Cyberattaques : pourquoi les hôpitaux deviennent-ils la cible des hackeurs et comment se protéger ?

Les cyberattaques contre les hôpitaux se multiplient. Après Vitry-Le-François et Saint-Dizier, ce sont deux hôpitaux des Ardennes qui sont touchés. Pourquoi les attaques contre les hôpitaux se multiplient-elles? Entretien avec un spécialiste en cybercriminalité.

Depuis plusieurs jours certains hôpitaux, comme à Charleville-Mézières (Ardennes) ou Corbeil-Essonnes  (Île-de-France) sont victimes de cyberattaques. Ces lieux hautement sensibles font pourtant l'objet d'une sécurité informatique importante. On est donc en droit de se demander si leur sécurité est à la hauteur des menaces. 

Les deux hôpitaux de Charleville-Mézières (Ardennes) ont été la proie de deux cyberattaques en quatre jours : l'hôpital de Manchester le 3 octobre 2022 et l'hôpital psychiatrique de Belair le 30 septembre 2022. A l'issue de cette intrusion informatique, aucune donnée ne semble avoir été volée. Aucune demande de rançon n'a été reçue. La préfecture des Ardennes précise qu' "Une cellule de crise pour l'intrusion de Manchester a été mise en place, et des mesures de sécurité ont été prises pour éviter que cela ne se propage". 

A l'hôpital Belair, le hacker s'est introduit dans le système par l'intermédiaire d'un ordinateur d'un employé. Pour protéger au mieux les données, la consigne a été de couper tous les accès à distance et de revenir au papier et d'imprimer des milliers de documents pour parer à une possible perte de données. Malgré le piratage, les deux hôpitaux concernés fonctionnent normalement, la prise en charge des patients n'est pas suspendue.

Expert en cybercriminalité, le commandant Alex Alavoine, expert en numérique auprès des tribunaux, qui a longtemps œuvré au sein de la section de recherche en numérique de la Gendarmerie à Reims, évoque les dysfonctionnement et les méthodes pour s'en prémunir.

Les hôpitaux cibles des cyberattaques

On s'est longtemps imaginé que les hôpitaux étaient des lieux sacralisés, préservés de toute attaques malveillantes. Mais les mentalités changent. Aujourd’hui il n’y a plus de lieu préservé. Les cyberattaques contre les hôpitaux sont de plus en plus nombreuses. Les données personnelles de santé, informations sensibles s'il en est, attirent toutes les convoitises et deviennent un enjeu. Le chantage à la diffusion de dossiers personnels de patients, comme cela s’est produit à l’hôpital de Vitry-Le-François ou dans celui de Corbeille-Essonnes, oblige l’Etat et les directeurs d'hôpitaux à une brutale prise de conscience. Dans un monde numérique mondialisé, ils doivent se protéger.

Hôpitaux: des proies faciles

Les hôpitaux sont trop souvent des proies faciles, très difficiles à sécuriser. Dans la plupart des hôpitaux, le système d’information est morcelé. Il y a beaucoup de possibilités d’interventions extérieures sur le réseau informatique. Par exemple quand on utilise des objets connectés ayant une importance vitale dans la chambre d’un malade, les données sont sur le réseau informatique, reliés par le WIFI, sur des logiciels grand public. Cela offre de nombreuses portes d'entrée, des Backdoors, à des hackeurs potentiels.

Quel mode opératoire ? 

Les cyberattaques contre les hôpitaux peuvent prendre trois formes.

  • Une forme très agressive. Les hackeurs peuvent tout bloquer en envoyant beaucoup de données sur les serveurs d’authentification. Cela provoque un déni de services. Le serveur est bloqué et tout le système est paralysé. Le temps qu’il soit réparé, les hackeurs peuvent faire ce qu’ils veulent avec les données disponibles.
  • La deuxième forme est plus douce. Les hackeurs vont envoyer un petit scripte via un message. Il va rester dormir pendant une période d’une semaine à un mois, puis va se réveiller et tout crypter. La plupart du temps il se déclenche la nuit, lorsque personne ne surveille.
  • La troisième va utiliser un logiciel malveillant. Il va ouvrir une "Backdoor", une porte dérobée, à l’insu de l’utilisateur. Cela lui donne accès au logiciel. Le hackeur peut alors récupérer des données.

 

Pourquoi attaquer des hôpitaux ?

  • Les hackeurs veulent crypter les données pour obtenir de l’argent, une rançon. C’est ce que l’on appelle les "Ransomwares". C’est ce qui s’est passé à l’hôpital de Vitry-Le-François.
  • Autre possibilité, des hackeurs qui veulent dérober des données pour les utiliser ou les revendre. Il s’agit parfois des dossiers de santé des patients mais aussi de cartes vitales ou de cartes de crédit. Cela se vend très cher sur le "dark web".
  • Troisième possibilité c’est l’acte gratuit. Il s’agit de tout bloquer sans aucune raison. C’est le fait d’apprentis sorcier qui veulent tester leurs aptitudes sans prendre la mesure des conséquences de leurs actes. Cela peut entraîner le décès de certains malades.

 

Comment mener l’enquête ?

Les hôpitaux victimes de cyberattaques peuvent faire appel localement à des services spécialisés de police ou de gendarmerie. Ils sont constitués d’ingénieurs spécialisés dans la sécurité des réseaux. Ils peuvent être aidés par des laboratoires qui possèdent des outils d’investigation très sophistiqués.

L’enquête sur une cyberattaque est encadrée par des procédures d’investigation numériques appelées Forensic. La base, c’est d’étudier les données dans le détail et avec précision pour savoir d’où vient l’attaque. Il faut donc recueillir tous les éléments qui vont permettre l’identification.

Attention à préserver les preuves

Un problème très souvent rencontré, c’est que les victimes, les centres hospitaliers en l’occurrence, ne songent pas à préserver les preuves. Souvent ils entrent dans le système d’information et brouillent les pistes. En fait il faut laisser tout en l’état jusqu’à l’arrivée des enquêteurs et se débrouiller autrement.

Cela dit, pour que la justice puisse s’exercer, il faut connaître le lieu de résidence ou d’origine de l’auteur, ce qui n’est pas toujours évident.

Peut-on assainir un réseau contaminé ?

Si le système est bien conçu, c’est possible de limiter les méfaits d’une cyberattaque. Il faut avoir cloisonné les informations. Ce qui fait que l’on peut sacrifier la partie infestée, et continuer à utiliser le reste du système. Le problème c’est que très peu d’hôpitaux ont pris ces précautions. Leur système est souvent très ouvert et les portes d’entrée potentielles multiples. Dans tous les cas, si l’attaque est massive, il est très difficile de récupérer les données.

Comment protéger les hôpitaux ?

Il existe des protocoles de protection des données sensibles comme la suite  ISO/CEI 2700 ou la CNIL, la Commission Nationale de l’Informatique et de la liberté, mais ils sont peu appliqués.

Il faut investir dans la protection. Cela va permettre d’avoir son propre groupe d’ingénieurs pour protéger le réseau et d’avoir un service dédié à la surveillance.

Nous ne sommes qu’au début des cyberattaques contre les hôpitaux. Depuis 5 ou 6 ans, elles se multiplient. Les données personnelles se vendent à prix d’or sur le dark web, cet univers numérique parallèle à l’internet public.