La crise sanitaire a aussi mis sous tension les établissements de santé sur le volet sécurité informatique. Les cyberattaques y sont devenues légion, au point que le gouvernement préconise un traitement de choc. Explications.

Depuis 2020, la longue litanie des attaques visant des hôpitaux

La liste des victimes est longue, évolutive et… non exhaustive. Villefranche-sur-Saône, Dax, Tarare, Trévoux, Paris, Rouen, Montpellier, Issoudun, Albertville-Moûtiers, Toulon, Narbonne, Arles… Depuis le début de la crise sanitaire, les hôpitaux de ces villes ont vu leur activité fortement perturbée par des hackers bien peu scrupuleux, via des rançongiciels (cryptage des données avec demande de paiements pour débloquer la situation), des malwares, du phishing… 

En février 2021, Cédric O, secrétaire d’État à la transition numérique, indiquait ainsi que 27 cyberattaques majeures ciblant un établissement de santé avaient été comptabilisées en France en 2020. En outre, 110 hôpitaux français ont été « accompagnés dans des audits de sécurité » et « 11 d’entre eux sont accompagnés au jour le jour ». 

Dans son rapport d’activité 2020, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) place les hôpitaux sur le podium des cibles privilégiées. Selon elle, « aucun secteur d’activité ne semble épargné par les attaques cyber. Néanmoins, les victimes de rançongiciels sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie ».

Depuis le début de l’année 2021, on dénombre encore une attaque d’hôpital par semaine en moyenne.

Un mal français mais pas seulement…

Le mal est profond et diffus. Et la France est loin d’être le seul pays concerné. Par exemple, le Healthcare Information and Management Systems Society américain a interrogé 168 responsables de la sécurité informatique du secteur de la santé. Ils sont 70 % à déclarer avoir fait face à un incident de sécurité significatif en 2020. Du côté du Vieux Continent, l’Agence européenne pour la cybersécurité (Enisa) a noté « une augmentation quotidienne des attaques avec la pandémie » touchant le secteur de la santé. L’organisation s’est emparée du sujet, et édicte bonnes pratiques et recommandations à destination des acteurs du secteur. 

Des faiblesses liées à la digitalisation du secteur

Lors du Forum international de la cybersécurité qui s’est déroulé à Lille du 7 au 9 septembre 2021, Guillaume Poupard, directeur général de l’ANSSI, n’a guère manié la langue de bois. Pour lui, « si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle ».

Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle.

Guillaume Poupard, directeur général de l’ANSSI

Au-delà de la punchline, plusieurs raisons font des hôpitaux des cibles « de choix ». D’abord, une faible maturité des équipes aux questions de cybersécurité. De nombreux hôpitaux ne disposent, par exemple, pas de chef de la sécurité informatique, et le personnel est peu sensibilisé. Dans un contexte budgétairement contraint, ce sujet n’est clairement pas la priorité. Pendant ce temps, les matériels vieillissent et se fragilisent.

La digitalisation du secteur ne serait pas étrangère à cette vulnérabilité croissante. D’autant qu’elle n’a pas nécessairement été accompagnée des couches de sécurité nécessaires. La multiplication des appareils d’imagerie médicale, le développement de la télémédecine et des téléconsultations, le recours au cloud notamment pour héberger les dossiers patients informatisés, la robotique médicale, la gestion des bâtiments et équipements connectés… Tous représentent autant de points d’entrée possibles pour des attaques. 

Des hackers opportunistes et efficaces

L’hôpital digital présente de nouvelles faiblesses potentielles, tandis que, de leur côté, les hackers redoublent d’ingéniosité. Car, de l’avis de tous les cyberspécialistes, les attaques sont toujours plus sophistiquées. 

Certaines d’entre elles ont ainsi recours au machine learning : un logiciel malveillant est désormais capable de s’adapter à son environnement, pour passer complètement inaperçu et indétectable jusqu’à ce qu’il passe à l’action. Sur le sujet des ransomwares, les hackers sont capables d’organiser simultanément une fuite de données et une paralysie des systèmes, pour tenter d’obtenir plus facilement le paiement de rançons. 

Des vulnérabilités combinées à une montée en gamme des hackers : le cocktail est explosif pour l’hôpital.

Les hôpitaux français sont de plus en plus vulnérables aux cyberattaques. Ici l’hôpital de la Pitié Salpêtrière.

Les hôpitaux sommés de passer des caps en matière de sécurité informatique

Aux grands maux, les grands remèdes. Le 19 février 2021, le président de la République, Emmanuel Macron, a annoncé que 350 millions d’euros seraient investis au travers du Ségur de la santé pour renforcer la sécurité cyber des hôpitaux.

Par ailleurs, la stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire pour renforcer la cybersécurité de l’État. Sur cette enveloppe, 25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits. Objectif : les accompagner dans leur démarche de cybersécurisation.

Dans un communiqué de presse, précisant les détails des aides allouées au secteur de la santé, le ministère des Solidarités et de la Santé estime que « face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé. Ainsi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité ».

Enfin, depuis le 1er septembre 2021, 135 établissements tels que des hôpitaux publics, des cliniques ou des prestataires assurant des services d’urgence (les plus importants de métropole et d’outre-mer) sont désignés « opérateurs de services essentiels ». En clair, ils doivent respecter des règles de sécurité informatiques plus strictes, et appliquer à leurs systèmes d’information de meilleures pratiques de cybersécurité. L’ANSSI veillera au grain. 

Lire aussi

Et si écouter la ville permettait
d’améliorer les systèmes
de vidéosurveillance ?

Image de la ville avec la foule qui traverse.
Technologie & Systèmes
16 novembre 2021

À la recherche de nouvelles technologies, les villes font désormais appel à des start-up et à leurs dispositifs innovants en termes de sécurité et de sûreté, afin de maîtriser les menaces et de prévenir certains risques. De Cleveland aux États-Unis, à Orléans et la région Sud en France, les communes…

Cybersécurité : les JO de Paris 2024
sortent le grand jeu

Tour Eiffel à Paris le long de la Seine
Technologie & Systèmes
19 octobre 2021

Les performances des hackers s’améliorent édition après édition. Pour les Jeux olympiques de Paris en 2024, leurs appétits devraient être plus aiguisés encore. Pour tenter de contrer la menace, les organisateurs s’allouent les services de poids lourds de la cybersécurité, dont le chinois Alibaba, au risque de susciter la controverse….

« La nouvelle norme internationale de vidéosurveillance
pourrait être testée lors des JO de Paris 2024 »

Equipe de rameurs JO vue de haut
Technologie & Systèmes
7 octobre 2021

Et si les logiciels de vidéosurveillance pouvaient demain davantage communiquer avec ceux des services de sécurité pour améliorer la rapidité et l’efficacité opérationnelles ? Un groupe d’experts planche actuellement à la mise au point d’une norme internationale qui renforcerait l’interopérabilité des systèmes. Le Français Jean-François Sulzer, consultant spécialiste en conseil…