Vous êtes ici
18/02/21
10:02

Cybersécurité dans les hôpitaux : “Les budgets ne sont pas au rendez-vous”

Confronté à une intensification des cyberattaques depuis 2019, le système de santé français ne possède pas d’outils de sécurité et une culture du numérique suffisants pour y faire face. Mais une prise de conscience s’opère pour Vincent Trély, expert en cybersécurité dans le domaine de la santé.

[ Plein écran ]

Les pirates informatiques derrière ces attaques opèrent principalement depuis la Russie, la Chine, la Corée du Nord ou encore certains pays de l'Europe de l'Est. © Valentin Bechu

Victime d’une cyberattaque, l’hôpital de Villefranche-sur-Saône a dû reporter les opérations non urgentes le 16 février. Ce centre de santé est loin d’être le seul à avoir subi les assauts des pirates informatiques cette année : “il y en a eu une par semaine”, a indiqué Cédric O, le secrétaire d'Etat à la transition numérique, devant les sénateurs le 17 février. Une fréquence particulièrement soutenue puisqu’en France, “27 attaques majeures d'hôpitaux” ont été dénombrées toujours selon Cédric O. En pleine crise sanitaire, ces données inquiètent et questionnent l’action des pouvoirs publics en matière de cybersécurité. 

Vincent Trély, président-fondateur de l’Apsiss, association qui fédère les experts en cybersécurité dans le domaine de la santé, intervient en amont auprès des hôpitaux afin de renforcer leur sécurité informatique et prévenir toute cyberattaque. Il décrypte le phénomène pour Cuej.info. 

Quel genre de piratage informatique est en cause ? 

Ce dont on parle beaucoup depuis un peu plus de trois ans, ce sont des “rançongiciels” ou “cryptovirus”. Il s’agit de virus qui se diffusent essentiellement par mail. Si une personne clique sur le lien contenu dans le courrier électronique, le logiciel malveillant se déclenche et va chiffrer les données de l’hôpital. Si les serveurs centraux sont atteints, plus personne n’a accès à rien. Les médecins, les infirmières n’ont plus accès aux résultats des scanners, radios... ce qui crée la panique. Ensuite, une demande de rançon se déclenche avec tout un protocole : comment acheter des bitcoins puis payer sur le darknet. Pour retrouver les accès, il faut récupérer la clef de chiffrage des données détenue par les pirates. Il faut bien différencier ce type de piratage de l’exfiltration de données. Là, les données sont vraiment récupérées par les pirates et vendues sur le darknet ensuite. L’exfiltration est bien plus compliquée à mener qu’un rançongiciel. 

Et les hôpitaux paient ?

À ma connaissance, non. Les directives du ministère de la Santé et de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sont assez claires. Et ce pour deux raisons principales. D’abord, parce qu’on n’a pas l’assurance de récupérer la clef de chiffrage. Ensuite, car c’est un peu la dynamique des prises d’otage, si on commence à payer, les attaques se multiplieraient par la suite. Après, des directeurs de maisons de retraites ont témoigné avoir cédé et payé. Énormément de collectivités territoriales sont touchées également et des mairies ont versé les sommes.

Les attaques sont-elles ciblées ? 

Parfois c’est ciblé, parfois c’est le hasard. Ce n'est jamais évident de savoir. Le pirate a une liste de plusieurs dizaines de milliers de mails, et il envoie son virus dans la nature et un moment ça tombe. 

Les hôpitaux sont-ils des cibles privilégiées car particulièrement vulnérables  ? 

Disons qu’on a deux mondes. Un premier monde qui a connu des ennuis importants et, à coup de millions d’euros, est arrivé à un haut niveau de cybersécurité. Il s’agit notamment des grosses entreprises du secteur tertiaire : banque, assurance etc. Et un deuxième monde où toutes ces questions sont plus récentes et dont font partie les hôpitaux, mais aussi les services publics en général, à l’exception de l’armée bien sûr. Ce monde est plus vulnérable. Dans les hôpitaux, on a une cohabitation de matériel récent et très ancien. On a encore des postes Windows XP ! Les pirates vont là où c’est le plus simple et ce sont plutôt les facs, les villes, les hôpitaux, les universités… 

Quels sont les manques dans la cybersécurité dans les hôpitaux ? 

Déjà, dans la santé, on parle de cybersécurité depuis 2012 seulement. De plus, on évolue dans un environnement budgétaire contraint. Quand un directeur d’hôpital a le choix entre un nouveau bloc opératoire ou dépenser dans la sécurité informatique, et bien il va privilégier le bloc plutôt que des outils de sécurité contre des attaques qui pourraient ne jamais arriver. Les budgets ne sont pas au rendez-vous. On alloue entre 1,2 et 2% des budgets globaux à l’informatique alors que les pays comme les Etats-Unis ou les Pays-Bas y dédie entre 5 et 6%.

Au-delà des moyens techniques, il s’agit aussi de développer une culture de la cybersécurité...

Clairement. Le premier point pour se protéger c'est d’avoir des systèmes modernes, un parc informatique mis à jour en permanence notamment. Un travail sur l’humain est aussi nécessaire. Par exemple, on a toujours du mal à faire passer l’idée d’avoir des mots de passe à huit caractères renouvelés régulièrement. Le DSI (Directeur des systèmes d’information, NDLR) ne pèse pas lourd contre un chef de pôle réticent à certaines opérations : changer de mot de passe, ne pas renvoyer ces mails sur son téléphone, verrouiller son poste etc. Le DSI est encore vu comme l’emmerdeur. 

Et il y a-t-il une prise de conscience de ces enjeux ? 

Ça vient à coup d’incidents. La ministre, Agnès Buzyn à l’époque, a consacré un discours sur le sujet pour la première fois après l’attaque du CHU de Rouen en novembre 2019. La cybersécurité y était définie comme priorité nationale. Maintenant, on a des programmes de subvention numérique qui obligent les hôpitaux à prouver leur engagement en la matière pour toucher des subventions. On a grandement avancé, mais on est encore au milieu du guet. 

Sait-on qui ils sont et quelles sont motivations des pirates ? 

Les pirates, leur motivation, c’est l’argent. Globalement, ce sont des gens calés en informatique qui proviennent de pays étrangers : Russie beaucoup, un peu Chine, Corée du Nord et des pays d’Europe de l’Est. Des endroits où ils jouissent d’une forme d’impunité. Comme il n’est pas si difficile d’utiliser certains rançongiciels, des personnes provenant de la délinquance traditionnelle peuvent s’essayer aux cyberattaques pour gagner de l’argent en prenant moins de risques qu’avec un braquage ou le trafic de drogue, mais c’est plus rare. 

Valentin Bechu

Imprimer la page

Fil info

14:19
France

Pyrénées espagnoles : deux randonneurs toulousains d'une soixantaine d'années sont morts de froids dans la vallée de Boi

14:11
France

Deux membres de l'ambassade de France à Bamako libérés ce vendredi, après avoir été soupçonnés d'espionnage

14:07
France

Loire : un père de famille soupçonné d'avoir défenestré ses deux fillettes, dont le pronostic vital est engagé

13:48
France

Rentrée politique ce soir pour Edouard Philippe lors des journées parlementaires de son parti Horizons

13:25
France

L'objectif de 500 maisons sport-santé en France sera atteint "à la fin de l'année", promet le ministre de la santé, François Braun

11:29
France

Emploi : 50 000 postes vacants dans le secteur de l'aide aux personnes âgées, sur 850 000 travailleurs

11:21
France

L'ancien ministre de l'Intérieur et maire de Lyon Gérard Collomb annonce souffrir d'un cancer de l'estomac

10:52
France

Une mission du Sénat propose d'interdire la consommation d'alcool pendant la chasse

10:03
France

Covid : le nombre de cas bondit de 67 % en une semaine

09:58
France

Grève des contrôleurs aériens : au moins 1000 vols annulés aujourd'hui

17:59
France

Retraites : Emmanuel Macron assure vouloir mener la réforme des retraites « par la concertation et en cherchant les compromis »

17:24
France

L’eau du robinet sous surveillance renforcée dans 45 communes des Hauts-de-France pour analyser la présence de pesticides

17:00
France

Les femmes toujours sous-représentées parmi les créateurs d’entreprises en France, d’après une étude de l’Insee

16:17
France

Hérault : l’ex-médecin-chef des sapeurs-pompiers mis en examen pour agression sexuelle après 24 heures de garde à vue

15:43
France

Face à l'inflation, les maires de France craignent de pas pouvoir assurer les missions de service public qui incombent aux municipalités

15:17
France

Un millier de vols seront annulés en France vendredi suite à une grève des contrôleurs annonce l'aviation civile

15:08
France

Au procès en appel des attentats de Charlie Hebdo de janvier 2015, Riss défend la publication des caricatures de Mahomet

15:00
France

Politique : les Républicains sont à la recherche d’un nouveau président, Eric Ciotti, Bruno Retailleau et Aurélien Pradié partent favoris

14:43
France

Nouvelle-Calédonie : une réunion entre les loyalistes, indépendantistes et l’État aura lieu en octobre sur l’avenir institutionnel du pays

14:21
France

Les écologistes considèrent la suspension de la parution du livre de Guillaume Meurice moquant Vincent Bolloré comme de la « censure »