Après Dax, Villefranche : les hôpitaux, "victimes de l’opportunisme" des pirates informatiques

À 4h30 du matin, lundi 15 février, le personnel du centre hospitalier de Villefranche-sur-Saône, près de Lyon, découvre l’attaque informatique "d’ampleur" qui le vise. Un "rançongiciel" - la contraction de logiciel et de rançon - s’est emparé du système informatique pour bloquer ses données et les rendre temporairement inaccessibles. Afin de limiter la progression des pirates, les accès à internet et à la téléphonie sont aussitôt coupés et les postes de travail, déconnectés, à l’exception du standard des urgences. Une cellule de crise est alors lancée en parallèle pour assurer le fonctionnement a minima des trois hôpitaux.

Une semaine plus tôt dans les Landes, l’hôpital de Dax a subi le même type d’attaque, paralysant son système d’information local et perturbant de près ses activités. Là aussi, un rançongiciel a été utilisé par les pirates pour leur permettre d’exiger une rançon contre l’accès aux données. Ces dernières n'ont pas disparu du système informatique, mais leur cryptage les rend inutilisables. L’hôpital n’a finalement pas payé, conduisant inévitablement à une activité au ralenti pour plusieurs semaines. Si le logiciel responsable de l’attaque à Dax n’a pas été officiellement identifié, l’hôpital de Villefranche, lui, a indiqué avoir été victime d’une attaque par le rançongiciel RYUK. 

Actif depuis 2018, il a été qualifié la même année de "ransomware le plus rentable" par le FBI. Il est aussi responsable de près de 75% des attaques par rançongiciel ayant visé le secteur de la santé américain en octobre dernier selon la société de sécurité Check Point. Ce mois-là aux États-Unis, les hôpitaux et autres établissements de santé ont été une cible de choix des pirates : une hausse de 71% des attaques informatiques par rançongiciel a ainsi été constatée dans le secteur de la santé par rapport à septembre.

Si le phénomène s’est amplifié contre les hôpitaux, c’est d’abord qu’il est plus médiatisé, souligne auprès de LCI Gérôme Billois, associé cybersécurité du cabinet de conseil Wavestone : "Une attaque qui touche un hôpital est tout de suite visible, tandis qu’un certain nombre d’attaques dans des groupes privés ne sont jamais rendues publiques". En effet, certaines entreprises ne préfèrent pas communiquer sur l'offensive qu'elles viennent d'essuyer, sous peine d’avoir mauvaise presse. 

Mais comme l’indique dans un récent rapport  l’Agence nationale de la sécurité des systèmes d’information (Anssi), "les hôpitaux et autres entités du secteur de la santé représentent globalement l’une des cibles privilégiées des attaquants". L’autorité ajoute que "cette tendance s’est accrue en 2020, notamment dans le contexte de pandémie liée à la Covid-19, l’attaque poussant sans doute plus facilement les hôpitaux à payer la rançon au vu du besoin critique de continuité d’activité". En octobre dernier, l’hôpital universitaire de Newark, dans le New-Jersey, a par exemple réglé la somme de 670.000 dollars à des pirates pour empêcher la publication de 240 Gigaoctets de données volées le mois d’avant, à l’aide du rançongiciel SunCrypt. 

Pour Corinne Henin, experte indépendante en cybersécurité, les hôpitaux seraient moins des cibles privilégiées que des "victimes de l’opportunisme" de certains hackers. "Les pirates ne visent pas forcément un endroit ou une entreprise en particulier, mais recherchent des endroits faibles, qu'ils exploitent ensuite. Du fait des infrastructures souvent un peu vieilles, du manque de formation sur le sujet de l'informatique des professionnels de la santé et des surcharges de travail dues au COVID, des hôpitaux se retrouvent piratés." Si l’on ajoute à cela des budgets restreints et des investissements qui se sont peu faits dans le numérique, l’hôpital, et plus globalement le secteur de la santé, accuse un retard certain en matière de cybersécurité. Et ce malgré la menace croissante d’être visé par des attaques informatiques. 

"L’hôpital a un système d’information très hétérogène, souvent sous-sécurisé par rapport à d’autres domaines", détaille Gérôme Billois, qui a eu l’occasion d’intervenir à ce sujet dans plusieurs hôpitaux. Une problématique qui se retrouve à la fois dans le public et dans le privé, poursuit le spécialiste. "Historiquement, le secteur de la santé était le parent pauvre en termes d’information et de sécurité. Il y a dix ans, la situation était critique et elle s’améliore depuis." Aussi, des efforts ont été entrepris ces dernières années pour permettre au secteur hospitalier de se former à ces enjeux qui, on le voit aujourd’hui, peuvent les concerner de près. Des questions sur la cybersécurité sont par exemple posées aux hôpitaux cherchant à obtenir l’agrément de la Haute autorité de santé, des campagnes de sensibilisation sont menées en direction des personnels, des systèmes de contrôle d’accès et de sécurisation des sites web sont peu à peu mis en place…

Le problème de la vulnérabilité de ce secteur à ce type d’attaques a déjà été soulevé à plusieurs reprises. Et l’a été dernièrement, suite à l’attaque informatique à l’encontre du CHU de Rouen en novembre 2019. Le rançongiciel Clop, qui avait été identifié comme le responsable, a indiqué en mars dernier au site spécialisé BleepingComputer qu’il s’engageait à ne plus cibler les hôpitaux et autres structures de soins, alors que la pandémie fragilise considérablement les systèmes de santé.