Cybersécurité : l’hôpital, "nouvelle cible" des hackers

Comment les hôpitaux sont-ils devenus des cibles de la cybercriminalité?

Jusque-là, les hôpitaux étaient attaqués mais n’étaient pas ciblés. On avait déjà eu à faire face à des virus, à des crypto-virus (logiciels malveillants), y compris dans ces établissements, mais souvent, c’était au hasard d’une clé USB venue de l’extérieur ou d’un manque de prudence d’un utilisateur. Ces dernières années, la donne a changé : on a davantage l’impression qu’on est sur quelque chose de pensé et de volontaire contre l’hôpital.

A quand remontent ce type d'attaques ciblées dont vous parlez?

Le début de ces attaques ciblées est difficile à évaluer dans le temps. Prenons le cas de l’hôpital de Rouen par exemple (le CHU de Rouen avait été frappé par une cyberattaque massive en novembre 2019, ndlr.), on n’est pas certains que l’hôpital était vraiment ciblé. On pense que le crypto-virus était dans l’établissement, mais que les hackers ne savaient pas forcément qu’ils se trouvaient dans ce type d’établissement. A contrario, début 2020, on a eu pendant la première période de confinement, un établissement dans lequel les hackers étaient vraiment rentrés et avaient attaqué les serveurs de sauvegarde. Dans ce cas précis, on pense qu’ils ne pouvaient pas ignorer qu’ils étaient dans un hôpital. On a donc envie de situer les premières attaques ciblées contre les établissements de santé à cette période-là, mais c’est difficile à dire. On peut toutefois considérer qu’une barrière psychologique est tombée. Alors que l’hôpital apparaissait jusque-là comme un sanctuaire, des groupes de hackers profitent de la crise sanitaire pour s’attaquer aux établissements qu’ils espèrent plus à même de payer une rançon.

Contrairement à l’image que l’on pourrait avoir du petit surdoué tout seul chez lui, on est face à des groupes de hackers avec des compétences complémentaires.

Comment se déroule une cyberattaque ?

Cyrille Politi : Généralement, une cyberattaque part d’un groupe de hackers très spécialisés. Contrairement à l’image que l’on pourrait avoir du petit surdoué tout seul chez lui, on est face à des groupes avec des compétences complémentaires : des gens qui savent coder du logiciel, qui prennent un virus sur internet, le modifient pour le rendre plus méchant, de sorte que les anti-virus ne puissent pas le reconnaitre, d’autres qui sont plutôt spécialistes de la sécurité informatique, qui savent repérer et passer à travers des failles, d’autre encore spécialistes des systèmes…

Ensuite, l’attaque peut être complètement graduée dans l’hôpital en fonction de la porte d’entrée qu’ils ont trouvée, de ses infrastructures, des résistances rencontrées, du niveau de sécurité de chacun des serveurs de l’établissement, etc. Le succès de l’entreprise est donc dépendant d’un certain nombre de paramètres. En réalité, ces hackers tentent de réaliser l’attaque la plus forte possible : une fois rentrés sur les systèmes, ils cherchent à se latéraliser, c’est-à-dire à déployer au maximum leur virus avant de le déclencher. Et en général, ils le déclenchent au beau milieu de la nuit ou un vendredi soir, à un moment où les équipes sont réduites et la réponse moins rapide, comme ça a été le cas dans les deux exemples de Dax et de Villefranche.

Lorsqu’ils déclenchent l’attaque, les serveurs se bloquent les uns après les autres. Les utilisateurs, empêchés de travailler, joignent l’équipe informatique, qui, alertée, commence par bloquer les accès extérieurs. L’objectif : éviter à tout prix que le virus se répande sur d’autres machines (en débranchant les accès réseaux et en isolant les machines déjà infectées pour limiter la contamination).

Cette réaction de l’utilisateur suffit-elle ?

Je vais prendre une image parlante : on est vraiment dans un parallélisme des formes avec la propagation d’un virus comme celui du Covid. Pour s’en protéger, il va falloir qu’on ait nos propres gestes barrières (ne pas ouvrir un mail qui semble douteux, ne pas connecter une clé USB non vérifiée,…) mais la sécurité au sens large, la vigilance, c’est toujours : de la technologie et de l’humain. Il est donc primordial de travailler sur ces deux fronts. Les directions du système d’information (DSI) et les Responsables Sécurité du Système d’Information (RSSI) le savent, mais sont toujours plongées dans un jeu du chat et de la souris entre d’un côté les technologies de sécurité et de l’autre, les cybercriminels qui s’adaptent rapidement (là encore l’ombre du Covid n’est pas loin, avec l’image cette fois des variants, qui mutent et s’adaptent). Si l’on n’avait pas tout ce travail réalisé sur les technologies, pour tenter d’anticiper les attaques de façon à sécuriser le système, il ne suffirait pas de sensibiliser les utilisateurs.

Une barrière psychologique est tombée. Alors que l’hôpital apparaissait jusque-là comme un sanctuaire, des groupes de hackers profitent de la crise sanitaire pour s’attaquer aux établissements affaiblis.

Quels sont les risques associés à ce type d'attaques dans les hôpitaux ?

Le plus fort du risque est la désorganisation de l’hôpital. Avec le temps, on a informatisé les unités de soins, les prescriptions de médicaments, les plans de soin… mais tout ça s’est accompagné de procédures (même si le terme est très vilain) dites dégradées, c’est-à-dire que si l’informatique tombe en panne, ces procédures permettent aux soignants d’avoir, en local, des sauvegardes très régulières. Ainsi, même si les soignants sont confrontés à une panne, ils ont accès à un plan de soin qui a généralement au maximum 60 minutes. Quand maintenant on parle à l’échelle de tout un hôpital, la désorganisation est massive et ça veut dire que tout le personnel doit d’un coup basculer d’un mode d’organisation à un autre. C’est très invalidant.

Il y a les dossiers des patients, la téléphonie, mais aussi les appareils chirurgicaux, de réanimation… 

Absolument. Aujourd’hui, il n’y a pas un appareil biomédical qui ne soit pas connecté au réseau. Même un respirateur envoie des données sur un logiciel. Alors évidemment, on pense scanner, IRM, automate de laboratoire… Oui, une cyberattaque pourrait être gravissime, mais j’aimerais relativiser un peu : un système d’information est fait de plusieurs dizaines, voire de centaines de logiciels interconnectés. Les hackers vont plutôt cibler les grosses applications (le Dossier Patient Informatisé)… S’il y a une intervention rapide de la DSI qui parvient à isoler le virus, on peut imaginer que les dégâts soient limités. Par exemple, à Villefranche, les appareils de suivi en salle de réanimation aux urgences étaient fonctionnels dès le lendemain matin (soit quelques heures après l’attaque). A Dax aussi – et il faut le souligner - il y a eu une très bonne coordination entre les équipes de la DSI et les équipes des ingénieurs biomédicaux, ce qui leur a permis de réagir rapidement. Cela signifie également que nous devons pouvoir compter sur nos fournisseurs de logiciels et de matériels, et qu’eux aussi travaillent de façon proactive.

Doit-on craindre un risque vital causé par une cyberattaque dans un hôpital ?

On a connaissance d’une patiente morte en Allemagne suite à une cyberattaque, il y a environ 6 mois. La menace est donc réelle et à prendre très au sérieux. Tant que les hôpitaux n’étaient pas ciblés, le risque était limité. A partir du moment où le risque devient plus important pour les établissements, et comme tout est informatisé, je ne dis pas que les hackers vont se mettre à cibler quelque chose qui pourrait tuer, mais c’est une éventualité, dans le lot des choses qu’ils attaquent, qu’ils touchent des machines dont le dysfonctionnement pourrait avoir de telles conséquences.

Les plans avancés par le gouvernement sont-ils à la hauteur des attentes?

En tout cas, il y a des plans. L’Etat essaie de réagir vite et fort, sachant que les hôpitaux ne sont pas les seuls à essuyer des attaques en ce moment. Les communes, les intercommunalités, l’ensemble de la société et de l’économie française en sont victimes en réalité. On peut considérer qu’on est dans le cadre d’une guerre (mondiale) et que certains états sont complaisants sur cette question, voire même impliqués. Dans cette logique, si on voulait déstabiliser un état et son système de soin, attaquer un hôpital pourrait s’avérer être une arme. Il faut donc qu’on ait, en France, une stratégie qui permette de nous en prémunir.

Les retours d’expérience des attaques récentes doivent nous servir à établir des lignes directrices immédiates, claires et éventuellement contraignantes. Nos établissements de santé ne doivent pas se retrouver seuls. Tous nos collègues dans les hôpitaux ont réagi très vite en s’assurant déjà que leur système de sécurité était bien à jour, en faisant passer des messages aux utilisateurs etc, mais l’échelle a changé et ils ont besoin d’aide.

Vous dites donc que 2025 (année citée par Emmanuel Macron comme horizon de son plan) c’est bien, mais qu’il faut agir tout de suite ?

Mon horizon c’est demain. Si vous avez demain un groupe de hackers qui décide d’attaquer plusieurs hôpitaux en même temps parce qu’une faille le permet, que fera-t-on ? On a vraiment besoin de la ressource d’expertises mutualisées sur cette question de la cybersécurité. C’est d’ailleurs pour cela que la FHF demande à ce que les hôpitaux soient désignés comme ‘Opérateurs de services essentiels’ (OSE) . La directive européenne NIS permet de reconnaitre l’hôpital comme secteur sensible et stratégique de la Nation, ce qui permettrait au monde hospitalier de bénéficier de l’accompagnement financier, méthodologique et d’expertise mutualisée qui vont avec. L’hôpital a un statut autonome, ce qui sous-entend qu’il doit se débrouiller – et c’est ce qu’il fait. C’était suffisant en termes de sécurité par rapport au risque encouru jusque-là. Aujourd’hui, on voit bien que le risque a changé de nature, donc il faut aussi que notre réponse change de nature.

En tant qu’expert, êtes-vous inquiet ?

Je suis assez inquiet oui. Depuis vingt ans, on a informatisé ce qui concerne le cœur de métier de l’hôpital. Ça va continuer à s’accélérer, et c’est tant mieux. L’hôpital intègre toujours de nouvelles technologies, des innovations. C’était hier les équipements biomédicaux, demain ce sera l’intelligence artificielle… Et il faut continuer. Mais à chaque fois, on va un peu plus loin dans le cœur de métier de l’hôpital, c’est-à-dire le soin. On n’est plus alors seulement dans le suivi des actions qui ont été faites, mais dans la prise en charge elle-même, qui va être informatisée. Cette réalité-là, conjuguée au fait que le risque a changé de nature, ça veut dire que vraiment, il faut qu’on prenne ces questions de la sécurité de façon encore plus importante et qu’on y consacre plus de moyens. Et ça, l’hôpital ne pourra plus le faire seul.