Peut-on mieux protéger nos hôpitaux contre les cyberattaques ? Oui, mais…

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 17 octobre 2022 à 16h00

S’ils ne sont pas les seuls à être touchés par les attaques informatiques, les hôpitaux restent les victimes qui émeuvent le plus l’opinion. Des progrès sont possibles, même à court terme, mais la solution miracle n’existe pas encore.

Les cyberattaques frappent des hôpitaux, des universités, des administrations, des entreprises et des particuliers, avec une actualité hélas riche (centre hospitalier de Corbeil-Essonnes, département de la Seine-Maritime…) et des méfaits pirates mis en lumière par les médias, même généralistes, qui s’emparent désormais du sujet. Aux Assises de la sécurité, où nous étions présents, nous avons cru bon de nous intéresser au cas tout particulier des hôpitaux, en peine face au risque cyber, en recueillant l’avis de multiples experts, issus de divers horizons. La route vers une meilleure protection est à la fois longue et semée d’obstacles, mais elle n’est pas impossible. En revanche, écarter tout risque relève aujourd’hui du fantasme.

Des hôpitaux attaqués par des acteurs qui peuvent se méprendre sur le système français

Lorsqu’il s’agit de se demander pourquoi les hôpitaux sont attaqués, Ivan Kwiatkowski, chercheur très réputé spécialisé dans l’analyse de virus chez Kaspersky, pose tout de suite le débat. « Je pense que c’est un problème culturel », nous dit-il.

« Dans l'imaginaire des attaquants, pour eux, l'hôpital, c'est un truc riche, parce que dans d'autres pays du monde, notamment en Amérique du Nord, les hôpitaux sont privés et les opérations ont un coût élevé, ce qui fait que ça brasse beaucoup d'argent. Les pirates pensent que le modèle s'applique en Europe, alors qu'il est différent. »

La réflexion interpelle en ce qu’elle nous semble relativement peu abordée ces temps-ci. On sait pourtant que les pirates se trouvent, pour la majorité d’entre eux, à des milliers de kilomètres de la France, sans connaissance réelle du système « à la française » et de la situation économique du secteur hospitalier. « Ce sont des cybercriminels. La partie déontologie, ils s'en fichent un peu, car ils pensent avant tout à générer de l'argent », explique Christophe Auberger, cyber-évangéliste Fortinet.

Les hôpitaux, un maillon comme un autre du business model du ransomware

Les hôpitaux se trouvent au cœur du business model du ransomware. « À partir du moment où le hacker se rend compte que ça fonctionne sur une filière, il va répliquer les attaques sur toute la filière », lance Christophe Auberger. « La plupart des cybercriminels que l'on voit aujourd'hui ne sont pas des gens qui ont des compétences. Beaucoup, notamment les cartels de la drogue en Amérique du Sud ou certains groupes mafieux en Russie, agissent dans le cyberespace simplement parce que c'est une activité comme une autre, comme le trafic d'armes, de drogue, d'êtres humains. Ils utilisent des plateformes RaaS, de Ransomware-as-a-Service, qu'ils peuvent louer. Ces plateformes sont optimisées pour un domaine. Donc, dès qu'une attaque aboutit sur un hôpital, on configure la plateforme pour qu’elle soit plus efficace dans ce domaine-là. Ensuite, on peut la répliquer », poursuit l’évangéliste.

Et ne pensons pas non plus qu’il existe une franche différence entre les hôpitaux publics et privés français. « En fait, ce n’est pas très différent », résume Christophe Auberger. « Il y a un peu plus de moyens sur les technologies dans les hôpitaux privés. Mais sur le problème de ressources, on est à peu près au même niveau », ajoute-t-il.

Une fois cela dit, on peut alors réfléchir aux moyens mis en œuvre pour mieux protéger les hôpitaux. Chez les professionnels de la cybersécurité, un certain consensus existe autour de trois éléments majeurs : l’amélioration des moyens techniques ; le renforcement de la sensibilisation des équipes hospitalières ; et le recrutement de forces cyber en leur sein.

Un défaut de compétences humaines (et de sensibilisation)

Pour Christophe Auberger, « ce qui fait cruellement défaut dans les hôpitaux, ce sont les compétences », au sens informatique et humain du terme. La mise en place des 150 groupements hospitaliers de territoire (GHT) n’a pas permis de pallier les problématiques de ressources humaines. « Un responsable de GHT me confiait que la volonté est réelle, mais que le résultat n'est pas si évident que ça. Lorsqu'on mutualise des ressources qui sont déjà mutualisées à plus de 100 %, on n’y gagne pas vraiment. »

Damien Frey, directeur général de Varonis pour la France, la Suisse et le Luxembourg, constate pour sa part « un manque de protection de base. » Ce dernier appelle à « donner les moyens aux hôpitaux de pouvoir investir dans l’IT, dans l’infrastructure, dans la cybersécurité. Tout ce qui va concerner la protection des points d’entrée, comme les e-mails, les laptops, nécessite plus d’investissements. »

Certains plaident pour une union sacrée avec les intégrateurs et éditeurs pour apporter de la valeur ajoutée et des services au monde hospitalier. Mais avant cela, la question cruciale de la sensibilisation du personnel hospitalier se pose, puisque l'humain reste le facteur numéro un dans la cybersécurité. « Il existe encore ce monde hospitalier où des données de patients sont sur des environnements de type Word ou PDF qui ne sont pas suffisamment suivis. On nous demande encore de remplir des documents qui, une fois scannés, deviennent des PDF qui se trouvent je ne sais où », regrette le dirigeant français de Varonis.

La médiatisation, l’optimisation du software… des solutions qui émergent au milieu des risques et des drames

Nous sommes dans un monde de plus en plus connecté, mais pourtant encore trop peu sensibilisé à la cybersécurité. C'est un fait. En cas d’attaque transformée, les conséquences peuvent être graves. Outre l'exemple des données sensibles en fuite, les patients peuvent être les tristes victimes collatérales des hackers. « En 2020, une patiente est morte dans un hôpital en Allemagne, en raison d’équipements qui s’étaient arrêtés après une cyberattaque », se souvient Damien Frey, même si cette mort fut qualifiée quelques semaines plus tard comme homicide involontaire, non imputable à l'attaque informatique, faute d'éléments.

« Les pacemakers peuvent aussi être hackés », poursuit-il. « Marie Moe, une chercheuse en cybersécurité à qui l'on avait implanté un appareil à la suite d'un problème cardiaque, a mené des recherches à ce sujet, en arrivant à la conclusion qu’un pacemaker pouvait bien être compromis à distance, et ce, quelle que soit sa marque. »

Les pacemakers sont des objets connectés qui peuvent aussi être piratés © ulleo / Pixabay

David Grout, directeur technique Europe de Mandiant (récemment racheté par Google), voit dans la médiatisation actuelle des piratages d’établissements de santé un avantage, « celui de faire parler de la chose, de l’expliquer à des gens qui ne sont pas obligatoirement des experts de la sécurité, de la mettre en avant d’un point de vue politique aussi ». Cela pourrait alors aider à renforcer la sensibilisation.

L’une des solutions pourrait être d’optimiser la partie software des hôpitaux. « Mais ici, on est sur du plus long terme », tempère David Grout. « Aujourd'hui, être capable de faire de la maintenance à distance sur une IRM, c'est une avancée : on peut faciliter les mises à jour, la récupération des données, etc. Mais d'un autre côté, on ouvre la fenêtre d'attaque, la plage de vulnérabilités potentielles qu'un attaquant pourrait exploiter. C'est plutôt dans l'équilibre des choses, entre équipements nouveaux et anciens, via une amélioration du système, qu'il y a un travail à faire. »

L’argent, le nerf de la guerre…

« Entre l’acquisition d’un scanner et celle d’un firewall, le choix est vite fait dans les hôpitaux. » Ce que nous dit Christophe Auberger ici permet d’aborder la question économique de la cybersécurité dans le milieu hospitalier. « Donner plus de moyens est fondamental », ajoute l’expert de Fortinet. Il rappelle au passage que 350 millions d’euros ont été débloqués pour le numérique et la cyber dans le cadre du Ségur de la santé.

Ivan Kwiatkowski, chercheur au GReAT de Kaspersky, va même encore plus loin et affirme « qu’il ne faut pas faire de la sécurisation des hôpitaux une priorité », avant de justifier, puis de nuancer ses propos. « Sécuriser, c'est un process qui coûte de l'argent, qui est long, et en pratique, on sait que l'on est dans un système hospitalier où l'on n'a pas assez de lits pour les gens. On l'a vu plus que jamais avec la crise du COVID, avec un hôpital sous tension. Quitte à choisir, je trouverais plus logique que l’on mette de l’argent dans des lits, infirmiers et médecins, plutôt que dans la sécurisation des systèmes. Mais évidemment, oui, sur la protection cyber, il faudra y aller, car personne ne veut voir des données personnelles médicales, hautement sensibles, dans la nature. »

Si les RSSI (responsables de la sécurité des systèmes d’information) gagnent en pouvoir, qu’ils sont un peu plus écoutés que par le passé, qu’il existe une demande de visibilité sur le niveau d’exposition des données de chaque établissement et que les médecins commencent à prendre conscience du risque cyber, les limites à un progrès réel de la sécurité dans les hôpitaux sont encore réelles. D’autant plus que les sous-traitants connectés aux hôpitaux sont aussi des cibles pour les hackers.

… et la motivation principale des pirates

Les données aujourd’hui volées dans le cadre d’un ransomware sont utilisées pour faire du chantage aux hôpitaux. « Le but, c’est de faire pression sur l’hôpital en le menaçant de balancer les données des patients s’ils ne paient pas la rançon. Pour l’hôpital, qui a une responsabilité morale envers ses patients, ça rajoute de la pression », explique Ivan Kwiatkowski.

Ce dernier s’inquiète que les données récupérées puissent tomber, à moyen ou long terme, dans les mains de banques et d'assureurs peu scrupuleux qui refuseraient des clients grâce à ces dernières. « Pour les assureurs, il s’agirait d’une violation pure et simple du secret médical, et ce serait totalement immoral », précise-t-il.

Le sentiment est partagé par Christophe Auberger, pour qui les données dérobées peuvent « intéresser des gens qui mènent des études sur telle ou telle pathologie, sur des molécules médicamenteuses et autres, ce qui est interdit. Et le pire, c’est que ces données vont profiter à des acteurs qui, à la base, sont honnêtes et qui peuvent ignorer la façon dont elles ont été récoltées. »

« Le deuxième cas d'utilisation, c'est celui de l'usurpation de l'identité. Les données peuvent alors être utilisées pour mener des arnaques aux assurances ou aux mutuelles », n’oublie pas l’expert en sécurité informatique.

Tenter de limiter la casse

Dans le cas de l’hôpital de Corbeil-Essonnes, il n’y a hélas plus grand-chose à faire, puisque la rançon réclamée par les pirates ne devrait en théorie pas être payée. Les données ont fuité, et désormais, il faut penser à la reconstruction du système. Ce processus peut prendre jusqu’à un an et générera au moins deux à trois mois de perturbations importantes.

Après cela, « donner des garanties au patient sur la protection de ses données lorsqu’il se rendra [dans n’importe quel] hôpital restera compliqué », prévient Damien Frey. Mais deux axes sont à développer pour tenter de mieux protéger les hôpitaux à l’avenir : « Celui de la limitation de l’attaque par la détection, c’est-à-dire la protection au plus tôt, et celui de la résilience. » Ici, David Grout, de Mandiant, pense à la capacité, pour un hôpital soumis à une attaque, « à réagir rapidement pour limiter le temps de présence du cybercriminel, pour relancer rapidement une production ou un service. »

La dimension culturelle est aussi importante. « Dans les hôpitaux, il y a un partage des ordinateurs, des mots de passe. On voit de plus en plus d’industriels lancer des plans de résilience pour renforcer la protection et limiter les risques », ajoute le spécialiste, prudent mais confiant en l'avenir. La route sera longue, oui, le risque zéro reste pure utopie, oui. Mais tout effort ne sera pas vain.

Ce dossier thématique sur la cybersécurité est le premier d'une série que vous pourrez découvrir ces prochains jours sur Clubic, à la suite de notre visite aux Assises de la sécurité qui se tenaient du 12 au 14 octobre à Monaco. Merci à tous les spécialistes qui ont accepté de répondre à nos questions, et rendez-vous au prochain épisode.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

TotO

Pour ce genre d’institutions, le réseau devrait-être déconnecté d’Internet.

Nerva

Que sait-on de la sécurité d’un hôpital (à moins d’être un spécialiste en la matière) ? On doit se contenter de voir et d’analyser. Dans chaque service, des PC portables connectés en Wifi sur des « servantes » mobiles. Dans les couloirs, on voit des médecins, tablette en main, envoyant et recevant des données. Des points d’accès Wifi gratuits pour les patients (comme si on était dans un hôtel et que les clients mécontents de l’absence d’Internet « gratuit » allaient pouvoir menacer d’aller dans un autre établissement !). Rien qu’avec ça, on se doute bien que la sécurité est illusoire…

Nmut

C’est aussi malheureusement dans un hôpital qu’il y a le plus besoin d’interconnexions: transferts d’information sur les patients, co-diagnostiques, maintenance du matériel, évolutivité du matériel et du logiciel, … Tout ça avec les « moyens du bord » (regroupement d’hôpitaux et de services informatiques => besoin de connexion encore une fois). C’est sur que c’est la porte ouverte à tous les abus mais difficile de faire autrement.
Quel politique va dire « Ok, je mets du fric pour l’hôpital mais cela ne sera pas pour les soignants ni pour les malades »…

TotO

Un réseau n’a pas besoin d’Internet pour cela. A l’Etat de faire ce qu’il faut.

Nmut

Tu connais le prix d’un réseau en propre?
Et de toute façon, il y aurait des passerelles vers internet (certes plus faciles à contrôler)
pour les fournisseurs, et donc de gros points faibles. Au final, attendu que les problèmes de sécurité sont à 90% à l’origine une erreur humaine, je pense que la formation est infiniment plus rentable.

Roster1

je doute que ca puisse se faire sans complice a l’intérieur, suffit de voir quel premier ordi a été infecté et vous aurez le service du hacker en chef

TotO

Tu connais les fournisseurs d’accès pour les fourniseurs d’accès Internet ? L’Etat peux très bien avoir un réseau privé qui utilise les infractructures existantes. Aucune connexion à Internet possible car pas d’Internet.

Nmut

Je ne pense vraiment pas que financièrement cela soit possible. J’ai travaillé dans diverse industries sensibles et je n’ai plus vu de réseau privés depuis peut être 20 ans. Même les militaires dépendent d’internet, il n’y a que les communications hertziennes qui sont sur une techno de communication propre (et encore basée sur des composants OTS).
Et quand je parle de fournisseurs, je parle de la pharmacie, du matériel, de la bouffe, …

Nmut

Soyons plus « optimiste », c’est l’ordi du premier « gaffeur ».
Comme pour tout incident ou accident, la faute est TOUJOURS partagée: il y a toujours une erreur humaine (formation insuffisante, procédures trop contraignantes donc non respectées, démotivation, dilution de la responsabilité, informations contradictoires, non prise en compte des biais cognitifs, …) et rarement une intention directe au niveau du « maillon faible ».

promeneur001

De ce que j’ai lu à chaque fois, le virus était dans un courriel ou une page web.

Un bon anti-virus possède une fonction de scan à l’ouverture (lecture) d’un document et à sa fermeture (écriture), quelque soit son origine (disque, disquette, CD, clé USB). Il existe des anti-virus pour serveur de courriel qui scannent les courriers entrants et sortants.

Faut-il en conclure que les responsables de l’informatique n’ont pas déployé d’antivirus ? ça parait incroyable. Dès le début des années 90 j’ai déployé un anti-virus sur tous les postes de travail de mon centre de recherche (60 personnes, budget famélique, 6 serveurs). J’étais à l’époque le service informatique à moi tout seul.

Bref, pas besoin d’une équipe de sécurité dans ce cas là.