Les hôpitaux, vulnérables face à la cybercriminalité

Publié le 30 août 2022 à 7h45 - par

Les cyberattaques comme celle dont a été victime l’hôpital de Corbeil-Essonnes dans la nuit du samedi 20 au dimanche 21 août 2022, en banlieue parisienne, replongent les établissements dans l’ère pré-informatique et peuvent engendrer de fortes pertes même sans payer la rançon.

Les hôpitaux, vulnérables face à la cybercriminalité

Cet article fait partie du dossier :

Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics
Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics
Voir le dossier

De quel type d’attaque l’hôpital de Corbeil a-t-il été la cible ?

Le Centre hospitalier Sud Francilien (CHSF) a été victime d’une attaque via un logiciel rançonneur. Ces attaques, de plus en plus complexes, connaissent une croissance exponentielle à l’échelle mondiale. Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers des entreprises cibles, réussissant à paralyser tout ou partie de leur activité. Les pirates demandent ensuite une rançon pour déchiffrer les fichiers. Les acteurs de la cybercriminalité recherchent des cibles ayant un impératif opérationnel, comme les systèmes de santé. Mais en France, les hôpitaux publics ne peuvent pas payer de rançon du fait de leur statut.

D’autres attaques visent à récupérer des données nominatives pour les monnayer sur le darkweb. « Je vois assez peu l’intérêt de voler des données de patients français », note cependant Cyrille Politi, conseiller en numérique à la Fédération hospitalière de France (FHF), qui rappelle que les dossiers des hôpitaux publics ne comportent ni information bancaire ni mot de passe.

Comment s’en prémunir ?

« Tous les établissements de santé se dotent maintenant d’un responsable de sécurité des systèmes d’information, dont le métier est de faire de la cybersécurité », détaille Cyrille Politi, qui rappelle qu’« on ne peut aujourd’hui pas négliger le sujet » et que cela passe par des investissements pour construire des architectures informatiques plus performantes et plus sécurisées.

Pour lutter contre ce phénomène en expansion, l’État avait annoncé consacrer à la cybersécurité des établissements de santé une enveloppe de 25 millions d’euros dans le cadre des 136 millions consacrés à la cybersécurité des acteurs publics pour 2021 et 2022. Parallèlement, 135 hôpitaux ont été désignés « opérateurs de services essentiels », ce qui leur impose de respecter des règles de cybersécurité plus exigeantes que les institutions ordinaires.

Mais la lutte contre la cybercriminalité dépasse amplement le cadre des établissements de santé. Le « coût mondial de la cybercriminalité est évalué à 6 milliards de dollars par an », et les enquêtes sont « toujours très longues, peuvent durer plusieurs mois, voire plusieurs années » et nécessiter une importante coopération internationale, a indiqué à l’AFP le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend).

Quel est l’impact de ces attaques sur les hôpitaux ?

« Tout dépend du type d’attaque et si l’équipe informatique arrive à intervenir avant qu’elle ne touche le dossier patient, le coeur du système d’information », détaille Cyrille Politi. Si elle n’y parvient pas, la structure cible peut replonger dans l’ère pré-informatique, impactant et ralentissant toute la communication entre services, notamment les rendus d’examens biologiques ou d’imagerie.

Au Centre hospitalier Sud Francilien (CHSF), « la prise en charge des patients n’est pas mise en danger », a assuré mardi 23 août 2022 le ministre de la Santé, François Braun, mais tous les patients instables ou nécessitant des soins aigus ont dû être transférés. « Aux urgences, l’activité est proche de zéro » et « la réa en néonat’ a été vidée », avait précisé un représentant syndical de Sud Santé du CHSF, Franck Banizette.

Une désorganisation et un mode de fonctionnement dégradé dont on ignore la durée.

Un an après avoir été attaqué en février 2021, l’hôpital de Dax, dont les hackers avaient réussi à bloquer même les fichiers sauvegardés, évaluait avoir dû débourser 174 000 euros pour reconstruire son réseau informatique, et au total 2,36 millions d’euros en comptant les prestations de cybersécurité, la sous-traitance, le coût RH et les pertes commerciales, selon un retour d’expérience publié par l’Agence nationale d’appui à la performance (Anap).

« Plus d’un an après, si le cyclone et la tempête sont derrière nous, il reste des stigmates forts, et le Centre hospitalier est loin de naviguer sur une mer d’huile », note l’établissement, cité par l’Anap. Certains logiciels, notamment de bloc opératoire ou d’échographie anténatale, ne sont toujours pas accessibles.

Copyright © AFP : « Tous droits de reproduction et de représentation réservés ». © Agence France-Presse 2022

Cybersécurité : un enjeu clé de la transformation numérique du secteur public

Livre blanc

Cybersécurité : un enjeu clé de la transformation numérique du secteur public

Les cyberattaques se sont multipliées ces derniers mois, pourtant elles ne représentent cependant qu’un aspect de la cybersécurité. Il faut davantage parler de sécurisation numérique avec au cœur des enjeux la donnée notamment nominative. ...

Télécharger le livre blanc


On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale