause ? 

Ce dont on parle beaucoup depuis un peu plus de trois ans, ce sont des “rançongiciels” ou “cryptovirus”. Il s’agit de virus qui se diffusent essentiellement par mail. Si une personne clique sur le lien contenu dans le courrier électronique, le logiciel malveillant se déclenche et va chiffrer les données de l’hôpital. Si les serveurs centraux sont atteints, plus personne n’a accès à rien. Les médecins, les infirmières n’ont plus accès aux résultats des scanners, radios... ce qui crée la panique. Ensuite, une demande de rançon se déclenche avec tout un protocole : comment acheter des bitcoins puis payer sur le darknet. Pour retrouver les accès, il faut récupérer la clef de chiffrage des données détenue par les pirates. Il faut bien différencier ce type de piratage de l’exfiltration de données. Là, les données sont vraiment récupérées par les pirates et vendues sur le darknet ensuite. L’exfiltration est bien plus compliquée à mener qu’un rançongiciel. 

Et les hôpitaux paient ?

À ma connaissance, non. Les directives du ministère de la Santé et de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sont assez claires. Et ce pour deux raisons principales. D’abord, parce qu’on n’a pas l’assurance de récupérer la clef de chiffrage. Ensuite, car c’est un peu la dynamique des prises d’otage, si on commence à payer, les attaques se multiplieraient par la suite. Après, des directeurs de maisons de retraites ont témoigné avoir cédé et payé. Énormément de collectivités territoriales sont touchées également et des mairies ont versé les sommes.

Les attaques sont-elles ciblées ? 

Parfois c’est ciblé, parfois c’est le hasard. Ce n'est jamais évident de savoir. Le pirate a une liste de plusieurs dizaines de milliers de mails, et il envoie son virus dans la nature et un moment ça tombe. 

Les hôpitaux sont-ils des cibles privilégiées car particulièrement vulnérables  ? 

Disons qu’on a deux mondes. Un premier monde qui a connu des ennuis importants et, à coup de millions d’euros, est arrivé à un haut niveau de cybersécurité. Il s’agit notamment des grosses entreprises du secteur tertiaire : banque, assurance etc. Et un deuxième monde où toutes ces questions sont plus récentes et dont font partie les hôpitaux, mais aussi les services publics en général, à l’exception de l’armée bien sûr. Ce monde est plus vulnérable. Dans les hôpitaux, on a une cohabitation de matériel récent et très ancien. On a encore des postes Windows XP ! Les pirates vont là où c’est le plus simple et ce sont plutôt les facs, les villes, les hôpitaux, les universités… 

Quels sont les manques dans la cybersécurité dans les hôpitaux ? 

Déjà, dans la santé, on parle de cybersécurité depuis 2012 seulement. De plus, on évolue dans un environnement budgétaire contraint. Quand un directeur d’hôpital a le choix entre un nouveau bloc opératoire ou dépenser dans la sécurité informatique, et bien il va privilégier le bloc plutôt que des outils de sécurité contre des attaques qui pourraient ne jamais arriver. Les budgets ne sont pas au rendez-vous. On alloue entre 1,2 et 2% des budgets globaux à l’informatique alors que les pays comme les Etats-Unis ou les Pays-Bas y dédie entre 5 et 6%.

Au-delà des moyens techniques, il s’agit aussi de développer une culture de la cybersécurité...

Clairement. Le premier point pour se protéger c'est d’avoir des systèmes modernes, un parc informatique mis à jour en permanence notamment. Un travail sur l’humain est aussi nécessaire. Par exemple, on a toujours du mal à faire passer l’idée d’avoir des mots de passe à huit caractères renouvelés régulièrement. Le DSI (Directeur des systèmes d’information, NDLR) ne pèse pas lourd contre un chef de pôle réticent à certaines opérations : changer de mot de passe, ne pas renvoyer ces mails sur son téléphone, verrouiller son poste etc. Le DSI est encore vu comme l’emmerdeur. 

Et il y a-t-il une prise de conscience de ces enjeux ? 

Ça vient à coup d’incidents. La ministre, Agnès Buzyn à l’époque, a consacré un discours sur le sujet pour la première fois après l’attaque du CHU de Rouen en novembre 2019. La cybersécurité y était définie comme priorité nationale. Maintenant, on a des programmes de subvention numérique qui obligent les hôpitaux à prouver leur engagement en la matière pour toucher des subventions. On a grandement avancé, mais on est encore au milieu du guet. 

Sait-on qui ils sont et quelles sont motivations des pirates ? 

Les pirates, leur motivation, c’est l’argent. Globalement, ce sont des gens calés en informatique qui proviennent de pays étrangers : Russie beaucoup, un peu Chine, Corée du Nord et des pays d’Europe de l’Est. Des endroits où ils jouissent d’une forme d’impunité. Comme il n’est pas si difficile d’utiliser certains rançongiciels, des personnes provenant de la délinquance traditionnelle peuvent s’essayer aux cyberattaques pour gagner de l’argent en prenant moins de risques qu’avec un braquage ou le trafic de drogue, mais c’est plus rare. 

Valentin Bechu