Les hôpitaux français, cibles privilégiées des cyberattaques

Les cyberattaques contre des établissements de santé ont atteint un chiffre record en 2021 et les tensions actuelles avec la Russie pourraient aggraver la situation.

Les agents exerçant au GHU de psychiatrie de Paris ont reçu un mail préoccupant de leur responsable informatique le 28 février 2022. Le courriel les informait qu’en raison d’un « niveau de menace élevé » et de « risques de malveillance d’origine géopolitique », ils devaient être particulièrement vigilants dans leurs échanges d’email, porte d’entrée privilégiée des « hackers ». La guerre en Ukraine et les tensions entre l’Occident et la Russie font en effet craindre une amplification des cyberattaques contre les infrastructures françaises et notamment contre les hôpitaux, qui sont devenus ces dernières années la cible privilégiée de ces actes de malveillance informatique.

Parce que leur système informatique regorge de données sensibles (notamment les dossiers médicaux des patients), les établissements de santé font en effet régulièrement l’objet d’attaques informatiques. Les pirates peuvent tout simplement tenter de dérober des données sensibles pour les revendre sur le « darknet ». Au cours de l’été 2021, les informations médicales de 1,4 millions de personnes qui s’étaient fait tester pour dépister une infection potentielle à SARS-CoV-2 ont été dérobées dans les bases de données de l’AP-HP. « Sur le marché noir, les dossiers médicaux sont côtés entre 35 et 200 dollars » explique Vincent Trély, président de l’association pour la sécurité des systèmes d’information de santé. « Des groupes d’assurances, des laboratoires, des entreprises sont intéressés pour obtenir ces données de masse ». 

Mais la technique préférée des hackeurs est celle du rançongiciel, qui consiste à envoyer à l’hôpital un logiciel malveillant qui va chiffrer et rendre inutilisable l’ensemble de ses données informatiques, puis exiger une rançon en échange du déchiffrage. En août dernier, le CHU d’Arles a été victime d’une cyberattaque de ce type et tous les dossiers des patients ont été rendu illisibles. L’hôpital refusant de payer la rançon, les médecins et infirmiers ont, comme au bon vieux temps, utilisé un papier et un stylo pendant une quinzaine de jours, sans que la prise en charge des patients n’en soit altérée, assurait à l’époque la direction. 

Les cyberattaques contre les hôpitaux sont en hausse ces dernières années, explique l’Agence du Numérique en Santé (ANS), qui indique avoir reçu 730 signalements pour des incidents de ce type en 2021. C’est deux fois plus qu’en 2020, année au cours de laquelle 369 incidents avaient été signalés, ce qui représentait déjà « une année exceptionnelle ». Des attaques qui peuvent avoir des conséquences graves : 34 incidents informatiques ont mis en danger la vie d’un patient en 2020. En septembre dernier, une attaque de type rançongiciel contre un hôpital de Düsseldorf en Allemagne avait participé à la mort d’une patiente de 78 ans. 

La hausse de ces attaques est en partie due à la pandémie de Covid-19, qui a obligé les hôpitaux à une numérisation à marche forcée et a augmenté leur vulnérabilité et les points d’entrée dans leur système informatique. L’ANS indique ainsi avoir émis 2 000 alertes en 2021 concernant des vulnérabilités informatiques potentielles dans les hôpitaux, en hausse de 150 % sur un an. « Au pic de la pandémie, nous étions à une cyberattaque par jour contre un hôpital » explique Stéphane Duguin, expert en cybersécurité. Par ailleurs, la crise sanitaire a donné lieu à un autre type d’attaque visant à obtenir de faux passes sanitaires. Cette fois ci, c’est l’Ordre des médecins et les pharmaciens qui ont été visés, dont les systèmes informatiques présentent « de petites lacunes en termes de sécurité » selon l’ANS. 

La guerre en Ukraine et les tensions entre l’Occident et la Russie font naître la crainte d’attaques de pure malveillance cette fois, visant uniquement à déstabiliser nos systèmes de santé. Pour le moment, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) rappelle « qu’aucune cybermenace visant les organisations françaises en lien avec les récents évènements n’a pour l’instant été détectée ». 

Face à la vulnérabilité des hôpitaux, la Fédération Hospitalière de France (FHF) avait demandé en février 2021 que les établissements de santé soient considérés comme des sites vulnérables et mieux protégé contre les cyberattaques. L’exécutif avait alors promis un milliard d’euros pour renforcer la cybersécurité des hôpitaux.

Quentin Haroche