La crise sanitaire a aussi mis sous tension les établissements de santé sur le volet sécurité informatique. Les cyberattaques y sont devenues légion, au point que le gouvernement préconise un traitement de choc. Explications.

Depuis 2020, la longue litanie des attaques visant des hôpitaux

La liste des victimes est longue, évolutive et… non exhaustive. Villefranche-sur-Saône, Dax, Tarare, Trévoux, Paris, Rouen, Montpellier, Issoudun, Albertville-Moûtiers, Toulon, Narbonne, Arles… Depuis le début de la crise sanitaire, les hôpitaux de ces villes ont vu leur activité fortement perturbée par des hackers bien peu scrupuleux, via des rançongiciels (cryptage des données avec demande de paiements pour débloquer la situation), des malwares, du phishing… 

En février 2021, Cédric O, secrétaire d’État à la transition numérique, indiquait ainsi que 27 cyberattaques majeures ciblant un établissement de santé avaient été comptabilisées en France en 2020. En outre, 110 hôpitaux français ont été « accompagnés dans des audits de sécurité » et « 11 d’entre eux sont accompagnés au jour le jour ». 

Dans son rapport d’activité 2020, l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) place les hôpitaux sur le podium des cibles privilégiées. Selon elle, « aucun secteur d’activité ne semble épargné par les attaques cyber. Néanmoins, les victimes de rançongiciels sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie ».

Depuis le début de l’année 2021, on dénombre encore une attaque d’hôpital par semaine en moyenne.

Un mal français mais pas seulement…

Le mal est profond et diffus. Et la France est loin d’être le seul pays concerné. Par exemple, le Healthcare Information and Management Systems Society américain a interrogé 168 responsables de la sécurité informatique du secteur de la santé. Ils sont 70 % à déclarer avoir fait face à un incident de sécurité significatif en 2020. Du côté du Vieux Continent, l’Agence européenne pour la cybersécurité (Enisa) a noté « une augmentation quotidienne des attaques avec la pandémie » touchant le secteur de la santé. L’organisation s’est emparée du sujet, et édicte bonnes pratiques et recommandations à destination des acteurs du secteur. 

Des faiblesses liées à la digitalisation du secteur

Lors du Forum international de la cybersécurité qui s’est déroulé à Lille du 7 au 9 septembre 2021, Guillaume Poupard, directeur général de l’ANSSI, n’a guère manié la langue de bois. Pour lui, « si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle ».

Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle.

Guillaume Poupard, directeur général de l’ANSSI

Au-delà de la punchline, plusieurs raisons font des hôpitaux des cibles « de choix ». D’abord, une faible maturité des équipes aux questions de cybersécurité. De nombreux hôpitaux ne disposent, par exemple, pas de chef de la sécurité informatique, et le personnel est peu sensibilisé. Dans un contexte budgétairement contraint, ce sujet n’est clairement pas la priorité. Pendant ce temps, les matériels vieillissent et se fragilisent.

La digitalisation du secteur ne serait pas étrangère à cette vulnérabilité croissante. D’autant qu’elle n’a pas nécessairement été accompagnée des couches de sécurité nécessaires. La multiplication des appareils d’imagerie médicale, le développement de la télémédecine et des téléconsultations, le recours au cloud notamment pour héberger les dossiers patients informatisés, la robotique médicale, la gestion des bâtiments et équipements connectés… Tous représentent autant de points d’entrée possibles pour des attaques. 

Des hackers opportunistes et efficaces

L’hôpital digital présente de nouvelles faiblesses potentielles, tandis que, de leur côté, les hackers redoublent d’ingéniosité. Car, de l’avis de tous les cyberspécialistes, les attaques sont toujours plus sophistiquées. 

Certaines d’entre elles ont ainsi recours au machine learning : un logiciel malveillant est désormais capable de s’adapter à son environnement, pour passer complètement inaperçu et indétectable jusqu’à ce qu’il passe à l’action. Sur le sujet des ransomwares, les hackers sont capables d’organiser simultanément une fuite de données et une paralysie des systèmes, pour tenter d’obtenir plus facilement le paiement de rançons. 

Des vulnérabilités combinées à une montée en gamme des hackers : le cocktail est explosif pour l’hôpital.

Les hôpitaux français sont de plus en plus vulnérables aux cyberattaques. Ici l’hôpital de la Pitié Salpêtrière.

Les hôpitaux sommés de passer des caps en matière de sécurité informatique

Aux grands maux, les grands remèdes. Le 19 février 2021, le président de la République, Emmanuel Macron, a annoncé que 350 millions d’euros seraient investis au travers du Ségur de la santé pour renforcer la sécurité cyber des hôpitaux.

Par ailleurs, la stratégie nationale pour la cybersécurité a attribué à l’ANSSI une enveloppe budgétaire pour renforcer la cybersécurité de l’État. Sur cette enveloppe, 25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits. Objectif : les accompagner dans leur démarche de cybersécurisation.

Dans un communiqué de presse, précisant les détails des aides allouées au secteur de la santé, le ministère des Solidarités et de la Santé estime que « face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé. Ainsi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité ».

Enfin, depuis le 1er septembre 2021, 135 établissements tels que des hôpitaux publics, des cliniques ou des prestataires assurant des services d’urgence (les plus importants de métropole et d’outre-mer) sont désignés « opérateurs de services essentiels ». En clair, ils doivent respecter des règles de sécurité informatiques plus strictes, et appliquer à leurs systèmes d’information de meilleures pratiques de cybersécurité. L’ANSSI veillera au grain. 

Lire aussi

« La nouvelle norme internationale de vidéosurveillance
pourrait être testée lors des JO de Paris 2024 »

Equipe de rameurs JO vue de haut
Technologie & Systèmes
7 octobre 2021

Et si les logiciels de vidéosurveillance pouvaient demain davantage communiquer avec ceux des services de sécurité pour améliorer la rapidité et l’efficacité opérationnelles ? Un groupe d’experts planche actuellement à la mise au point d’une norme internationale qui renforcerait l’interopérabilité des systèmes. Le Français Jean-François Sulzer, consultant spécialiste en conseil…

Quand la lutte antiterroriste fait sa révolution technologique

Le Palais Bourbon, assemblée nationale à Paris
Technologie & Systèmes
28 septembre 2021

Algorithmes surpuissants d’analyses des données numériques, big data, drones et vidéos intelligentes… Les services de renseignements et les industriels capitalisent sur les nouvelles technologies pour tenter d’éviter les attaques terroristes. En 2015, le talon d’Achille du traitement des données numériques  Les services de renseignements et de sécurité français sont hantés…

Ponts et viaducs sous haute surveillance
grâce à la sécurité high-tech

Le pont de Normandie en France
Technologie & Systèmes
21 septembre 2021

Voir l’invisible et déceler l’indétectable afin d’avoir toujours un temps d’avance. Les nouvelles technologies ouvrent des perspectives inédites pour limiter les risques et améliorer l’entretien des ouvrages d’art. Revue de détail. Quand la France découvre ses colosses aux pieds d’argile Le 14 août 2018, les images font le tour du…