Après les cyberattaques dont ont été victimes les centres hospitaliers de Corbeil-Essonnes, en août, et de Versailles très récemment, comment réduire au maximum ces attaques ? Eléments de réponse avec l'exemple du CHU d'Amiens.
C'est un système de hacking qui existe depuis plusieurs années : le rançongiciel est un programme malveillant qui est introduit dans un système informatique pour le crypter. Le but : rendre le système informatique inopérant tant qu'une clé de déchiffrement n'a pas été fournie par les hackeurs, et demander de l'argent en échange de cette clé via les cryptomonnaies, pour ne pas être repéré. Dans le cas des hôpitaux de Versailles et de Corbeil-Essonnes, il y a eu une double-extorsion : vol de données au préalable avec menace de diffuser ces données. Ce type de procédé se pratique contre les hôpitaux, les collectivités locales ou les entreprises.
Pour Benjamin Leroux, expert en cybersécurité chez Advens à Lille, "Le risque zéro n'existe pas. L'interconnexion des ordinateurs expose à un risque. La question n'est plus tant de savoir si on pourrait être victime d'une attaque, mais plutôt de savoir comment réagir quand elle aura lieu. Car, il suffit parfois d'un mail avec un PDF joint qui est ouvert, pour pénétrer un réseau d'ordinateurs. Or les hôpitaux sont en contact permanent par mail avec les patients, les laboratoires, d'autres services ou d'autres hôpitaux. Il y a de multiples vecteurs d'infection. Il y a une prévention technique et une prévention humaine à mettre en place. Lorsqu'une attaque survient, c'est une course contre la montre contre les hackeurs qui débute. Il faut s'y préparer aussi en amont. En sachant quand et comment communiquer en interne, en externe, dérouler les scénarii, avec différents stress".
Damien Bancal, également expert en cybersécurité, fondateur de Zataz, estime que les hôpitaux ne sont pas davantage pris pour cible actuellement : "Les hackeurs ne visent pas forcément les hôpitaux. Notamment parce qu'ils automatisent en partie leurs attaques. En revanche, cela se voit davantage quand on attaque un hôpital [déménagement ou fermeture de service pédiatrique, ordonnance ou transfert de documents à la main] que quand on attaque une assurance ou une banque."
"Plusieurs attaques évitées au CHU d'Amiens en 2022"
Sébastien Florek travaille en tant que directeur des services numériques au CHU d'Amiens. Dans ses services, 47 personnes sont autant de spécialistes ou généralistes dans les domaines suivants : réseaux, bases de données, serveurs, applications, gestion des données (data managers) et des encadrants, regroupés à l'hôpital sud d'Amiens.
"La thématique des cyberattaques n'est pas récente. De manière générale, dans les années 2000, les hôpitaux sont passés d'un système informatique local non connecté à des besoins de communication en interne et en externe. Aujourd'hui, cela se voit bien dans l'utilisation de Doctolib ou des logiciels de pré-admission en ligne. Pour nous à Amiens, la crise sanitaire a accéléré tout cela. Cela a été un tournant avec la création d'un portail entre l'hôpital et les patients. Les téléconsultations ont également été mise en place. Les télé-expertises entre médecins ont été démultipliées. Tout cela entre dans les moeurs et les usages mais plus on est ouvert, plus il y a de risques de cyberattaques", explique Sébastien Florek.
Plusieurs attaques ont ainsi été évitées en 2022 aux CHU d'Amiens. Nous n'en saurons pas plus sur ce point. Mais ces paramètres font-ils de l'hôpital une cible privilégiée des hackeurs ?
Julien Rousselle, responsable sécurité du système d'information au CHU d'Amiens estime que les hôpitaux sont "plus ciblés" parce qu'il y a un "retard de sécurisation". "Cela a commencé en 2019 avec l'hôpital de Rouen et l'un des problèmes est qu'on est pauvre en mode dégradé, c'est-à-dire qu'en cas d'attaque on repasse vite au papier et au stylo et nous n'avons de système de fonctionnement intermédiaire, de secours, en mode dégradé. On l'a bien vu avec les hôpitaux de Versailles et de Corbeil-Essonnes".
"Humbles et attentifs"
"Il faut savoir également que sur le darknet un dossier médical a plus de valeur financière qu'un dossier lambda. Cela favorise les cyberattaques", abonde Sébastien Florek. Par ailleurs, "les subventions nationales pour lutter contre les cyberattaques sont des subventions d'investissement, c'est-à-dire un one shot pour acheter du matériel ou des logiciels alors que la supervision - sécurité demande des besoins financiers au quotidien pour la détection et la remédiation. Ce sont des postes nouveaux car des nouveaux métiers."
Il vaut mieux passer quelques secondes par jour à fermer ses portes à clé et être sécurisés que courir pendant un an pour tout remettre en place après une attaque
Sébastien Florek, service informatique du CHU d'Amiens
Très bien noté dans le cadre d'audits, le service informatique amiénois entend pour autant rester très humble par rapport à la menace. "On est loin d'être à l'abri de tout. Il faut rester sereins, vigilants. Les comportements de postes informatiques suspects, nous en avons 3 ou 4 par jour. Il faut rester attentifs. Bien sûr, cela demande des renforcements d'authentifications, des supervisions sécurité, des sauvegardes hors lignes, des scénarios de gestion de crise, des identifications d'applications critiques qui impactent le personnel et les patients. Mais il vaut mieux passer quelques secondes par jour à fermer ses portes à clé et être sécurisés que courir pendant un an pour tout remettre en place après une attaque".