Cyberattaques : quels sont les risques pour les hôpitaux touchés et leurs patients ?

Situé au Chesnay-Rocquencourt (Yvelines), le centre hospitalier de Versailles a été visé ces derniers jours par une cyberattaque. L'établissement a indiqué que son activité se trouve perturbée, avec un accueil des patients décrit comme "limité". Le ministre de la Santé François Braun a rapporté que l'hôpital s'est "mis en mode protection des données", précisant que l'attaque "a été détectée tôt", ce qui a permis de "mettre en marche l'ensemble des mesures de protection". Alors que des attaques de cette nature sont en recrudescence, des craintes légitimes émergent pour la sécurité des patients et l'organisation du système de soin.

Quelles sont les conséquences concrètes des cyberattaques ? Tout d'abord, il faut souligner que toutes ne sont pas comparables, et que leur impact varie en fonction de leur nature. Les logiciels malveillants, parfois appelés "rançongiciels" peuvent effectuer des blocages plus ou moins étendus, en fonction de leur puissance ou de la rapidité avec laquelle ils sont détectés. L'efficacité des mesures et systèmes de protection mis en place en amont va également jouer un rôle majeur. 

De manière générale, les cyberattaques se traduisent par la paralysie de tout ou partie des systèmes informatiques au sein d'un établissement. Le personnel d'une maternité parisienne, touchée il y a quelques semaines, témoignait auprès de TF1 en indiquant que les électrocardiogrammes des fœtus s'étaient éteints brutalement. "Le logiciel qui était lié à cet écran ne fonctionnait plus. C'était un danger vraiment important pour la maternité et pour toutes les femmes qui étaient en travail ce soir-là", rapportait l'un des soignants. 

Du côté de l’hôpital de Dax, touché comme celui de Villefranche-sur-Saône avant lui, on a expliqué que l'attaque subie a perturbé plusieurs services. Des secteurs tels que la stérilisation ont été paralysés, via l’informatisation des cycles de lavage notamment. Dans le même temps, la restauration ne disposait plus des plans de chambres, gérés de manière informatique. Il est régulièrement évoqué un "retour au stylo", afin de consigner les informations relatives au dossier médical ou bien encore les prescriptions réalisées pour les patients. Des perturbations qui peuvent s'étaler sur plusieurs semaines, voire plusieurs mois.

Quand survient une cyberattaque, des patients doivent parfois être déplacés vers d'autres établissements. Il s'agit d'assurer au maximum la continuité des soins et de pouvoir disposer d'outils et matériels fonctionnels pour garantir une prise en charge sans délais. À Dax, ce sont par exemple 70 patients suivis en radiothérapie qui avaient l'an passé été contraints de transiter vers une autre structure. Notons que dans les Yvelines, le préfet a invité les patients à ne pas se rendre aux urgences du centre hospitalier de Versailles. Et recommande de composer "le 15 afin d'être dirigé vers un autre centre hospitalier".

Chez nos voisins, les problématiques sont similaires : des médias allemands ont rapporté qu'une femme hospitalisée à Düsseldorf avait perdu la vie suite à une cyberattaque. L'enquête a finalement conclu que le décès n'était pas directement imputable à l'action des pirates informatiques, mais rien ne permet aujourd'hui de se prémunir à 100% de conséquences aussi dramatiques.

Outre le fonctionnement opérationnel des établissements de santé, les cyberattaques peuvent entraîner des piratages, rançons et fuites liées aux données personnelles des patients. Au mois d'août, des hackers qui s'en étaient pris au Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes avaient réclamé le paiement d'une rançon de 10 millions de dollars, ramenée ensuite à 1 ou 2 millions de dollars. Leur ultimatum passé, ils avaient diffusé sur le "dark web" une série de données confidentielles concernant les patients, le personnel ou les partenaires de l'établissement. Des fichiers dont le poids dépassait les 11 gigaoctets. 

Dans un rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), cité l'an passé par TF1info, "les hôpitaux et autres entités du secteur de la santé représentent globalement l’une des cibles privilégiées des attaquants". L'experte indépendante en cybersécurité Corinne Henin expliquait que les hôpitaux seraient surtout "victimes de l’opportunisme" de certains hackers. "Les pirates ne visent pas forcément un endroit ou une entreprise en particulier", nous confiait-elle, "mais recherchent des endroits faibles, qu'ils exploitent ensuite. Du fait des infrastructures souvent un peu vieilles, du manque de formation sur le sujet de l'informatique, des professionnels de la santé et des surcharges de travail dues au COVID, des hôpitaux se retrouvent piratés." Si l’on ajoute à cela des budgets restreints et des investissements limités dans le numérique, l’hôpital et le secteur de la santé en général doit faire face à un retard certain en matière de cybersécurité.

Notons que ces attaques répétées conduisent à une saisine de la justice. Dans le cadre de la plus récente, enregistrée ces derniers jours dans les Yvelines, les investigations ont été confiées au Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie et à la Sous-direction de la lutte contre la cybercriminalité (SDLC) de la police judiciaire, a indiqué le parquet.