Cybercriminalité au sein des hôpitaux : «  l’hygiène informatique des agents doit être irréprochable  »  

Depuis le début de la crise sanitaire, les structures hospitalières sont de plus en plus la cible de cyberattaquants. Comment s’en prémunir ? Comment agir une fois l’attaque effectuée ? Baptiste Le Coz, directeur général adjoint du SIB, acteur public du numérique au service de la santé et du secteur public, apporte son expertise sur cette problématique.  

Propos recueillis par Laure Martin (avril 2021).`

Les cyberattaques à l’encontre des hôpitaux font de plus en plus la Une. La hausse de ces attaques depuis la crise sanitaire est-elle réelle ?  

D’après les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les chiffres sont très clairs : nous sommes dans un contexte global d’augmentation des cyberattaques sur l’intégralité du périmètre des entreprises et instituts français. Cette augmentation est globale depuis de nombreuses années, mais elle a été multipliée par quatre depuis 2019, et plus particulièrement sur les hôpitaux.  

Comment s’explique-elle ?  

L’ensemble des organisations et notre vie quotidienne, sont de plus en plus numériques. De fait, le marché de la cybercriminalité en devient très rémunérateur. Le télétravail, le fait d’être plus à distance les uns des autres, d’échanger par email, a accéléré le mécanisme.   

Concernant les hôpitaux plus particulièrement, ils sont devenus des lieux stratégiques, et donc une cible intéressante pour les cyberattaquants, qui peuvent penser – même si ce n’est pas la doctrine en France – que les autorités seront plus enclines à payer une rançon d’autant plus dans ce contexte de crise sanitaire. Aujourd’hui, les données de santé sont de plus en plus convoitées, alors qu’auparavant, ce sont les données technologiques, commerciales et financières qui l’étaient. 

Quelles sont les conséquences de telles attaques pour le fonctionnement d’un hôpital  ? 

Généralement, les cyberattaques peuvent paralyser tout le système d’information de l’hôpital, car c’est 100 % du périmètre numérique qui peut être attaqué. Le système d’information d’un hôpital, c’est comme le système nerveux du corps humain : on peut avoir un grand nombre de médecins, de soignants, de blocs opératoires, de salles de réveil et de chambres, si aucune information ne circule entre tous ces composants, tout l’hôpital est paralysé. 

Néanmoins, les attaques peuvent avoir différents degrés. En général, le cyberattaquant ne maîtrise pas forcément tout le périmètre et la source d’entrée de la cyberattaque peut être multiple : il peut installer un ransomware sur un poste de travail via un mail infecté, il peut s’agir d’une faille sur un équipement de sécurité, d’un serveur mal paramétré qui laisse de manière induite des éléments exposés à des attaques, des infections via des clefs USB ou encore le cryptage du système d’information et sans la clef de décryptage, aucun accès au dossier patient, ni aux prescriptions, ni à la gestion des stocks de la pharmacie de l’hôpital n’est possible.

Le système d’information d’un hôpital, c’est comme le système nerveux du corps humain : on peut avoir un grand nombre de médecins, de soignants, de blocs opératoires, de salles de réveil et de chambres...  si aucune information ne circule entre tous ces composants, tout l’hôpital est paralysé.

Comment s’en prémunir ? 

Les soignants et les agents hospitaliers sont formés aux risques de maladies nosocomiales et à faire preuve d'une hygiène irréprochable. Il faut mettre en place le même type de formations dans le domaine informatique. L’hygiène doit, elle aussi, être irréprochable avec le recours à des mots de passe complexes modifiés régulièrement, non échangés. Il ne faut pas non plus utiliser de clefs USB dont on ne connaît pas la provenance, ni ouvrir des pièces-jointes avant de s’assurer que la personne qui les a envoyées est crédible. Les mesures et pratiques « d’hygiène informatique » font partie de la base de la sensibilisation du personnel hospitalier, ce qui permet de réduire les risques, même s’il faut avoir conscience qu’un attaquant qui souhaite « entrer » dans un hôpital va y parvenir. 

Comment agir en cas d’attaque ?  

Une fois attaqué, l’établissement peut mettre en œuvre des mesures préventives permettant de veiller à ce que si l’intégralité du système n’a pas été touché, les parties encore saines ne le soient pas. 

Ensuite, lorsqu’une structure est victime d’un piratage, avec une suspicion de vol de données, juridiquement, elle doit suivre une procédure avec notamment une déclaration à la Commission nationale de l'informatique et des libertés (Cnil), un dépôt de plainte et la nécessité de prévenir toutes les personnes dont les données ont été volées.  

D’un point de vue technique, comme pour les incendies, l’hôpital doit avoir élaboré un protocole, avec des étapes, pour que tout le cheminement soit prévu et que personne ne soit pris au dépourvu. Il faut mettre en place une cellule de gestion de crise et demander des soutiens. Il ne faut pas attendre d’être victime d’une cyberattaque avant de mettre en place un protocole et le tester.  

D’un point de vue technique, comme pour les incendies, l’hôpital doit avoir élaboré un protocole, avec des étapes, pour que tout le cheminement soit prévu et que personne ne soit pris au dépourvu.

Si les hôpitaux ne paient pas la rançon, comment s’en sortir ?  

En réinstallant tout le système d’information sur la base des sauvegardes, moyennant des semaines d’efforts avec éventuellement des pertes de données.

Aujourd’hui, sont-ils prêts à investir ?  

On constate une accélération de la prise de conscience du risque de cyberattaque. Tous les hôpitaux disposent désormais d'un Responsable de la sécurité des systèmes d'information (RSSI), et sont plus attentifs à cette problématique. C’est souvent au moment d’une crise que les personnes sont davantage sensibilisées.  

Néanmoins, encore faut-il qu’ils puissent investir. 

Les professionnels de santé libéraux peuvent-ils également être concernés par les cyberattaques ?  

Ils n’en sont pas exempts bien au contraire. On en parle moins, car lorsqu’un cabinet libéral en est victime, les dommages causés sont moins importants que pour un hôpital. Mais les professionnels libéraux doivent tout autant faire attention aux pièces-jointes, aux clefs USB ou encore à leur logiciel.