Africa-Press – Côte d’Ivoire. Le nombre de cyberattaques touchant les hôpitaux a doublé en 2021 et ne cesse d’augmenter, comme le prouve celle dont Versailles a été victime le 5 décembre.
Corbeil-Essonnes en août, Versailles ce 5 décembre… Les hôpitaux français sont de plus en plus souvent victimes d’attaques cybercriminelles. Dans la majorité des cas, les centres hospitaliers font face à des hackers qui s’infiltrent dans leur système informatique, volent des données puis en interdisent l’accès avant d’exiger une rançon en échange d’un retour à la normale et de la promesse que les données subtilisées ne seront pas diffusées.
Ces attaques, rangées sous le terme de « rançongiciels », sont dévastatrices : le CHU de Corbeil-Essonnes (91) a mis, par exemple, plus de deux mois à retrouver une activité normale. La perte des données et l’impossibilité d’utiliser les logiciels internes ont entravé l’automatisation des systèmes et ont poussé le personnel à revenir au stylo et au papier. Les données volées, incluant de nombreux éléments personnels issus des dossiers des patients, ont finalement été diffusées, l’hôpital ayant refusé catégoriquement de payer la rançon de 10 millions de dollars. En outre, ce type de paiement est interdit aux organismes publics en France.
Depuis quelques années, les attaques de ce type se multiplient. Si le principe est connu depuis longtemps, il a profité d’une trêve déclarée par la plupart des cybercriminels en pleine crise du Covid, qui avait eu pour conséquence de surcharger les hôpitaux en 2020. Mais en 2021, ces attaques ont repris de plus belle et ont presque doublé en France (733 contre 392 en 2020). Si les chiffres ne sont pas encore connus, la tendance devrait se poursuivre en 2022. L’Autorité nationale en matière de sécurité et de défense des systèmes d’information (Anssi) évaluait la fréquence d’un incident grave dans les établissements de santé français à plus d’un par semaine.
Les hôpitaux sont des cibles particulières car la vie des patients peut dépendre de leur bon fonctionnement. Surtout, ils disposent des données de santé, qui font partie des plus sensibles, au sens du règlement européen de protection des données personnelles (RGPD). Pour Gérôme Billois, spécialiste en cybersécurité pour le cabinet Wavestone et auteur du livre Cyberattaques : les dessous d’une menace mondiale, publié chez Hachette, l’équation est simple : « Lorsqu’on pirate votre compte bancaire, vous faites opposition auprès de votre banque et on vous rembourse l’argent perdu. Alors que lorsqu’on rend public l’ensemble de vos données médicales, c’est irréversible, c’est à vie. »
La réaction des différentes cibles joue aussi un rôle : en France, où l’hôpital est très majoritairement public, il est hors de question de payer la rançon. Dans d’autres pays, en revanche, les pirates peuvent toucher le pactole, comme aux États-Unis, où les groupes hospitaliers sont dans l’ensemble privés. « Lorsqu’ils font de vastes recherches de failles dans les systèmes informatiques d’hôpitaux, les hackers ne savent pas s’ils sont français, ils ne parlent probablement pas français et ne savent pas que les hôpitaux ici sont publics, qu’ils n’ont pas le droit de payer les rançons. Leur but est juste de trouver une faille et de l’exploiter. »
Aux États-Unis, presque 400 hôpitaux avaient été visés par une vaste attaque en 2020, chacun faisant face à une demande de rançon d’environ 2 millions de dollars. En 2021, le total des sommes payées outre-Atlantique atteindrait 1,3 milliard de dollars selon les agences fédérales, contre une cinquantaine de millions quelques années plus tôt. En août dernier, le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend), évaluait le coût mondial de la cybercriminalité à 6 milliards de dollars par an. Autant d’argent potentiellement réinvesti dans la sophistication des moyens à la disposition des pirates.
DOSSIERLa nouvelle cyberguerre mondiale
L’écrasante majorité des « rançongiciels » viendrait de groupes de hackers indépendants, « souvent des têtes de réseau en Europe de l’Est ou d’anciennes républiques soviétiques, mais les équipes sont réparties dans le monde entier », estime Gérôme Billois. Les récentes attaques de l’hôpital de Corbeil-Essonnes ou de celui de Versailles auraient par exemple été lancées par le groupe russe Lockbit 3.0. Ces groupes frappent plutôt à l’Ouest pour éviter des poursuites là où ils se basent.
Lors du déclenchement par la Russie de la guerre en Ukraine en février, les pays occidentaux ont craint de subir des attaques massives de déstabilisation visant notamment les services publics. « Finalement, de telles attaques destructrices n’ont pas eu lieu », explique notre expert. Les opérations cyber venant des États restent à but d’espionnage, et « là, il s’agit plutôt de ne pas être détecté que de faire beaucoup de bruit comme avec un rançongiciel ». Elles sont donc difficilement quantifiables et touchent plutôt des entreprises sensibles ou des institutions.
Si on parle beaucoup des hôpitaux, il ne faut pas oublier que les entreprises restent les plus touchées par la cybermalveillance : selon l’Anssi, entre 2020 et 2021, elles ont subi une augmentation de moitié du nombre d’attaques les visant et constituaient un tiers des victimes. Les collectivités en représentaient elles 19 %, les hôpitaux, seulement 11 %. « Ces attaques sont opportunistes : les hackers vont en fait explorer des milliers de sites Web en cherchant une faille de sécurité, et évaluent la valeur de la cible une fois qu’ils réussissent à entrer », précise Gérôme Billois.
Les entreprises ont en revanche plus intérêt à se montrer discrètes sur ces attaques, qui mènent parfois à la divulgation de précieuses données commerciales, notamment. Il est donc difficile d’évaluer précisément le nombre d’attaques visant le secteur privé, alors que les institutions, collectivités et établissements publics doivent le signaler à l’Anssi lorsqu’ils en sont victimes. Gérôme Billois précise qu’à peine plus d’une rançon sur dix est payée, en général : « Si vous avez des sauvegardes de vos données, pas besoin de payer, il suffit de les réinstaller. Qu’on paie ou qu’on ne paie pas, il faut de toute façon réinstaller les fichiers, le temps de gestion de crise demeure donc sensiblement le même », explique-t-il.
Pour lutter contre ce phénomène, l’État avait annoncé qu’il consacrerait 25 millions d’euros à sécuriser les établissements de santé publics, auxquels s’ajoutent 20 millions d’euros débloqués par le ministre de la Santé François Braun en août, après l’attaque de Corbeil-Essonnes. 135 centres ont été désignés « opérateurs de services essentiels », ce qui les soumet à des règles de sécurité informatique plus exigeantes.
Pour plus d’informations et d’analyses sur la Côte d’Ivoire, suivez Africa-Press
