Le CHU de Corbeil-Essonnes est victime d’une attaque informatique depuis la nuit du 20 au 21 août.Dans ce cas, la santé des patients n’est "pas mise en danger".Mais le risque est loin d’être négligeable pour les hôpitaux, particulièrement vulnérables face aux pirates.
"Les infos ne circulent pas du tout. Tout se fait à la main et c’est très compliqué." Comme en témoigne un membre du personnel au micro de TF1, dans le reportage en tête de cet article, la situation est particulièrement tendue au centre hospitalier de Corbeil-Essonnes, situé en Essonne, depuis samedi 20 août. Cette nuit-là, une attaque informatique a paralysé plusieurs des serveurs de l’hôpital. Et ce mardi 23 août, les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information sur les admissions étaient toujours inaccessibles, d’après la direction. Une rançon de 10 millions d’euros a été demandée à l’établissement, qui ne prévoit pas de l’honorer, comme exigé par les autorités.
Je suis de près la situation au Centre hospitalier Sud Francilien de Corbeil-Essonnes, touché par une #cyberattaque . C’est un acte inqualifiable, ses auteurs seront poursuivis. Plein soutien aux équipes mobilisées pour la sécurité & la continuité de prise en charge des patients. — François Braun (@FrcsBraun) August 22, 2022
L’hôpital de Corbeil-Essonnes n’est pas le premier à être touché par une cyberattaque. Depuis quelques années - et le phénomène s’est accentué avec la pandémie - les hôpitaux sont des cibles privilégiées des pirates. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) estimait ainsi à une par semaine le nombre d’attaques touchant le secteur de la santé en 2021. Comme le fait remarquer Corinne Henin, spécialiste en cybersécurité, les établissements sont victimes en premier lieu du simple "opportunisme" des pirates, qui visent un ensemble d’organismes par de l’hameçonnage ou des tentatives de connexions à des réseaux grâce à des mots de passe faibles.
Le numérique, "un risque secondaire et abstrait"
Mais si ces établissements sont touchés par ces attaques, c’est qu’ils affichent une certaine vulnérabilité. D’abord, ils ont l’obligation de poursuivre leur activité et de continuer à prendre en charge et à soigner leurs patients. Cette exigence peut conduire les auteurs d’attaques à penser que la rançon finira par être payée, selon les experts que nous avons interrogés. Ensuite, les pirates peuvent aussi miser sur la valeur des données personnelles des patients qu’ils ont collectées, qu’ils menacent de divulguer en l'absence de paiement. "C’est une manière de monétiser leur action", soutient Jean Gras, directeur des opérations informatiques de TF1. "Ils peuvent toujours vendre ces données car un dossier médical peut valoir plusieurs centaines d’euros sur le dark web."
Ensuite, le système informatique des hôpitaux n’est souvent pas assez performant, bien que cela varie d’un établissement à un autre. "Par rapport aux enjeux sanitaires et à l’état critique de certains patients, le numérique apparaît souvent comme un risque secondaire, lointain et abstrait", soulignait à ce titre Olivier Véran, alors ministre de la Santé, en mai 2021. Christophe Gueguen nous parle volontiers de "ces sous-investissements en informatique et en sécurité dans les hôpitaux pendant des années". D’après le spécialiste en cybersécurité du cabinet Magellan Partners, les systèmes actuels des hôpitaux présentent des vulnérabilités. Or, ceux-ci "ne peuvent pas être changés comme ça, tout en assurant le soin des patients et la continuité de service". Selon Jean Gras, "la menace augmente plus vite que leur capacité à répondre. C’est connu, c’est un secteur qui a un problème de moyens". Malgré tout, le niveau de sécurité s’améliore depuis une dizaine d’années, sous l’impulsion de l’ANSSI.
En mai 2021, le gouvernement a profité du Ségur de la Santé pour accorder une enveloppe de 25 millions d’euros à la sécurité informatique des établissements de santé. En septembre, l’agence a quant à elle relevé le niveau de sécurité de 135 hôpitaux, devenus des "opérateurs de service essentiels", impliquant des règles de sécurité informatique plus strictes. "Il y a déjà eu des premières opérations, notamment des plans de contrôle et d’évaluation en fin d’année dernière dans différents établissements de santé", ajoute Christophe Gueguen. Avant de relativiser : "Attaquer, c’est facile. Mettre en sécurité des systèmes tout en assurant la continuité de service, c’est plus compliqué. Il s’agit de cloisonner, repenser les systèmes… Il y a un chantier assez titanesque pour les établissements."