L'an dernier, les hôpitaux français ont dû subir plus de 250 cyberattaques

Par Stéphane Ficca, Spécialiste hardware & gaming.

Publié le 22 mai 2024 à 17h28

Les établissements de santé ne sont pas épargnés par les cyberattaques © Shutterstock

Selon l'Agence du numérique en santé, ce sont 581 incidents qui ont été recensés l'an dernier dans les hôpitaux et les établissements médico-sociaux. Parmi eux, plus de 250 sont des cyberattaques.

En effet, les établissements médicaux restent une cible privilégiée pour les cyberterroristes. En 2023, ce sont plus de 250 cyberattaques qui ont été recensées. Cela ne représente pas une hausse particulière, avec un chiffre qui reste stable d'une année sur l'autre, mais cela reste néanmoins inquiétant.

A découvrir

Qu'est-ce qu'un ransomware ou rançongiciel ? définition

30 décembre 2023 à 15h57

Décryptage

Les hôpitaux (encore et toujours) visés par les cyberterroristes

En effet, si les hôpitaux font partie des cibles privilégiées, les laboratoires de biologie sont également visés, tout comme certains Ehpad. Pour les cyberterroristes, il s'agit bien souvent de mettre la main sur des données privées, et parfois de mettre à mal toute la structure informatique (mais pas seulement) d'un établissement.

Toujours selon l'ANS, les attaques se manifestent sous plusieurs formes, allant parfois jusqu'à des demandes de rançon afin, pour les hôpitaux notamment, de récupérer de précieuses données.

Au micro de Franceinfo, Olivier Ruet-Cros, analyste à l'Agence du numérique en santé, se veut toutefois rassurant : « Les systèmes de prévention commencent à fonctionner. Plus ça va, plus on est capable d'avoir des signalements qui nous arrivent en amont, donc avant que ce soit trop critique. »

Les hôpitaux sont des cibles de choix pour les hackers © Pixabay

Vers une sécurité accrue au fil des mois ?

Selon l'Agence du numérique en santé, la certification des hébergeurs de données de santé (HDS) permet de garantir la sécurité de l'hébergement des données de santé. En vigueur depuis novembre 2017, c'est l'un des premiers piliers de la régulation du numérique en santé en France.

À ce jour, 302 acteurs ont été certifiés. Neuf organismes sont accrédités par le comité français d'accréditation (COFRAC) pour procéder à ces certifications. Les hébergeurs de données de santé déjà certifiés HDS devront obtenir la nouvelle certification HDS, conformément à un nouveau référentiel HDS, dans un délai de 24 mois, soit au plus tard le 16 mai 2026.

Au début de l'année, on se souvient que l'hôpital d'Armentières (Nord) était l'objet, en pleine nuit, d'une attaque de type ransomware. Les urgences avaient notamment été fermées durant l'ensemble du week-end, pour des raisons de sécurité.

Source : France TV

Par Stéphane Ficca

Spécialiste hardware & gaming

Fervent amateur de jeux vidéo et de high-tech, spécialisé en Mega Man 2 et autres joyeusetés vidéoludiques ancestrales.

Articles de Stéphane Ficca

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

Laurent_Marandet

Le HDS est une fumisterie totale, qui n’existe qu’en France et pas dans d’autres pays européens: après avoir étudié la question, j’ai compris qu’il faut payer une boîte privée environ 10 000 euros et passer trois mois à être audité, ce qui est prohibitif pour un petit prestataire.

Le pire, c’est que tous les médecins, laboratoires d’analyses et centres médicaux que je connais sont hors la loi car leurs ordinateurs de bureau et leur serveur de fichiers local n’ont pas été audités et certifiés.
En fait, ils seraient dans les clous si ils n’avaient rien sur leur disque local mais qu’ils travaillaient en bureau à distance chez Microsoft, OVH ou un autre hébergeur agréé.

C’est grotesque, d’autant qu’avec la mascarade du pass covid, les patrons de restaurant avaient d’une certaine façon un accès à des données de santé avec les pass sanitaires, tout comme la police et surtout les entreprises comme doctolib et autres.

Cette réglementation HDS est juste une façon d’assurer un monopole juteux à des gens comme Microsoft alors même qu’ils dépendent des lois extra-territoriales américaines.

Laurent_Marandet

J’aimerais bien avoir plus de détails sur le vecteur de ces attaques, est ce le contrôleur de domaine qui est attaqué, ou bien est ce que cela démarre par un simple email piégé ?

Je pense que tous ces hôpitaux sont 100% sous Windows, éventuellement avec des versions anciennes non patchées.

leaskim

Tu ne connais visiblement pas beaucoup le sujet. HDS s’applique uniquement aux données de santé hébergées pour un tiers (les patients d’un autre). Quand tu héberges tes propres données, il n’y a aucune raison d’être certifié HDS. Le pass sanitaire était effectivement une donnée de santé, c’est pour ça que le résultat indiquait seulement « OK » quand il était scanné pour vérification, et pas l’ensemble des données de santé. C’est un peu hypocrite mais la différence est importante.

leaskim

Les hostos sont 50% microsoft 50% linux sur les serveurs (ça peut varier un peu mais Linux n’est pas nul), et 99,9% microsoft sur les postes. Les ransomwares sont majoritairement installés après une première compromission, généralement via un email de phishing. Un lien ou un fichier qui exécute un script, qui va télécharger une charge, qui va donner la main à un pirate, qui va gagner en privilèges, télécharger une autre charge et exécuter le ransomware au moment où les équipes de la DSI mettront le plus de temps à réagir (week-end, nuit)

Nmut

250 attaques, ça me semble infiniment faible, une PME se prend d’une dizaine à quelques milliers d’attaques par jour…

Ou alors c’est 250 attaques réussies et détectées, et cela reste finalement assez faible!
il y a pour moi 3 possibilités:

la sécurité est meilleure que je ne le pensais (peu probable vu ce que j’ai vu).
les pirates ont un petit peu d’éthique (probabilité???)
énormément d’attaques passent sous les radars…

@leaskim Toi qui semble avoir des sources, tu en penses quoi?

leaskim

@Nmut Dans la santé on a l’obligation de déclarer les incidents de sécurité. 581 c’est le nombre de déclarations, et 250 c’est la catégorie intrusion / virus j’imagine. Je pense que ça ne comprend pas toutes les campagnes de phishing par exemple, mais seulement des vrais incidents graves (intrusions, virus dont ransomware). Je sais que pas mal d’établissement font l’impasse sur les déclarations donc ça ne représente pas exactement la réalité.

A contrario de ce qu’on pense, la santé n’est pas plus ciblée qu’un autre secteur (environ 10% des attaques, de mémoire).

Sinon, non les pirates n’ont pas beaucoup d’éthique. Certains gros groupes comme Lockbit font mal. La sécurité dans les hôpitaux a beaucoup bougé depuis 2 ans, avec beaucoup de programmes et subventions, mais en dehors des CHU (et encore pas tous), ça reste un niveau très moyen.

Nmut

Pas que dans la santé!
Toute suspicion de fuite de données doit être déclarée, encore faut-il le savoir… Si il y a peu de traces, pas de chantage ni de fichier avec une provenance définie en vente, il doit y avoir pas mal de problèmes ignorés. J’imagine bien que dans certains cas, les pirates ne se vantent pas pour se garder une « ressource » intéressante.