Panique à l’hôpital de Dax : depuis lundi, l'établissement est paralysé par une cyberattaque de grande ampleur. Les hackers ont pris le contrôle des serveurs et demandent une rançon pour rendre l’accès aux données. Tout fonctionne au ralenti, impossible, par exemple, pour le personnel d’accéder aux mails ou de lire les dossiers numériques des patients. Ce n’est pas un cas isolé : les cyberattaques contre les hôpitaux se multiplient en France. Europe 1 a enquêté sur ce phénomène nouveau contre lequel les acteurs de la cybersécurité, publics et privés, tentent de s'organiser.
Pourquoi les hôpitaux sont-ils de plus en plus ciblés ?
Un chiffre illustre bien ce phénomène : +500% en un an, dans le monde, pour les cyberattaques visant des établissements de santé, selon le cabinet PwC. La France n'échappe pas à cette hausse notable. Comme partout ailleurs, pendant longtemps, les hôpitaux étaient épargnés par les cybercriminels qui ciblaient plutôt les particuliers et les entreprises. La première grosse alerte, en France, a été l'attaque visant le CHU de Rouen en novembre 2019. Mais le point de bascule, c’est le début de la crise du Covid. L’AP-HP a été visée pendant le premier confinement et depuis, les cyberattaques sont de plus en plus fréquentes.
"Les attaques informatiques, en particulier celles contre les hôpitaux, c'est une question d'opportunité. On est dans une période de pandémie globale, les hôpitaux sont surchargés et ça en fait des cibles faciles pour les hackers", explique Thomas Roccia, chercheur pour le spécialiste de la cybersécurité McAfee. De fait, quand les services de réanimation sont saturés, effectuer régulièrement les mises à jour informatiques est un peu le cadet des soucis pour le personnel. "Il y a une barrière psychologique qui est tombée, comme s'il n'y avait plus de limites pour les cybercriminels", estime Cyrille Politi, conseiller numérique de la Fédération hospitalière de France.
Qui sont les hackers qui attaquent les hôpitaux ?
Ces attaques sont menées par "des équipes de cybercriminels, très organisées, méthodiques", précise Orange Cyberdéfense, la division cybersécurité de l'opérateur, leader européen du secteur, contactée par Europe 1. "Dans certains cas, ces équipes sont directement liées à la criminalité classique. Dans le cas de Dax, la méthode est utilisée est connue depuis des années, on sait qu'elle est prisée de groupes d'Europe de l'Est." Le but est pratiquement toujours le même : l'argent. "Le montant des rançons tourne autour de dizaines voire de centaines de milliers d’euros", selon Orange Cyberdéfense.
La méthode la plus courante est celle du "rançongiciel". Par divers biais (pièce jointe dans un mail, clé USB infectée, lien corrompu…), les hackers se créent une porte d'entrée sur un ordinateur. De là, ils accèdent au serveur de l'hôpital et chiffrent l'intégralité des données. Elles ne sont pas supprimées, juste rendues inaccessibles. Comme si un cambrioleur s'introduisait chez vous en votre absence, changeait la serrure de la porte d'entrée et n’acceptait de vous donner la clé qu’en échange d’une rançon. "Parfois, ils s'infiltrent en plusieurs heures, parfois en plusieurs semaines pour faire encore plus de dégâts", explique-t-on chez Orange Cyberdéfense.
Quelles sont les conséquences des cyberattaques ?
Pour les établissements visés, les effets néfastes sont parfois considérables : impossibilité de consulter les dossiers des patients, report d’opérations, voire dans les cas les plus graves, transfert de malades vers d’autres établissements. Pour l'instant, en France, on constate surtout les conséquences les moins graves. "Ce sont surtout des serveurs bloqués donc des fichiers inaccessibles", d'après Cyrille Politi, de la Fédération hospitalière de France. Dans ce genre de cas, il faut tout de même une à deux semaines pour reprendre la main sur les serveurs et plusieurs semaines, voire plusieurs mois pour reconstruire tout le système informatique.
L'importance croissante de la santé connectée, avec de l'informatique qui s'infiltre jusque dans les salles d'opérations, implique que le risque va devenir exponentiel pour les prochaines années. "Avec la 5G et les objets connectés, il y aura plus d'attaques", avance Philippe Trouchaud, responsable des activités de cybersécurité chez PwC France. "On ne peut pas aller contre cette numérisation, il faut donc apprendre à vivre avec cette nouvelle délinquance et être toujours plus rigoureux sur la maintenance des systèmes informatiques."
Les hôpitaux sont-ils armés pour faire face aux attaques ?
Les hôpitaux français ne sont pas plus ou moins sécurisés que ceux des pays voisins. Le problème tient plutôt au manque de moyens humains et financiers alloués à la sécurité informatique. "C'est un budget trop souvent négligé. Il faut des postes à temps plein pour la maintenance. Acheter du matériel c'est une chose mais l'essentiel c'est de faire les mises à jour régulièrement. Les gens l'oublient trop souvent", souligne-t-on chez Orange Cyberdéfense. "Mises à jour et mots de passe robustes, c'est la base. 99,9% des attaques pourraient être évitées avec une meilleure 'hygiène informatique'", insiste Philippe Trouchaud de PwC.
Le problème, c'est que chaque hôpital s'organise dans son coin. Et tout le monde ne suit pas le rythme des hackers. "On joue au chat et à la souris. On se fait pirater, on trouve une solution pour se protéger puis les hackers trouvent une nouvelle technologie ou une nouvelle faille", soupire Cyrille Politi. "On utilise tellement de logiciels. On fait les mises à jour mais, parfois, elles comportent des failles que même l'éditeur ne connaît pas. Il est arrivé que Microsoft découvre des failles dans ses logiciels alors qu'elles étaient utilisées par les pirates depuis des mois."
Que fait la France pour contrer les cyberattaques ?
La France n'est pas à la traîne en matière de cybersécurité, loin de là. L'Agence nationale de sécurité des systèmes informatiques (ANSSI) est considérée comme une pointure en Europe avec des centaines de spécialistes dans ses rangs, notamment d’anciens hackers. Elle intervient à chaque cyberattaque grave, principalement quand l’État est directement visé, mais aussi pour aider des entreprises stratégiques. Une équipe a été dépêchée à Dax pour accompagner les équipes de l'hôpital. Dans certains cas, l’Anssi s’appuie aussi sur des acteurs privés, notamment Orange Cyberdéfense. "Avec les hôpitaux, une partie du travail se fait en amont pour renforcer les défenses", précise l'entreprise.
"Les outils déployés par la France font partie des plus poussés au monde", estime Philippe Trouchaud, responsable des activités de cybersécurité chez PwC France. Reste le facteur humain, incontrôlable : une pièce jointe ouverte par mégarde, un accès donné aux mauvaises personnes, etc. Pour éviter ces erreurs, le cabinet dispense des formations aux dirigeants d'établissements de santé. "Il faut sensibiliser tous les acteurs aux bonnes pratiques en matière de cybersécurité, ce sont des gestes simples qui peuvent faire une grande différence."