Cybersécurité
« Une crise dans la crise », c'est en ces mots qu'Emmanuel Macron, président de la République, a résumé les attaques informatiques dont certains établissements de santé ont fait l'objet en février dernier. Un problème qui mine les hôpitaux déjà impactés par la crise et qui risque de se reproduire. L'urgence est à la protection.
Le secteur hospitalier, déjà sur les dents avec la crise sanitaire, subit encore plus ces cyber-attaques qui fragilisent une organisation déjà sur une ligne de crête. Rapide retour en arrière : début février, le centre hospitalier de Dax-Côte d'Argent (40) est touché par une cyber-attaque qui suspend toute utilisation informatique. La raison en est simple : le système a été investi par un ransomware, un logiciel-rançon malveillant qui crypte les données numériques de l'hôpital et les rend illisibles sauf si une rançon de 50 000 dollars en bitcoins est versée. Quelques jours plus tard, c'est au tour de l'hôpital de Villefranche-sur-Saône (69) d'être la cible d'une cyber-attaque, sur le même modèle d'un cryptage des données informatiques. Autant dire qu'une telle attaque, dans un hôpital, est catastrophique : téléphonie impactée, tout comme les appareils chirurgicaux, la gestion des médicaments et des radiothérapies, les dossiers patients, leur rendez-vous, l'organisation des services, la gestion des lits, plus rien n'est réalisable une fois que le système informatique est à terre. Pour maintenir certains rendez-vous, les hôpitaux victimes de ces malwares reviennent à l'organisation papier : post-it, tableaux remplis à la main, carnets de rendez-vous, une organisation se met en place pour parer au plus pressé. Mais de nombreux services sont trop impactés pour continuer de fonctionner, il faut déprogrammer des opérations, déplacer des patients, en attendant un retour à la normale. Début mars, un autre établissement hospitalier, celui d'Oloron-Sainte-Marie (64) subit lui-aussi une cyber-attaque, avec l'obligation d'un fonctionnement dégradé pour pallier l'attaque. Dans la foulée, une plainte est déposée et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dépêche ses spécialistes dans chaque établissement touché, avec pour mission de rétablir au plus vite le « noyau central » qui gère de façon centralisée l'ensemble des permissions d'accès au réseau (machines, utilisateurs et applications).
Vulnérabilité en temps de crise
Ce n'est pas la première fois que des cybercriminels s'attaquent à des hôpitaux ou cliniques : en 2020 déjà, le CHU de Rouen avait subi un acte malveillant de ce type, de même que l'AP-HP qui avait dû couper pendant une heure l'accès aux mails et aux outils à distance de ses salariés en télétravail alors que la crise sanitaire faisait rage. Si les établissements de santé sont touchés en temps de crise, c'est pour plusieurs raisons. La première, leur vulnérabilité : les systèmes d'exploitation peuvent être obsolètes, le personnel peu formé aux risques et la diffusion du malware facilité par les nombreux échanges d'informations au sein même des structures, voire en dehors lorsque le télétravail est mis en place. De plus, les cybercriminels, qui réclament souvent une rançon ont ciblé les hôpitaux car ils savent leur activité essentielle : impossible pour un hôpital de fonctionner sans informatique, la victime est donc toute choisie. Enfin, ces attaques surviennent parfois les veilles de week-end, voire le week-end, à un moment où les équipes informatiques sont moins nombreuses : le logiciel malveillant a le temps d'agir avant d'être percé à jour. Pour autant, même si ces ransomwares exigent le règlement d'une rançon, rien ne garantit que son paiement rétablirait le système informatique. D'ailleurs, les établissements touchés ne règlent aucune demande de rançon, « les hôpitaux, comme toute administration, ont pour consigne stricte de ne jamais payer » a rappelé l'Elysée lors de la cyber-attaque de l'hôpital de Dax. Pour y faire face, l'ANSSI travaille à remettre sur pied le système informatique de l'hôpital, ce qui peut prendre plusieurs semaines.
En aval, d'autres mesures plus en adéquation avec les enjeux du numérique devraient être mises en place : augmenter la sécurité des systèmes, contrôler l'accès aux données, détecter les tentatives d'intrusion et surtout sensibiliser le personnel. Car si ces systèmes sensibles ont été attaqués, c'est qu'ils sont vulnérables, notamment du fait de leur obsolescence et d'une certaine impréparation aux enjeux du numérique. Pour y faire face, le Gouvernement a annoncé le renforcement de la protection des établissements de santé : 350 millions d'euros issus des 2 milliards d'euros du Ségur consacrés au numérique, seront dédiés à renforcer la sécurité des systèmes d'information de santé. Certaines conditions ont d'ailleurs été posées : « face à l'augmentation de la menace, il n'est plus possible de faire de la cybersécurité une variable d'ajustement des projets informatiques des établissements de santé. Aucun projet ne pourra désormais faire l'objet d'un soutien de la part de l'Etat si une part de 5 à 10 % de son budget informatique n'est pas dédié à la cybersécurité », ont prévenu Olivier Véran, ministre de la Santé et Cédric O, secrétaire d'Etat chargé de la Transition numérique. Un accompagnement des personnels de santé et des administratifs à la cybersécurité devrait également voir le jour, intégré à la formation des acteurs de santé. En France, le monde de la santé est le troisième secteur le plus touché (avec 11 % des ransomwares) derrière les collectivités et l'industrie, d'après l'ANSSI : chaque semaine depuis le début de l'année, un établissement de santé est victime d'une cyberattaque.
Articles de la même rubrique d'un même numéro
- Le 17 mars, journée des soignants
- Nomination de deux personnalités
- La santé sous surveillance
- 25 nouvelles propositions de la FNADEPA
- Vaccination anti-Covid : obligatoire ou non pour les soignants ?
- Pour éviter le gaspillage, des solutions ?
- Rémunération des études infirmières, une (fausse) bonne idée ?
- « L'ADMR, un engagement collectif au service des autres »