Pourquoi les hôpitaux français sont la cible de cyber-attaques

CYBER-SÉCURITÉ - Depuis le début de l’année 2021, un hôpital français est la cible chaque semaine d’une cyber-attaque, selon le secrétaire d’État chargé de la Transition numérique Cédric O. En pleine pandémie, le chiffre est particulièrement...

Pourquoi les hôpitaux français sont la cible de cyber-attaques

REJOINDRE L'ÉQUIPE DE RÉDACTION

Tu penses avoir un don pour la rédaction ?
Contacte-nous dès maintenant pour rejoindre notre équipe de bénévoles.

POSTULER

REJOINDRE L'ÉQUIPE DE RÉDACTION

Tu penses avoir un don pour la rédaction ?
Contacte-nous dès maintenant pour rejoindre notre équipe de bénévoles.

POSTULER

REJOINDRE L'ÉQUIPE DE RÉDACTION

Tu penses avoir un don pour la rédaction ?
Contacte-nous dès maintenant pour rejoindre notre équipe de bénévoles.

POSTULER

Pourquoi les hôpitaux sont autant visés par les cyber-attaques

CYBER-SÉCURITÉ - Depuis le début de l’année 2021, un hôpital français est la cible chaque semaine d’une cyber-attaque, selon le secrétaire d’État chargé de la Transition numérique Cédric O. En pleine pandémie, le chiffre est particulièrement alarmant et explique l’enveloppe d’un milliard d’euros pour renforcer la stratégie française de cyber-sécurité, annoncée ce jeudi 18 février par Emmanuel Macron. 

“Les cyberattaques de Dax et de Villefranche-sur-Saône confirment l’importance de prendre l’enjeu de la cybersécurité très au sérieux. Nous en avons fait une priorité”, a affirmé le président de la République, en confirmant l’augmentation des moyens alloués, notamment “dans le secteur sanitaire et médico-social”. En pleine pandémie, ces attaques constituent “une crise dans la crise”, a noté le chef de l’État.

L’exécutif a prévu d’affecter un milliard d’euros, dont 720 millions de fonds publics, pour renforcer la filière, l’aider à tripler son chiffre d’affaires (25 milliards d’euros en 2025) et doubler ses effectifs.

Particulièrement visibles et nombreuses depuis le début de l’épidémie, ces attaques dites “rançongiciels” (“ransomware” en anglais) à l’encontre des hôpitaux ne sont pas nouvelles. 

“Depuis 2016-2017, des groupes criminels derrière les ransomware se sont très fortement professionnalisés. Il faut imaginer des PME du cybercrime, qui brassent plusieurs dizaines de millions d’euros par an, voire plus que ça”, explique au HuffPost Laurent Besset, directeur cyber-défense de la société I-Traving, spécialisée en cyber-sécurité.

Plus professionnels, mieux organisés, les cyber-criminels multiplient donc les attaques, et choisissent de plus en plus souvent pour cibles des structures professionnelles: +25% pour les entreprises et +50% pour les collectivités sur l’année 2019-2020, selon le directeur général de la plateforme cybermalveillance.gouv.fr. 

Les rançons réclamées pour récupérer l’accès aux données varient: de quelques dizaines de milliers d’euros à près de deux cent mille pour les “petites” cibles, et jusqu’à plusieurs millions d’euros pour les plus grosses structures, explique Laurent Besset. 

Les hôpitaux sont “de bons clients” pour les cyber-criminels

Les hôpitaux, qui rentrent dans la catégorie la plus lucrative pour les cyber-criminels, sont particulièrement intéressants. “Leur dépendance au numérique, tout comme leur attrait pour les cybercriminels, sont avérés”, notait au mois de décembre 2020 l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dix jours après une attaque visant la chaine logistique de vaccins contre le Covid dans plusieurs pays européens.

“Déjà avant le Covid, les hôpitaux étaient d’assez bons clients”, précise notre expert. La raison? Tout d’abord, l’hôpital est une cible plus “facile” que d’autres, à cause du manque d’investissement dans la sécurisation des systèmes informatiques, lié évidemment à un manque de moyens financiers plus large.

“Quand un hôpital fait la répartition d’un budget déjà sous-tension, il aura des pôles plus importants que l’informatique, et au sein de l’informatique, il a sans doute des pôles plus importants que la sécurité”, avance Laurent Besset. 

Coralie Héritier, DG de la société IDNomic qui aide à équiper les entreprises à se protéger contre les cyber-attaques, abonde: “C’est vrai que le milieu de la santé est un secteur dans lequel nous sommes présent, mais pas autant que d’autres comme la défense ou le secteur bancaire. Il y a des progrès à faire en matière d’équipement et de formation, de pédagogie dans le milieu hospitalier”, relève-t-elle. Il y a déjà des actions qui sont faites mais étant donné l’évolution rapide des attaques, l’exposition de plus en plus grande, il faut intensifier cet équipement.”

À cet égard, elle se réjouit de l’investissement annoncé par Emmanuel Macron. “Cette annonce est une très bonne nouvelle. Cela va permettre à ceux qui étaient plus vulnérables parce que moins bien équipés de l’être mieux”, nous confie celle qui est aussi secrétaire générale de Hexastrust, panel qui regroupe plusieurs entreprises du secteur. Elle souligne cependant la nécessité de trouver un équilibre dans la répartition de ces fonds, pour les entreprises vulnérables mais aussi pour les fournisseurs chargés de les aider afin “qu’ils puissent proposer au plus grand nombre, des solutions qui soient facilement déployables.”

Payer ou ne pas payer? 

Les cyber-criminels disposent aussi d’un “levier supplémentaire” en s’attaquant à un hôpital, a fortiori lorsqu’ils sont sur-sollicités comme c’est le cas aujourd’hui: le temps et les répercussions humaines qu’une attaque peut engendrer.

Les hôpitaux qui refusent de payer la rançon sont contraints de reconstruire leur système informatique de zéro. Ce qui peut prendre entre deux et trois jours pour récupérer un accès basique, plusieurs semaines pour une récupération complète. Pendant cette période, l’hôpital fonctionne de façon dégradée, avec par exemple des difficultés d’accès à certains matériels d’imagerie médicale, une communication entre services ralenties, l’affectation des lits et des médecins rendue plus compliquée. Un luxe que le secteur hospitalier ne peut pas toujours se payer. 

Les hôpitaux, comme toutes les administrations, ont “pour consigne stricte de jamais payer” de rançons, a rappelé l’Élysée mercredi. Aucune donnée officielle ne permet donc d’évaluer la part des entreprises qui cèdent aux cyber-criminels. 

Selon Laurent Besset, les entreprises et institutions se divisent sur ce point en deux catégories. Celles qui, pour des raisons éthiques, refusent de payer et donc de financer la cyber-criminalité, et d’autres qui “se posent la question de manière purement pragmatique et se demandent ce qui leur coûte le moins cher au final.” Et le coût financier n’est pas le seul à entrer en ligne de mire. “Dans le cadre de l’hôpital, les risques et les impacts redoutés ne sont pas que financiers, ils sont aussi humains”, souligne le responsable de I-tracing.

À voir également sur Le HuffPost: Comprendre enfin ce qu’est une cyberattaque grâce à un hacker cagoulé