Villefranche-sur-Saône, Dax, Saint-Gaudens, mais aussi l'Assistance publique-Hôpitaux de Paris (AP-HP)… Les hôpitaux sont plus que jamais des cibles privilégiées pour les cybercriminels. Après 27 cyberattaques majeures contre des établissements en 2020, il y en aurait une par semaine en 2021, de l'aveu même du secrétaire d'État au numérique, Cédric O.
Prenant la mesure du fléau, Emmanuel Macron a annoncé en février un plan d'un milliard d'euros destiné à renforcer la cybersécurité dans ce domaine. Mais comment expliquer la multiplication de ces attaques ?
D’abord parce que les cybercriminels vont – pour maximiser leurs profits – cibler en priorité « les secteurs d’activité où la sécurité est un peu moins bien développée, où c’est relativement peu risqué pour eux, où ils peuvent agir avec une impunité quasi-totale », explique Bruno Halopeau, directeur de la technologie au CyberPeace Institute, qui vient de publier un rapport sur le risque des cyberattaques dans le domaine de la santé.
Parc informatique vieillissant, matériel obsolète
Le secteur hospitalier a plusieurs talons d’Achille : des infrastructures informatiques très connectées mais fragiles, un sous-investissement ancien en matière de cybersécurité, des difficultés à recruter des experts mais aussi une culture variable des équipes en matière de protection des données… « Les hôpitaux n’ont pas un niveau de maturité très important en termes de sécurité de l’information, confirme Laurent Besset, directeur cyber-défense de la société I-Tracing, société spécialisée en cyber-sécurité. Jusqu’à récemment, l’informatique et la cybersécurité n’étaient pas leur priorité : leur parc informatique est vieillissant et manque d’investissement depuis plusieurs années, leur matériel n’est pas forcément à jour et bien sécurisé. » Dans ce contexte, la simple ouverture d'un PDF infecté, adressé par mail en pièce jointe, peut aboutir à paralyser un système – le virus pouvant se répliquer sur un réseau d'ordinateurs.
Autre faille exploitée par les pirates informatiques : contrairement à d’autres filières, « le secteur hospitalier, par essence, ne peut pas se permettre de s’arrêter de fonctionner », poursuit Laurent Besset. Une panne partielle ou totale peut signifier des risques vitaux immédiats : perte de chances, déprogrammations, voire arrêt d'activité, etc. Lorsque le système informatique d’un hôpital est mis à plat, « le risque est beaucoup plus important en termes de dégâts engendrés que pour une petite PME industrielle française », ajoute l'expert. Avec ce calcul cynique des cybercriminels : « La motivation des hôpitaux à payer et à résoudre le problème au plus vite sera plus importante. » D’autant que, lorsque les hôpitaux sont victimes d'un rançongiciel (système malveillant qui bloque l'accès à l'ordinateur et réclame à la victime une rançon), « cela prend en général quelques jours pour retrouver les services essentiels, et une semaine à dix jours pour retrouver un fonctionnement à peu près normal. » À titre d’exemple, certains services de l’hôpital de Dax étaient encore paralysés deux mois après la cyberattaque…
Autre méthode plus directe : les hackers ayant infiltré et volé des données de santé peuvent tenter de revendre certaines data ou encore les dossiers médicaux des patients sur des forums spécialisés où il existe un tel marché.
Architectures robustes
Comment les hôpitaux peuvent-ils réduire cette menace ? D’abord en investissant davantage dans la cybersécurité, avancent sans surprise les experts du secteur. « Ce ne sera pas une perte d’argent si cela permet d’éviter une, deux ou trois attaques de rançongiciel, défend Bruno Halopeau. L’investissement sera rentabilisé et cela bénéficiera aux patients qui, par exemple, ne seront pas victimes d’une interruption de service ».
Ce n'est pas tout. Avec l'interconnexion généralisée des plateformes et des infrastructures, et les risques accrus du télétravail (encadré), les hôpitaux vont devoir sans doute investir aussi dans les ressources humaines, en formant leur personnel sur les questions de sécurité informatique et les bonnes pratiques, et en recrutant des cyberspécialistes à l'échelon supérieur. Des experts, précise Laurent Besset, « capables de gérer l’informatique au quotidien, de construire des architectures informatiques plus robustes et plus durables ».
Ce que l’on sait du vol de données de santé de plus de 750 000 patients d’un établissement francilien
L’Igas veut inciter tous les hôpitaux à déployer des actions de prévention primaire
À l’hôpital psychiatrique du Havre, vague d’arrêts de travail de soignants confrontés à une patiente violente
« L’ARS nous déshabille ! » : à Saint-Affrique, des soignants posent nus pour dénoncer le manque de moyens