Vous êtes ici
18/02/21
10:02

Cybersécurité dans les hôpitaux : “Les budgets ne sont pas au rendez-vous”

Confronté à une intensification des cyberattaques depuis 2019, le système de santé français ne possède pas d’outils de sécurité et une culture du numérique suffisants pour y faire face. Mais une prise de conscience s’opère pour Vincent Trély, expert en cybersécurité dans le domaine de la santé.

[ Plein écran ]

Les pirates informatiques derrière ces attaques opèrent principalement depuis la Russie, la Chine, la Corée du Nord ou encore certains pays de l'Europe de l'Est. © Valentin Bechu

Victime d’une cyberattaque, l’hôpital de Villefranche-sur-Saône a dû reporter les opérations non urgentes le 16 février. Ce centre de santé est loin d’être le seul à avoir subi les assauts des pirates informatiques cette année : “il y en a eu une par semaine”, a indiqué Cédric O, le secrétaire d'Etat à la transition numérique, devant les sénateurs le 17 février. Une fréquence particulièrement soutenue puisqu’en France, “27 attaques majeures d'hôpitaux” ont été dénombrées toujours selon Cédric O. En pleine crise sanitaire, ces données inquiètent et questionnent l’action des pouvoirs publics en matière de cybersécurité. 

Vincent Trély, président-fondateur de l’Apsiss, association qui fédère les experts en cybersécurité dans le domaine de la santé, intervient en amont auprès des hôpitaux afin de renforcer leur sécurité informatique et prévenir toute cyberattaque. Il décrypte le phénomène pour Cuej.info. 

Quel genre de piratage informatique est en cause ? 

Ce dont on parle beaucoup depuis un peu plus de trois ans, ce sont des “rançongiciels” ou “cryptovirus”. Il s’agit de virus qui se diffusent essentiellement par mail. Si une personne clique sur le lien contenu dans le courrier électronique, le logiciel malveillant se déclenche et va chiffrer les données de l’hôpital. Si les serveurs centraux sont atteints, plus personne n’a accès à rien. Les médecins, les infirmières n’ont plus accès aux résultats des scanners, radios... ce qui crée la panique. Ensuite, une demande de rançon se déclenche avec tout un protocole : comment acheter des bitcoins puis payer sur le darknet. Pour retrouver les accès, il faut récupérer la clef de chiffrage des données détenue par les pirates. Il faut bien différencier ce type de piratage de l’exfiltration de données. Là, les données sont vraiment récupérées par les pirates et vendues sur le darknet ensuite. L’exfiltration est bien plus compliquée à mener qu’un rançongiciel. 

Et les hôpitaux paient ?

À ma connaissance, non. Les directives du ministère de la Santé et de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sont assez claires. Et ce pour deux raisons principales. D’abord, parce qu’on n’a pas l’assurance de récupérer la clef de chiffrage. Ensuite, car c’est un peu la dynamique des prises d’otage, si on commence à payer, les attaques se multiplieraient par la suite. Après, des directeurs de maisons de retraites ont témoigné avoir cédé et payé. Énormément de collectivités territoriales sont touchées également et des mairies ont versé les sommes.

Les attaques sont-elles ciblées ? 

Parfois c’est ciblé, parfois c’est le hasard. Ce n'est jamais évident de savoir. Le pirate a une liste de plusieurs dizaines de milliers de mails, et il envoie son virus dans la nature et un moment ça tombe. 

Les hôpitaux sont-ils des cibles privilégiées car particulièrement vulnérables  ? 

Disons qu’on a deux mondes. Un premier monde qui a connu des ennuis importants et, à coup de millions d’euros, est arrivé à un haut niveau de cybersécurité. Il s’agit notamment des grosses entreprises du secteur tertiaire : banque, assurance etc. Et un deuxième monde où toutes ces questions sont plus récentes et dont font partie les hôpitaux, mais aussi les services publics en général, à l’exception de l’armée bien sûr. Ce monde est plus vulnérable. Dans les hôpitaux, on a une cohabitation de matériel récent et très ancien. On a encore des postes Windows XP ! Les pirates vont là où c’est le plus simple et ce sont plutôt les facs, les villes, les hôpitaux, les universités… 

Quels sont les manques dans la cybersécurité dans les hôpitaux ? 

Déjà, dans la santé, on parle de cybersécurité depuis 2012 seulement. De plus, on évolue dans un environnement budgétaire contraint. Quand un directeur d’hôpital a le choix entre un nouveau bloc opératoire ou dépenser dans la sécurité informatique, et bien il va privilégier le bloc plutôt que des outils de sécurité contre des attaques qui pourraient ne jamais arriver. Les budgets ne sont pas au rendez-vous. On alloue entre 1,2 et 2% des budgets globaux à l’informatique alors que les pays comme les Etats-Unis ou les Pays-Bas y dédie entre 5 et 6%.

Au-delà des moyens techniques, il s’agit aussi de développer une culture de la cybersécurité...

Clairement. Le premier point pour se protéger c'est d’avoir des systèmes modernes, un parc informatique mis à jour en permanence notamment. Un travail sur l’humain est aussi nécessaire. Par exemple, on a toujours du mal à faire passer l’idée d’avoir des mots de passe à huit caractères renouvelés régulièrement. Le DSI (Directeur des systèmes d’information, NDLR) ne pèse pas lourd contre un chef de pôle réticent à certaines opérations : changer de mot de passe, ne pas renvoyer ces mails sur son téléphone, verrouiller son poste etc. Le DSI est encore vu comme l’emmerdeur. 

Et il y a-t-il une prise de conscience de ces enjeux ? 

Ça vient à coup d’incidents. La ministre, Agnès Buzyn à l’époque, a consacré un discours sur le sujet pour la première fois après l’attaque du CHU de Rouen en novembre 2019. La cybersécurité y était définie comme priorité nationale. Maintenant, on a des programmes de subvention numérique qui obligent les hôpitaux à prouver leur engagement en la matière pour toucher des subventions. On a grandement avancé, mais on est encore au milieu du guet. 

Sait-on qui ils sont et quelles sont motivations des pirates ? 

Les pirates, leur motivation, c’est l’argent. Globalement, ce sont des gens calés en informatique qui proviennent de pays étrangers : Russie beaucoup, un peu Chine, Corée du Nord et des pays d’Europe de l’Est. Des endroits où ils jouissent d’une forme d’impunité. Comme il n’est pas si difficile d’utiliser certains rançongiciels, des personnes provenant de la délinquance traditionnelle peuvent s’essayer aux cyberattaques pour gagner de l’argent en prenant moins de risques qu’avec un braquage ou le trafic de drogue, mais c’est plus rare. 

Valentin Bechu

Imprimer la page

Fil info

17:28
France

Vendée Globe 2024 : la Banque populaire se retire de la course à voile après l'éviction de Clarisse Crémer

17:19
France

Réforme des retraites : le groupe Horizons, membre de la majorité, réclame un maximum de 43 ans de cotisation pour les carrières longues

14:31
France

Projet d'attaque contre Macron : 9 des 13 prévenus du groupuscule d'ultradroite des Barjols ont été relaxés

13:38
France

Campagne de Macron : des perquisitions ont eu lieu fin janvier chez des dirigeants et ex-dirigeants de McKinsey

12:22
France

Pierre Palmade a été présenté à un juge d'instruction. Le parquet requiert son placement en détention provisoire

11:59
France

Un chauffard condamné pour la mort de Jérôme Bonduelle en 2020 a été arrêté et incarcéré dans le département du Nord

11:25
France

EDF assure qu'il met tout en oeuvre pour démarrer son premier réacteur nucléaire de nouvelle génération en 2035

10:44
France

L'IRSN vote une motion d'alerte dans le cadre de la réforme de la sûreté nucléaire voulue par le gouvernement

09:42
France

Le gouvernement compte sur le nouveau PDG d'EDF pour "rétablir l'intégralité de la production électrique" en France

08:59
France

Réforme des retraites : la motion de censure déposée par Marine Le Pen sera débattue ce vendredi soir à partir de minuit

08:44
France

"Arnaque au président" : huit personnes interpellées dans une affaire d'escroquerie record de 38 millions d'euros

08:33
France

EDF enregistre une perte historique de 17,9 milliards d'euros en 2022. Son endettement s'élève désormais à 64,5 milliards d'euros

17:41
France

Un fragment de la météorite qui survolé la France lundi a été retrouvé entre entre Dieppe et Doudeville en Normandie

17:34
France

Jean-Luc Mélenchon appelle les députés à ne pas se « précipiter » vers l'article sur l'âge de départ

17:01
France

Salaires : l'écart hommes-femmes continue de se réduire dans le privé, selon l'Insee

15:10
France

Violences conjugales : le Parlement instaure une aide financière d'urgence pour les victimes

14:56
France

Grève : à Rennes, le trafic SNCF reprend progressivement après l'occupation des rails par des manifestants

14:41
France

Emmanuel Macron annonce la fin du Conseil français du culte musulman, interlocuteur historique du gouvernement

14:31
France

Un Français recherché pour des braquages de fourgons en Suisse retrouvé dans une ferme espagnole

14:01
France

La garde à vue de Pierre Palmade prolongée