La crise sanitaire a aussi mis sous tension les établissements de santé sur le volet sécurité informatique. Les cyberattaques y sont devenues légion, au point que le gouvernement préconise un traitement de choc. Explications.

Depuis 2020, la longue litanie des attaques visant des hôpitaux

La liste des victimes est longue, évolutive et… non exhaustive. Villefranche-sur-Saône, Dax, Tarare, Trévoux, Paris, Rouen, Montpellier, Issoudun, Albertville-Moûtiers, Toulon, Narbonne, Arles… Depuis le début de la crise sanitaire, les hôpitaux de ces villes ont vu leur activité fortement perturbée par des hackers bien peu scrupuleux, via des rançongiciels (cryptage des données avec demande de paiements pour débloquer la situation), des malwares, du phishing… 

En février 2021, Cédric O, secrétaire d’État à la transition numérique, indiquait ainsi que 27 cyberattaques majeures ciblant un établissement de santé avaient été comptabilisées en France en 2020. En outre, 110 hôpitaux français ont été « accompagnés dans des audits de sécurité » et « 11 d’entre eux sont accompagnés au jour le jour ». 

Dans son rapport d’activité 2020, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) place les hôpitaux sur le podium des cibles privilégiées. Selon elle, « aucun secteur d’activité ne semble épargné par les attaques cyber. Néanmoins, les victimes de rançongiciels sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie ».

Depuis le début de l’année 2021, on dénombre encore une attaque d’hôpital par semaine en moyenne.

Un mal français mais pas seulement…

Le mal est profond et diffus. Et la France est loin d’être le seul pays concerné. Par exemple, le Healthcare Information and Management Systems Society américain a interrogé 168 responsables de la sécurité informatique du secteur de la santé. Ils sont 70 % à déclarer avoir fait face à un incident de sécurité significatif en 2020. Du côté du Vieux Continent, l’Agence européenne pour la cybersécurité (Enisa) a noté « une augmentation quotidienne des attaques avec la pandémie » touchant le secteur de la santé. L’organisation s’est emparée du sujet, et édicte bonnes pratiques et recommandations à destination des acteurs du secteur. 

Des faiblesses liées à la digitalisation du secteur

Lors du Forum international de la cybersécurité qui s’est déroulé à Lille du 7 au 9 septembre 2021, Guillaume Poupard, directeur général de l’ANSSI, n’a guère manié la langue de bois. Pour lui, « si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle ».

Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle.

Guillaume Poupard, directeur général de l’ANSSI

Au-delà de la punchline, plusieurs raisons font des hôpitaux des cibles « de choix ». D’abord, une faible maturité des équipes aux questions de cybersécurité. De nombreux hôpitaux ne disposent, par exemple, pas de chef de la sécurité informatique, et le personnel est peu sensibilisé. Dans un contexte budgétairement contraint, ce sujet n’est clairement pas la priorité. Pendant ce temps, les matériels vieillissent et se fragilisent.

La digitalisation du secteur ne serait pas étrangère à cette vulnérabilité croissante. D’autant qu’elle n’a pas nécessairement été accompagnée des couches de sécurité nécessaires. La multiplication des appareils d’imagerie médicale, le développement de la télémédecine et des téléconsultations, le recours au cloud notamment pour héberger les dossiers patients informatisés, la robotique médicale, la gestion des bâtiments et équipements connectés… Tous représentent autant de points d’entrée possibles pour des attaques. 

Des hackers opportunistes et efficaces

L’hôpital digital présente de nouvelles faiblesses potentielles, tandis que, de leur côté, les hackers redoublent d’ingéniosité. Car, de l’avis de tous les cyberspécialistes, les attaques sont toujours plus sophistiquées. 

Certaines d’entre elles ont ainsi recours au machine learning : un logiciel malveillant est désormais capable de s’adapter à son environnement, pour passer complètement inaperçu et indétectable jusqu’à ce qu’il passe à l’action. Sur le sujet des ransomwares, les hackers sont capables d’organiser simultanément une fuite de données et une paralysie des systèmes, pour tenter d’obtenir plus facilement le paiement de rançons. 

Des vulnérabilités combinées à une montée en gamme des hackers : le cocktail est explosif pour l’hôpital.

Les hôpitaux français sont de plus en plus vulnérables aux cyberattaques. Ici l’hôpital de la Pitié Salpêtrière.

Les hôpitaux sommés de passer des caps en matière de sécurité informatique

Aux grands maux, les grands remèdes. Le 19 février 2021, le président de la République, Emmanuel Macron, a annoncé que 350 millions d’euros seraient investis au travers du Ségur de la santé pour renforcer la sécurité cyber des hôpitaux.

Par ailleurs, la stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire pour renforcer la cybersécurité de l’État. Sur cette enveloppe, 25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits. Objectif : les accompagner dans leur démarche de cybersécurisation.

Dans un communiqué de presse, précisant les détails des aides allouées au secteur de la santé, le ministère des Solidarités et de la Santé estime que « face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé. Ainsi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité ».

Enfin, depuis le 1er septembre 2021, 135 établissements tels que des hôpitaux publics, des cliniques ou des prestataires assurant des services d’urgence (les plus importants de métropole et d’outre-mer) sont désignés « opérateurs de services essentiels ». En clair, ils doivent respecter des règles de sécurité informatiques plus strictes, et appliquer à leurs systèmes d’information de meilleures pratiques de cybersécurité. L’ANSSI veillera au grain. 

Lire aussi

JO 2024 : détecter les menaces grâce à l’IA

image d'immeubles et d'un coucher de soleil
Technologie & Systèmes
24 janvier 2023

À l’approche des Jeux olympiques et paralympiques de Paris 2024, les autorités publiques mettent le paquet pour renforcer leur dispositif de sécurité. Gestion des foules, actes de terrorisme, cyberattaques… les dangers sont multiples. À circonstances exceptionnelles, mesures exceptionnelles ! Le gouvernement prévoit le déploiement de systèmes d’intelligence artificielle (IA) pour détecter les…

Les forces de l’ordre investissent
déjà le métavers ! 

Ville en néon
Technologie & Systèmes
20 décembre 2022

Alors qu’il y a tout lieu de penser que ce nouvel espace virtuel et immersif sera un terrain prisé des escrocs et cybercriminels, les services de police et de gendarmerie polissent leurs armes. Au menu : communication, formation, travail collaboratif, mais aussi répression. Les analystes en parlent déjà comme d’une prochaine…

Tout savoir sur la biométrie comportementale :
une solution d’authentification innovante

doigts qui tape sur un clavier d'ordinateur
Technologie & Systèmes
13 décembre 2022

Entre hameçonnage, rançongiciels et attaques intermédiaires, les menaces informatiques donnent des sueurs froides aux entreprises. La riposte s’organise chez les professionnelles et professionnels de la sécurité-sûreté. Aux oubliettes, le simple mot de passe. Si les cyberattaques sont toujours plus sophistiquées, les technologies de défense évoluent elles aussi pour contrer l’usurpation…