L’actualité IT de ces derniers mois traduit de l’ampleur du phénomène de la cybercriminalité dans le monde. Le développement de l’espace numérique et la digitalisation s’accompagnent de risques toujours plus complexes, et la crise sanitaire mondiale – qui a poussé les entreprises à développer au maximum le télétravail – ne fait qu’augmenter ces dangers numériques du quotidien.
Une cyberattaque cible les systèmes d’information ou les entreprises dépendant de la technologie et des réseaux afin de voler, modifier ou détruire un système sensible. La grande majorité des attaques par rançongiciels sont opportunistes et profitent du faible niveau de maturité en sécurité numérique de leurs victimes.
De manière générale, les PME sont davantage concernées par les cyberattaques car plus vulnérables que les grandes entreprises. C’est notamment le cas des établissements de santé, détenteurs de données sensibles et qui évoluent au quotidien dans un environnement à risque, d’autant plus en pleine crise sanitaire.
Le contexte hospitalier totalement favorables aux cyberattaques
Des risques multiples pour des données hautement sensibles
Les hôpitaux et autres établissements de santé sont des infrastructures à risque. Le contexte sanitaire actuel favorise totalement le contexte d’une cyberattaque : la pandémie de Covid-19 désorganise les établissements de soins, qui ont moins de temps pour se concentrer sur leur défense numérique.
Pour cette raison, les infrastructures informatiques des hôpitaux sont constamment mises à l’épreuve et deviennent la cible privilégiée des hackeurs en 2020. La dernière édition du rapport franco-allemand « Common Situational Picture », présenté par l’ANSSI et par le BSI, fait le constat d’un accroissement très rapide du niveau de la menace cyber. Il mentionne que 2020 a donné lieu à des nombreuses attaques : elles se sont multipliées par 4 en un an et ont entraîné 27 attaques majeures dans l’année, uniquement dans le secteur de la santé.
Les hôpitaux détiennent des données hautement sensibles, comme les informations des patients, qui apparaissent comme très rentables pour les cybercriminels : il est possible d’obtenir jusqu’à 2000€ pour un « simple » registre de données patients : coordonnées de la personne + dossier médical (antécédents médicaux, résultats d’examen, plans de traitement, etc.). Et à titre de comparaison, le rapport « Data Risk Report » de Varonis, précise que plus de la moitié des établissements de santé français ont plus de 1000 fichiers sensibles accessibles à tous les employés. Les données sont donc accessibles, sans réelle sécurité. C’est un constat alarmant car cela expose fortement ces établissements au vol de données. Or, il s’agit d’un secteur très mal préparé aux cyberattaques : à peine 23% des organismes de santé ont entièrement déployé l’automatisation de la sécurité.
Les risques sont multiples pour les hôpitaux : perte de données à haute importance, nécessité de payer une rançon, perturbation de la chaîne d’approvisionnement… Une cyberattaque sur un tel établissement peut rendre la situation critique en pleine crise sanitaire. Et pourtant, il s’agit d’un risque du quotidien qui peut provenir de différents facteurs : intentions malveillantes de cybercriminels ou inattention des employés, par le traitement de données non sécurisées et protégées. Et les établissements de santé, avec leur important traitement de données, sont particulièrement sensibles à ce type d’erreurs.
Les cyberattaques qui ont marqué les derniers mois
« Les attaques à l’encontre d’hôpitaux montrent qu’une attaque par rançongiciel peut avoir des conséquences pour la vie des patients dans le monde réel, en mettant en danger la vie des patients », avait établi l’ANSSI début février dans son rapport. En effet, les cyberattaques peuvent devenir très dangereuses dans le cas où il y a atteinte à la santé et au possible traitement des patients.
Ce fût notamment le cas de l’attaque de l’Hôpital Universitaire de Düsseldorf en septembre 2020. L’hôpital était en incapacité d’accepter de nouveaux patients suite à la défaillance de son système d’information (SI), « cyberattaqué » pendant 2 semaines. Une femme a alors dû être transférée vers un autre hôpital plus éloigné, et c’est ce trajet supplémentaire qui lui a couté la vie. Les conséquences de la cyberattaque sont alors devenues dramatiques.
En février 2021, l’attaque de l’hôpital de Dax a également été très médiatisée. Tout le réseau informatique de l’hôpital a été bloqué, et en cascade le fonctionnement même de l’hôpital. Une attaque par cryptovirus (logiciel malveillant qui chiffre les données d’un réseau pour en réclamer une rançon en échange de la clé de déchiffrement) a mis hors service la totalité du système d’information. Les employés sont alors revenus au papier et au crayon le temps de rétablir la situation. Heureusement, aucune tragédie n’a été engendrée comme pour l’attaque de Düsseldorf même si les activités de soins ont tout de même été touchées.
Les solutions mises en place par les gouvernements pour faire face aux cyberattaques
Des plans de financement et d’investissement dans la sécurité des systèmes d’information
Au-delà de la seule sécurité des systèmes d’information, la cybersécurité présente pour les pays des enjeux économiques, stratégiques et politiques. Chaque gouvernement souhaite voir ses entreprises bien protégées et les attaques limitées au maximum. C’est pour cela que certains pays mettent en place des programmes de financement pour améliorer la sécurité informatique des entreprises. Au vu de l’urgence de la situation des établissements de santé, des plans spécifiques ont été mis en place.
C’est notamment le cas de l’Allemagne, avec le plan « Hospitals Future Act ». Il s’agit d’un investissement de 3 milliards d’euros pour la modernisation des hôpitaux, avec notamment d’importants investissements dans le domaine de la sécurité informatique.
En France, des concertations sont en cours dans le cadre du Plan d’Investissement dans le Numérique en Santé. Ce plan prévoit notamment 2 milliards d’aides pour le « déploiement des solutions logicielles dans les systèmes d’information existants ». De plus, pour faire face aux récentes cyberattaques (Dax et Villefranche-sur-Saône), le ministre de la santé, Olivier Véran et le secrétaire d’État au numérique, Cédric O viennent de présenter un tout nouveau plan pour renforcer la sécurité dans les hôpitaux. Il s’agit d’une enveloppe de 350 millions d’euros destinée au renforcement de la sécurité informatique des établissements de santé français. Cette somme serait incluse dans le cadre du Ségur de la Santé (concertation pour refondre le secteur de la santé en France).
L’Appel à Manifestation d’Intérêt du Gouvernement Français
Dans le cadre du Plan France Relance, Olivier O a lancé en mars 2021 un Appel à Manifestation d’Intérêt (AMI) pour expérimenter des solutions innovantes de cybersécurité au service d’infrastructures critiques. Les collectivités locales et les établissements de santé sont concernés. L’idée est de retenir dans un premier temps trois acteurs qui accepteraient d’accueillir les expérimentations de solutions innovantes et inédites. L’État prévoit d’engager jusqu’à 20 millions d’euros pour alimenter les investissements nécessaires. C’est au 16 juin 2021 que la date limite de cet AMI a été fixée.
Comment anticiper et réagir aux cyberattaques ?
Compte tenu des innombrables techniques employées par les hackeurs pour s’attaquer aux systèmes d’information des entreprises, et aux données des utilisateurs, il est impératif de savoir prévenir les cyberattaques, d’autant qu’avec la digitalisation, elles sont devenues de plus en plus sophistiquées et dangereuses.
L’anticipation d’une cyberattaque passe par de nombreuses mesures à mettre en place dans l’organisation d’une structure. L’objectif de ces mesures est de réduire le risque d’attaque, et le cas échéant, le risque d’indisponibilité totale en cas d’attaque.
Tout d’abord, l’anticipation passe par la sauvegarde régulière des données (serveurs de fichiers, d’applications, d’infrastructures, etc.) afin de pouvoir se retourner en cas de vol ou de perte. La maintenance des logiciels est également une mesure primordiale à inclure dans toute stratégie de sécurité informatique. L’idée est d’installer dans un délai court l’ensemble des mises à jour de logiciels afin d’en écarter les vulnérabilités non corrigées de systèmes d’information, qui peuvent devenir des portes d’entrées à des logiciels malveillants. De même pour les logiciels antivirus, qui peuvent empêcher une compromission et éviter le chiffrement des fichiers.
D’autre part, cloisonner son système d’information (SI) apparait comme un conseil plus qu’intéressant. Cela peut permettre d’éviter la propagation d’un logiciel malveillant sur l’ensemble du SI, et donc éviter d’amplifier les conséquences de l’attaque.
Comme précisé plus haut, parfois les intrusions malveillantes peuvent provenir de l’imprudence des utilisateurs en interne. C’est pourquoi limiter les droits des utilisateurs, instaurer des autorisations sur les applications ou encore maîtriser les accès internet peut empêcher les installations involontaires de programmes malveillants, et autres actions non contrôlées. La mise en œuvre d’une passerelle internet sécurisée impose un flux de sécurité supplémentaire et permet donc de réduire les risques.
Au-delà de toutes ces mesures, mises en œuvre par les départements informatiques, l’anticipation et la réaction à une cyberattaque passe par une sensibilisation des collaborateurs aux risques. La formation des utilisateurs aux bonnes pratiques de sécurité numérique a pour objectif de faire naître, ou de renforcer certains réflexes de sécurité.
De plus, il semble intéressant de mettre en œuvre un plan de réponse aux cyberattaques et de monter une stratégie de communication de crise-cyber. L’objectif est alors de limiter les impacts de la crise sur l’image et la réputation de l’entité, et de permettre à l’organisation de continuer à fonctionner dans le cas d’une altération plus ou moins sévère du SI.
A ce sujet-là, l’ANSSI a publié un guide « Attaques par rançongiciels : tous concernés » qui reprend de nombreux conseils pour anticiper et réagir à une cyberattaque.
Suite aux nombreuses attaques de 2020, et de début 2021, sur le secteur de la santé les hôpitaux sont sous pression. Sans parler de la pression amenée par la crise sanitaire actuelle.
Il semble vital de privilégier l’accès à la ressource de manière sécurisée, surtout dans des établissements détenteurs de données hautement sensibles comme les établissements de santé. La dimension d’accessibilité est à prendre fortement en compte : il est nécessaire de trouver un juste milieu entre un accès facile à la donnée et un accès sécurisé. La sécurité ne doit pas freiner l’information quand il y a des vies en jeu.
De nouveaux standards sont en train de voir le jour en termes de sécurité informatique, et des solutions émergent sur le marché. Les plans mis en place par les Gouvernements attestent de l’importance capitale de la sécurité informatique en 2021. L’objectif est maintenant de trouver des solutions qui profiteront à la fois aux utilisateurs et aux services informatiques.
Article rédigé par Pauline Monier – chargée de marketing et communication
