Cyberattaques des hôpitaux : des hackers sans scrupule

En 2022, sans doute motivés par le caractère sensible des informations et la forte médiatisation des attaques, les cyberattaquants ont fait des hôpitaux une cible de choix.

• Comment mettre fin à l’hémorragie ?
• Est-ce une bonne idée de mutualiser les compétences entre plusieurs hôpitaux ?
• Quelles spécificités des métiers de la santé viennent rendre plus compliquée la cyberdéfense en environnement hospitalier ?

Attirés par les précédents de cliniques privées américaines capables de payer des rançons à plusieurs millions de dollars. Motivés par le caractère sensible facilement exploitable des informations et la forte médiatisation des attaques. Voici les deux principales raisons des cyberattaquants qui font que les hôpitaux sont des cibles de choix.

Entre janvier 2022 et mai 2023, plusieurs attaques informatiques ont été publiquement connues, parmi lesquelles : “14 attaques par rançongiciels menées par 3 acteurs malveillants (LockBit, Vice Society et Industrial Spy), 16 attaques en déni de service distribué (DDoS) menées par le groupe Anonymous Sudan contre des sites Internet d’hôpitaux sans impact sur l’offre de soins et 13 cas de compromission ou tentative de compromission d’un SIH de nature inconnue ou ayant été empêchée” détaille Maxime Cartan, Citalid.

S’il est difficile de connaître le nombre exact d’établissements victimes de cyberattaques par ransomware en France, les attaques visibles, déclarées par les organismes ou publiées par les attaquants, sont en nette augmentation. Le CHU de Dax, Corbeil-Essonnes, Brest, Versailles, tous attaqués, ont été contraints de fonctionner en mode dégradé pendant plusieurs semaines.

“Le manque de personnel, de moyens, les équipements médicaux connectés dont les OS sont obsolètes et non sécurisés. La numérisation par “à coup”, les accès à privilèges, les objets connectés des patients… Autant de raisons qui font des organismes de santé des cibles vulnérables et privilégiées par les cyberattaquants” explique Adrien Merveille, Check Point.

Face à la pénurie de talents et un manque de moyens, la sensibilisation du personnel hospitalier est plus que jamais indispensable pour accroître la cyber-résilience des hôpitaux : “pour sauver la vie, un soignant doit aussi intégrer des mécanismes d’hygiène de cybersécurité” complète Matthieu Dierick, F5.

Il est également temps de procéder à des audits, rationaliser le nombre d’outils de sécurité, segmenter les réseaux et permettre aux hôpitaux de rattraper leur “dette technologique”.

“Au-delà des impacts directs – Internet et messageries bloqués, dossiers patients inaccessibles, rupture des chaînes d’approvisionnement… – le vol des données médicales ou personnelles fait peser des risques en cascade sur les patients. Resté invisible, sans forcément passer par la case demande de rançon, un groupe d’attaquants peut mener des escroqueries grâce aux données personnelles usurpées” complète Pierre-Antoine Failly-Crawford, Varonis.

Le cadre réglementaire évolue pour pousser à agir et lutter contre les cyberattaques visant les les hôpitaux. Tout d’abord, avec l’obligation pour les hôpitaux d’investir 5 % de leur CA dans des solutions de cybersécurité pour pouvoir accéder aux subventions et aides publiques. D’autre part, les autorités de santé (ARS) vont plus loin. Il est question pour l’ensemble des établissements de santé de devoir effectuer un exercice de crise avant 2024 et d’acquérir les premiers réflexes à adopter en cas de cyberattaque.

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.