Dimanche 21 août 2022, le Centre Hospitalier Sud-Francilien à Corbeil-Essonnes a été touché par une cyberattaque qui bloque ses systèmes d’informations. La demande de rançon s’élève à 10 millions de dollars et l’hôpital n’a, pour l’instant, pas cédé au chantage. Comment s’est déroulée cette attaque et aurait-elle pû être prévenue ?
Décryptage de Cassie Leroux, Directrice Produit chez Mailinblack.
De quel type d’attaque le Centre hospitalier sud-francilien a-t-il été victime ?
C’est une cyberattaque de type Ransomware qui a touché le centre hospitalier. Il s’agit d’un logiciel malveillant qui bloque l’accès à aux outils informatiques et aux données en les chiffrant. Le hacker demande ensuite le paiement d’une rançon en échange, par exemple, d’une clé de décryptage. Cette attaque est principalement véhiculée par email, premier vecteur des cyberattaques en entreprise, via des pièces jointes malveillantes contenues dans ces derniers. Dans ce cas, un simple clic suffit pour que l’attaque aboutisse. Depuis 2020, les attaques par ransomware ont augmenté de +255% et c’est d’ailleur la principale menace identifiée en 2022. Le secteur de la santé fait partie des plus visés par ces types d’attaques.
Pourquoi les hôpitaux sont-ils une cible de choix des cybermalveillants ?
Un établissement de santé utilise environ 200 applications différentes. La majeure partie de ces dernières communique entre elles et échange de nombreuses données de santé. Si un hacker s’introduit dans une ou plusieurs de ces applications, il peut non seulement dérober les données échangées, mais également mettre à mal le système de partage d’informations au sein de l’établissement. Dans le cadre du Centre Hospitalier Sud-Francilien, ce sont tous les logiciels métiers de l’hôpital qui semblent être touchés : les systèmes de stockage d’imagerie médicale et le système d’information d’admission de la patientèle sont par exemple inaccessibles.
En plus de nuire directement aux capacités opérationnelles d’un hôpital, une cyberattaque peut donc viser ces données de santé stockées dans l’établissement qui se revendent à prix d’or sur des marchés parallèles et illégaux. Le prix des données de santé est plus élevé que celui des données bancaires : un dossier médical peut être revendu jusqu’à 300€.
Quels moyens peuvent être mis en place pour prévenir ces attaques ?
Une interconnexion comme celle-ci se doit d’être encadrée pour éviter de créer des failles informatiques exploitables. Au vu de la nature sensible et confidentielle des données de santé, il est important de tout mettre en œuvre pour que ces dernières ne puissent être dérobées ou être rendues publiques. Pour prévenir ces cyberattaques, il est nécessaire de penser une cybersécurité complète, intégrant solutions de protection et formation des employés. La technologie est un allié de poids pour protéger les organisations mais elle ne vaut rien sans le soutien et la formation du personnel de santé. Rappelons- le, 90% des incidents de sécurité sont liés à une erreur humaine.
Quels sont les risques pour l’hôpital ?
Les impacts d’une cyberattaque sur un établissement de santé sont nombreux et peuvent réduire l’activité de ces derniers. Parmi les plus importants :
La réduction de l’activité de certains services dépendant de la technologie (radiologie, laboratoire, etc…) ;
La mise hors service des ordinateurs servant à consulter les données des patients ;
La paralysie de certains outils numériques connectés (IRM, Scanner…) ;
L’impossibilité de transférer les informations sur les différents patients
Une cyberattaque ne s’arrête donc pas simplement à l’invasion des ordinateurs, elle peut aussi mettre à mal de nombreux équipements de santé et compliquer le quotidien du personnel soignant.
Le risque financier est également important : les coûts cachés sont 5 à 10 fois plus élevés que le coût de la rançon. Coûts d’interventions, rachat de matériel, frais d’interruption de l’activité, dégradation de la réputation, perte de confiance, investissements technologiques, formation, recrutements de profils cyber, etc. Ce sont autant de nouveaux coûts que l’hôpital doit envisager.
Les patients sont-ils également à risque ?
Les patients peuvent voir leurs données revendues sur le darknet. On peut donc imaginer plusieurs scénarios avec de bonnes chances de réussite telles que escroquerie, usurpation d’identité, spear-phishing,… Les impacts directs sur les patients en cas de cyberattaques sont faibles. Cependant, il ne faut pas les négliger pour autant. Même si dans le cas d’une attaque informatique, les hôpitaux reportent les interventions et transfèrent les patients en urgences vitales vers d’autres établissements, il ne faut pas oublier les conséquences que peuvent avoir de telles menaces informatiques.
En 2020, nous avons malheureusement assisté au premier décès humain lié à une cyberattaque. Ce drame s’est déroulé au sein de l’hôpital de Düsseldorf, qui était alors victime d’une cyberattaque paralysant l’ensemble des services. Cet incident a donc forcé le transfert de certains patients en urgence vitale vers d’autres hôpitaux de la région. Malheureusement, une patiente est décédée lors de son transfert, car elle n’avait pas pu recevoir les soins nécessaires à temps.
Véritable point de non-retour dans la lutte contre la cybercriminalité, cet événement souligne également le lien entre la santé des patients et le niveau de protection IT.