cybersecurite hopitaux france

[Enquête] Cybersécurité médiocre des hôpitaux français : la vie des patients menacée ?

Les hôpitaux français sont pris pour cible par les cybercriminels. Depuis le début de la crise du Covid-19, le nombre d’attaques au ransomware sur les établissements de santé a explosé. Face à ce fléau menaçant la vie des patients, la cybersécurité est-elle à la hauteur ? Comment la renforcer ? Découvrez les réponses à travers notre enquête…

Depuis plus d’un mois, un ransomware paralyse le Centre Hospitalier Sud-Francilien de Corbeil-Essonnes. L’établissement refuse de payer la rançon, et les hackers ont commencé à dévoiler les données personnelles des patients.

Ce grave incident de cybersécurité s’inscrit dans une longue lignée d’assauts cybercriminels menés contre les hôpitaux. À la fois proies faciles et cibles lucratives, les établissements de santé attirent les pirates qui n’hésitent plus à « tirer sur l’ambulance » à grands coups de malwares

Alors que la France est l’un des meilleurs pays pour la cybersécurité, le nombre d’attaques contre les hôpitaux explose depuis le début de la crise sanitaire causée par le Covid-19. Alors comment expliquer la vulnérabilité du secteur de la santé, et quelles sont les pistes pour y remédier ?

Le Centre Hospitalier Sud-Francilien paralysé par un ransomware

Dans la nuit du samedi 20 août au dimanche 21 août 2022, vers 1 heure du matin, le centre hospitalier Sud-Francilien (CHSF) situé dans l’Essonne a subi une cyberattaque. Les hackers ont réussi à perturber l’activité de l’établissement de santé en déployant un ransomware, et ont exigé une rançon de 10 millions de dollars.

La demande de rançon a été rédigée en anglais, laissant penser que les cybercriminels sont basés à l’étranger. L’enquête a été ouverte et confiée aux gendarmes du Centre de lutte contre les criminalités numériques : le C3N. En parallèle, l’Agence nationale de la sécurité des systèmes informatiques (ANSSI) a été saisie par la cellule de crise pour mener l’enquête sur l’attaque.

La cyberattaque a été menée par le groupe de hackers Lockbit. En début d’année, ce groupe avait déjà lancé un assaut contre le Ministère de la Justice

Dès le 21 août 2022, le CHSF a publié un communiqué de presse indiquant que « cette attaque rend pour l’heure inaccessibles tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions de la patientèle ».

De nombreuses interventions ont dû être décalées à cause de cet incident, et le centre hospitalier a été contraint de déclencher un plan blanc.

Pour rappel, cet outil dont disposent tous les établissements de santé permet de mobilier tous les moyens possibles pour faire face à un afflux de patients ou faire face à une situation sanitaire exceptionnelle. Ce dispositif est inscrit dans la loi depuis 2004, mais il est normalement déployé en cas d’urgence sanitaire comme lors des pics épidémiques de Covid-19.

Dépourvu de systèmes informatiques, le personnel a dû revenir à ses dossiers sur papier. Le président du conseil de surveillance du CHSF et maire adjoint d’Evry-Courcouronnes a confirmé que « certains appareils et systèmes étant en effet perturbés, il y aura des déprogrammations d’actes et d’opérations ».

Certains patients ont été réorientés vers différents hôpitaux publics d’Île-de-France, ou vers la maison médicale de garde du centre hospitalier Sud-Francilien. Heureusement, le centre hospitalier Sud-Francilien a pu recevoir l’aide de l’ARS Île-de-France et du SAMU-SMUR 91 pour faire face à cette crise.

Malheureusement, fin septembre 2022, un mois après le début de l’attaque, les logiciels métiers de l’hôpital, les systèmes de stockage (notamment d’imagerie médicale), et le système d’information lié aux admissions de la patientèle sont encore inaccessibles

Les données du CHSF dévoilées par les hackers

Face au refus du CHSF de payer la rançon demandée par les hackers du groupe Lockbit, les cybercriminels ont mis à exécution leur menace et commencé à diffuser les données volées.

Dans un communiqué de presse publié le 25 septembre 2022, le centre hospitalier annonce que les données confidentielles de patients figurent parmi les données divulguées telles que les numéros de sécurité sociale, les comptes-rendus d’examen ou les dossiers externes de radiologie.

Les données publiées sur le site des hackers « semblent concerner les usagers, le personnel ainsi que les partenaires de l’hôpital ». Un dossier de 11 Go a été mis en ligne.

Le CHSF précise que les dossiers personnalisés et les dossiers relatifs à la gestion des ressources humaines n’ont pas été compromis. Au total, environ 10% des systèmes informatiques de l’établissement ont été impactés par l’attaque. Les experts de l’ANSSI continuent à enquêter aux côtés des autorités compétentes. De leur côté, les hackers acceptent de retirer les données de leur site contre 1 million de dollars…

Même s’il peut sembler plus simple de payer la rançon, il s’agit d’une erreur à ne surtout pas commettre. Comme l’explique Sandra Maury, Chief Information Security Officer de Kyndryl France, « Il est important de rappeler que dans la plupart des cas, payer une rançon aux cybercriminels ne garantit en aucun cas la restauration de la disponibilité du système d’information d’une entreprise, mais augmente les risques de récidives ! »

Selon cette experte, le choix de la facilité aurait même un double effet négatif : « Tout d’abord, payer les rançons incite la cybercriminalité. Plus les entreprises l’alimenteront en payant les rançons et plus les attaques seront nombreuses ! De plus, les budgets des entreprises ne sont pas extensibles. Faciliter l’indemnisation du paiement d’une rançon, c’est rendre plus simple le paiement d’une assurance plutôt que d’investir dans une solution durable de résilience et de sécurisation de l’infrastructure informatique. À long terme, nos entreprises seront toujours prises pour cibles par les pirates ».

À la place, la spécialiste recommande d’investir dans un accompagnement cyber spécialisé. Ceci permet selon elle de négocier le paiement du ransomware, d’améliorer les chances de remise en état du système d’information de l’entreprise, et d’avoir une chance de réduire le risque de récidive.

De nombreux hôpitaux victimes de cyberattaques

Selon l’ANSSI, le nombre de cyberattaques par ransomware a quadruplé en 2020 et 11% d’entre elles visaient des hôpitaux. Cette année-là, le CHU de Rouen avait subi une attaque par ransomware et avait dû réorienter ses patients vers d’autres établissements.

En février 2021, c’est l’hôpital de Dax qui a été pris pour cible d’une cyberattaque. Au cours du même mois, l’hôpital de Villefranche-sur-Saône dans le Rhône avait été victime d’un ransomware. Les sites de Villefranche, Tarare et Trévoux avaient été paralysés par le malware Ryuk. Les urgences avaient continué de fonctionner, mais toutes les interventions chirurgicales prévues pour le 16 février avaient dû être reprogrammées.

De même, en avril 2022, une cyberattaque lancée contre le système informatique du groupe hospitalier de territoire Coeur-Grand-Est avait impacté neuf établissements. Quelques semaines auparavant, c’est un hôpital d’Ajaccio qui avait subi un assaut.

Les cyberattaques contre les hôpitaux et établissements de santé français se multiplient, comme partout dans le monde. Malheureusement, force est d’admettre que la cybersécurité n’est pas à la hauteur

Une hausse de la mortalité dans 20% des cas

Les cyberattaques contre les hôpitaux posent de nombreux risques. Outre les dégâts financiers, c’est une véritable menace pour la santé publique.

Selon un rapport du Ponemon Institue, le coût moyen des cyberattaques ayant touché le secteur de la santé atteint 4,4 millions de dollars. Cette somme inclut 1 million de dollars en perte directe de productivité.

En outre, plus de 20% des établissements de santé ayant subi des cyberattaques ont ensuite connu une augmentation du taux de mortalité de leurs patients. Plus de la moitié ont observé une détérioration de la qualité des soins apportés au quotidien. C’est une tragique réalité : les cyberattaques tuent dans nos hôpitaux.

L’humain reste le principal point faible

Une enquête menée en mai 2022 par l’entreprise de sécurité Proofpoint montrait que les RSSI du secteur de la santé étaient les plus conscients du risque de cyberattaque contre leur système. Parmi les participants au sondage, 83% avaient répondu par l’affirmative. Ces responsables considéraient aussi que la plus grande vulnérabilité de leur organisation venait de leurs collaborateurs.

Néanmoins, 67% ne se rendaient pas compte du rôle qu’ils avaient à jouer dans la protection de leur organisation. Là encore, c’est la proportion la plus importante à travers tous les secteurs étudiés.

Face à la multiplication des cyberattaques contre les établissements de santé, Proofpoint a réalisé une analyse de la protection DMARC (Domain Message Authentication Reporting and Conformance) des adresses de messagerie des 30 centres hospitaliers universitaires (CHU) français.

Ce protocole d’authentification a été conçu dans le but d’empêcher les hackers d’usurper l’identité d’une organisation et de son domaine. Pour y parvenir, DMARC rejette tous les messages non authentifiés.

Afin de protéger les entreprises contre les pires menaces de sécurité telles que les spams, le phishing ou les fraudes par courriel, l’ANSSI recommande fortement d’adopter ce protocole.

Comme l’explique Loïc Guezo, Directeur de la stratégie cyber (SEMEA) chez Proofpoint, « les cybercriminels ciblent principalement les utilisateurs plutôt que l’infrastructure, car il est plus facile et plus rapide de tromper un humain que de pénétrer un pare-feu ou pirater un compte. Inévitablement, une menace passera par la passerelle de messagerie. Des technologies telles que le système DMARC constituent un réel frein aux tentatives d’attaques de cybercriminels toujours plus audacieuses. Cette technologie empêche d’usurper les domaines des entreprises et d’envoyer des messages en leur nom ».

Malheureusement, l’analyse DMARC des CHU démontre que ce protocole est loin d’être ancré dans les moeurs. Les résultats révèlent que la moitié des centres hospitaliers français ne dispose tout bonnement d’aucun niveau d’authentification pour protéger les usagers contre la fraude par email.

Et même parmi les établissements ayant publié un enregistrement DMARC, onze se contentent d’une protection extrêmement basique. Seuls trois ont un système de mise en quarantaine des courriels suspects, et un seul a mis en place un rejet automatique. Or, c’est la protection DMARC la plus élevée qui permet de combattre les tentatives de phishing de façon proactive…

De même, les organisations auraient tout intérêt à envisager l’analyse dynamique des courriels. Cette méthode permet de bloquer l’usurpation du nom d’affichage sur les portails. Les technologies de prévention des pertes de données (Data Loss Prevention) et le chiffrement sont également recommandés.

Toutefois, l’erreur humaine reste la principale vulnérabilité informatique. Pour ne pas tomber dans les pièges tendus par les cybercriminels, le personnel soignant doit impérativement apprendre à reconnaître ces menaces et à y répondre. Les formations et campagnes de sensibilisation peuvent leur permettre de comprendre comment réagir et d’acquérir les meilleures pratiques de cybersécurité…

L’ANSSI débloque 20 millions d’euros pour la cybersécurité des hôpitaux

L’attaque contre le CHSF est celle de trop. Le 26 août 2022, lors d’une visite à l’hôpital de Corbeil-Essonnes, le ministre de la santé, François Braun, a annoncé que l’ANSSI allait recevoir 20 millions d’euros pour améliorer la protection des établissements de santé.

Cette somme viendra compléter le plan national sur la cybersécurité présenté par Emmanuel Macron en février 2021, suite aux cyberattaques contre plusieurs hôpitaux. L’ANSSI dispose déjà de 136 millions dans le cadre du plan France Relance.

Déjà à l’époque, le président de la République prévoyait « la création d’un observatoire permanent sur la cybersécurité des établissements de santé, la sensibilisation à la cyber dans les formations du personnel de santé, la montée en puissance du service national de cybersurveillance en santé ».

Au total, le gouvernement a promis un milliard d’euros pour la lutte contre la cybercriminalité. Cette somme sera investie progressivement jusqu’en 2025 pour soutenir la filière cybersécurité.

Son plan s’organise autour de cinq grands chantiers : le développement de solutions nationales, la création du Campus Cyber, le doublement des emplois de la filière, la mise en place d’actions de sensibilisation, et le financement des startups.

Les fonds versés à l’ANSSI vont notamment lui permettre de mettre en place un parcours de cybersécurité pour les établissements de santé et sensibiliser le personnel…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest