Samedi 3 décembre 2022 à l'hôpital André Mignot de Versailles, dans les Yvelines. Un groupe de hackers parvient à s'introduire dans le système de l'établissement et paralyse son fonctionnement. Le lendemain, l'hôpital déclenche son plan blanc, déprogramme partiellement les activités du bloc opératoire et «met tout en œuvre» pour maintenir les soins ambulatoires et les consultations, détaillait alors l'ARS. «Une rançon, dont je ne connais pas le montant, a été demandée mais nous n'avons pas l'intention de la payer», assurait de son côté Richard Delepierre, coprésident du conseil de surveillance de l'établissement et maire du Chesnay-Rocquencourt, alors que le parquet de Paris ouvrait dans le même temps une enquête préliminaire pour tentative d'extorsion, accès et maintien dans un système numérique mis en œuvre par l'Etat, introduction de données et entrave à ce système, le tout en bande organisée.
Selon son coprésident, lundi, soit deux jours à peine après l'attaque, les urgences fonctionnaient à «50%» et la maternité était «réduite au tiers de sa capacité», mais «l'essentiel des rendez-vous et des opérations de la journée en ambulatoire étaient réalisés». En tout, six transferts de patients avaient été organisés depuis samedi soir vers des établissements franciliens, dont trois adultes du service de réanimation et trois nouveaux-nés du service de néonatalogie. L'attaque faisait dire à Richard Delepierre : «On est en face d'une nouvelle manière de faire la guerre. Ce n'est pas une attaque isolée, il s'agit d'une opération de la même nature que l'attaque visant l'hôpital de Corbeil».
Pourquoi les hackers s'intéressent-ils depuis quelques années aux hôpitaux ? D'après François Ehly, associé au sein du cabinet Almond, consacré à la gestion des risques et conformité, la réponse tient en très peu de mots : les hôpitaux constituent «des cibles faciles». «Leurs systèmes complexes sont le fruit d'empilement de systèmes d'informations sur trente ans. Cette très forte hétérogénéité rend ces établissements vulnérables à une attaque. S'il fallait une image pour simplifier : lorsqu'on rentre par un petit coin, il est facile pour un hacker de se latéraliser, c'est à dire de s'introduire un peu partout dans le système», résume François Ehly. Force est de constater que les attaques d'ampleur sont à la fois «plus nombreuses» et «plus médiatisées» aujourd'hui. «On peut parler d'une montée en charge depuis l'attaque de l'hôpital de Rouen en 2019».
On est en face d'une nouvelle manière de faire la guerre.
Groupes de pirates, copycats...
Les hackers ont des intérêts très divers détaille l'expert : certains groupes de pirates «sont motivés par l'argent», certains «ont des motivations plus incertaines (coups de semonce...)», d'autres sont ce qu'on appelle des «copycats», soit de simples imitateurs qui réalisent une attaque pour copier les méthodes d'autres criminels et motivés par l'appât du gain.
Malgré tout, le vol des données d'un établissement de santé est «principalement motivé par l'argent», rappelle François Ehly. Plusieurs méthodes existent : «soit le recel (le fait de dissimuler, de détenir ou de transmettre des données, ou de faire office d'intermédiaire afin de les transmettre, en sachant que celles-ci proviennent d'un crime ou d'un délit) de données informatiques (données d'identité qui permettent par exemple de se faire passer pour quelqu'un d'autre, données bancaires,...), soit la revente directe sur le marché noir de la donnée (connaître par exemple des informations médicales sur une personne atteinte d'un cancer très agressif, permet, profitant de sa vulnérabilité, de lui proposer des traitements miracles)». Troisième intérêt enfin : «faire chanter les établissements menacés de voir révélées leurs données sauf à ce qu'ils paient une rançon. En réalité, la politique dans ce domaine est de ne jamais payer de rançon car aucune assurance n'est jamais acquise de voir les données détruites ou restituées».
Les humains sont la première et la dernière ligne de défense face aux attaques.
Se protéger
Peut-on se protéger contre ces attaques ou du moins en limiter la portée ? «Oui, et c'est valable pour tous les établissements, pas seulement de santé», souligne François Ehly. «D'abord, veiller à avoir des sauvegardes que l'on ne peut pas effacer. Des golden copy, c'est à dire derrière un mur infranchissable ou encore une sauvegarde chez un prestataire externe (les pirates devraient attaquer deux établissements, ce qui limite grandement la manoeuvre). Ces sauvegardes permettront, en cas de scénario du pire, de restaurer les données, les serveurs ou les systèmes».
On peut évaluer à 30% environ les hôpitaux déjà bien équipés, il reste donc des efforts à faire, selon l'expert. «Ensuite, il faut procéder à des inventaires minutieux de façon à traiter les vulnérabilités, afin de s'assurer qu'il n'y ait pas d'obsolescence des systèmes. Enfin, et c'est relativement facile à faire, il faut sensibiliser tous les acteurs, tous les agents d'une entreprise à ces risques. Les humains sont la première et la dernière ligne de défense face aux attaques, il ne faut donc pas prendre ce troisième point à la légère. Ne pas réutiliser son mot de passe, ne pas partager son identité ou ses mots de passe, ne surtout pas cliquer sur les multiples liens ou mails frauduleux (on parle de 'doute raisonnable')... Cette vigilance de chacun diminue sensiblement les risques (entre 70 et 90% quand même !) et les portes d'entrée des pirates dans le système. Il s'agit d'une 'hygiène informatique' de base, de bonnes pratiques qu'il faut partager afin de devenir des acteurs de la sécurité».
PUERICULTURE
« Puéricultrice est l’un des seuls métiers infirmiers à la fois médical et médico-social »
DOSSIER
Infirmiers militaires, soignants de tous les fronts
RISQUES PROFESSIONNELS
Loi Rist : quels risques pour les IPA en termes de responsabilité médicale ?
VIDEO
"Vu de l’intérieur" : au cœur d’un service de grands brûlés - Episode 2