Cyberattaques contre les hôpitaux : que cherchent les pirates ?

France – Rien qu’en 2020, 27 cyberattaques majeures ont touché les établissements de santé français, selon le secrétaire d'État à la transition numérique Cédric O. Jamais les hôpitaux français n’avaient connu autant d’attaques. Qui sont ces cybercriminels ? Quelles sont leurs motivations ? Pourquoi les hôpitaux sont-ils devenus une cible privilégiée pour les cybercriminels ? Que font-ils des données de santé ? Quelles peuvent êtres les conséquences et les risques pour les patients ? Medscape France a contacté deux experts en cybersécurité pour répondre à ces questions.

Des motivations principalement économiques

« Aujourd’hui encore, nous avons 9 000 dossiers administratifs pour lesquels nous ne pouvons pas relier les comptes-rendus et les images médicales ! Cette cyberattaque nous handicape donc encore neuf mois plus tard… », expliquait fin avril à actu.fr Philippe Meyer, le directeur du Centre hospitalier intercommunal Marmande Tonneins (47), victime d’une cyberattaque à l'été 2020. Situation similaire à l’hôpital de Dax, où des pirates ont détruit le système informatique de l’établissement le 9 février dernier, si bien que les services étaient encore paralysés deux mois après. Des cyberattaques qui ont également touché récemment les hôpitaux de Villefranche-sur-Saône et de Saint-Gaudens, mais aussi de l’Assistance Publique-Hôpitaux de Paris (AP-HP).

Que se cache t-il derrière la multiplication les attaques de rançongiciels, ces logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès ? Selon Laurent Besset, directeur cyber-défense de la société I-Tracing, spécialisée en cybersécurité, la logique du pirate informatique est purement économique. « Ce sont des gens qui essayent de développer un business model pour optimiser leurs revenus. Les groupes « d’attaquants » sont devenus aujourd’hui de grosses PME ». Leur chiffre d’affaires dépasserait parfois 100 millions par an, selon le spécialiste qui précise que les hôpitaux sont confrontés à des pirates « de plus en plus professionnels, de mieux en mieux financés, qui lancent de plus en plus d’attaques pour gagner de plus en plus d’argent. »

Quand la rançon n’est pas payée, comme l’exige la loi française pour ne pas encourager les attaques, certains cybercriminels tentent de s’emparer des données médicales des patients qui s’échangeraient autour de 250 euros l’unité au marché noir. « C’est la pierre angulaire vers d’autres criminalités, comme l’usurpation d’identité, fausse déclaration, accès aux coordonnées bancaires, escroquerie… », expliquait à France Inter Stéphane Duguin, président du CyberPeace Institute, qui a publié un rapport sur le risque des cyberattaques dans le domaine de la santé.  Mais la revente de données est rarement « le plan A », car « cela ne rapporte pas beaucoup aux pirates, selon Laurent Besset. En général, ils revendent les données pour compenser le fait que les rançons n’aient pas été payées, voire pour se procurer un revenu complémentaire. »

Chantage à la divulgation de données

La revente des données médicales est également un niveau de pression supplémentaire exercé sur les hôpitaux, selon Bruno Halopeau, directeur de la technologie au CyberPeace Institute. Une stratégie qui « vise à faire passer le message suivant : « Je détiens vos données. Si vous ne payez pas la rançon, je vais les vendre ou les publier sur le darknet ». Les cybercriminels ont vu que c’était très rentable, donc, désormais, plus de 50 % des attaques font de la double extorsion des données ». Ce qui signifie qu’ils ne se contentent plus de les chiffrer, mais qu’ils menacent de divulguer ou de vendre les plus sensibles. Certains optent également pour une triple extorsion des données, poursuit Bruno Halopeau : « Ils vont regarder à l’intérieur des données, et s’ils trouvent le numéro de téléphone ou l’e-mail du patient, ils vont le contacter pour lui dire : « On a exfiltré les données d’un hôpital. Si vous payez, on les supprime, sinon, on les publie sur le darknet et on les vend. » »

Hôpitaux : un secteur d’activité où la sécurité est moins bien développée…

Dans ce monde là, les hôpitaux sont considérés comme des cibles de choix. Tout d’abord parce qu’ils sont « à la bonne taille pour être la cible du gros des attaques », explique Laurent Besset. Selon lui, les cyberattaques majeures qui réclament des rançons de dizaines millions de d’euros (les pirates du groupe REvil ont demandé 50 millions de dollars à un sous-traitant d’Apple ) sont « la tête de pyramide, une sorte de vitrine » qui cache un véritable processus industriel. Car ces mêmes groupes de rançongiciel « attaquent en parallèle un maximum de petites et moyennes structures, hôpitaux français inclus. Ils jouent également sur le volume, demandent une rançon plus réduite (de quelques dizaines de milliers d’euros à quelques centaines de milliers d’euros) pour augmenter leurs chances de se faire payer », selon l’expert en cybersécurité.

Si les attaques sur les hôpitaux se multiplient, c’est aussi parce que les cybercriminels, en quête d’un maximum de profit, vont cibler en priorité « les secteurs d’activité où la sécurité est un peu moins bien développée, où il y a peu de risque pour eux et où ils peuvent agir avec une impunité quasi-totale », explique Bruno Halopeau. Ce qui est justement le cas du secteur de la santé qui cumule les points de vulnérabilité : vétusté des systèmes d'information, infrastructures informatiques fragiles, sous-investissement en matière de cybersécurité, difficultés à recruter des spécialistes en cyber-sécurité…

« Jusqu’à récemment, l’informatique et la cybersécurité n’étaient pas la priorité des hôpitaux : leur parc informatique est vieillissant et manque d’investissement depuis plusieurs années, leur matériel n’est pas forcément à jour et bien sécurisé », confirme Laurent Besset. À titre d’exemple, quand un hôpital achète un scanner ou des pompes à insuline rattachés à un réseau, « si les mises à jour « sécurité » et « système » ne sont pas effectuées, cela crée un point d’entrée, une vulnérabilité », complète Bruno Halopeau.

…mais où le fonctionnement en continu est indispensable

Autre fragilité du secteur hospitalier : « il ne peut pas se permettre de s’arrêter de fonctionner », poursuit Laurent Besset. En effet, quand le système informatique d’un hôpital est mis à plat, « le risque est beaucoup plus important en termes de dégâts engendrés (pertes de chances, déprogrammations, etc. NDLR) que pour une petite PME industrielle française. » D’autant plus que les établissements mettent en général quelques jours pour retrouver leurs services essentiels, voire beaucoup plus pour retrouver un fonctionnement à peu près normal. Il s’agit donc d’un levier de pression supplémentaire qui pousse les hôpitaux à payer et à résoudre les problèmes rapidement. En particulier en période de pandémie, car, « quand les urgences et les services de réanimation sont remplis à ras bord, si l’informatique ne fonctionne pas, les hôpitaux sont encore plus pénalisés. Donc, ils seront plus enclins à payer la rançon », considère Laurent Besset.

La généralisation du télétravail durant la crise sanitaire a également facilité les attaques des cybercriminels qui, parfois, ont la possibilité de se connecter aisément à distance. « Certaines solutions de télétravail n’ont pas été suffisamment testées et rodées avant d’être mises en place, explique Bruno Halopeau qui rappelle que les cybercriminels « se focalisent sur ces portes d’entrée potentielles pour trouver un login et mot de passe, avant de les vendre à des groupes de rançongiciel pour qu’ils puissent se connecter à distance et injecter le logiciel malveillant (malware) ». 

Nécessité d’investir dans la cybersécurité

Telles sont les raisons pour lesquelles les établissements doivent aujourd’hui investir plus dans la cybersécurité, estime Bruno Halopeau : « Les acteurs du secteur la santé ont tendance à sous-investir dans la cybersécurité qui représente en moyenne entre 4 à 7 % du budget informatique annuel, contre environ 15 % tous secteurs confondus. » Un investissement qui permettrait non seulement d’éviter les attaques de rançongiciel et la revente de données. Mais bénéficierait aussi aux patients qui, par exemple, ne seraient pas victimes d’interruption de service.

Selon Laurent Besset, le plan annoncé par Emmanuel Macron en février dernier (un milliard d'euros destiné à renforcer la cybersécurité) va donc « dans le bon sens ». Celui-ci va en effet « aider les hôpitaux à faire plus et mieux en termes de cybersécurité, à avoir un parc informatique plus moderne, plus à jour, mieux configuré ». Mais cela « ne suffira pas de mettre en place des solutions techniques pour complexifier le travail de l’attaquant. Il faudra aussi du personnel compétent pour surveiller et contrôler en temps réel le système d’information. Pour, en cas d’attaque, être capable d’y mettre fin rapidement. » Ce qui sera synonyme de vies sauvées pour l’hôpital. « Quand le système informatique d’un hôpital est HS, cela peut aller jusqu’au décès des patients », rappelle Laurent Besset, comme en septembre 2020, où une patiente est morte après la cyberattaque de l'hôpital de Düsseldorf.

 

Actualités Medscape © 2021 WebMD, LLC

Citer cet article: Cyberattaques contre les hôpitaux : que cherchent les pirates ? - Medscape - 2 juin 2021.