Le secteur de la santé face au défi des cyberattaques

Secteur de la santé : des cyberattaques de grande ampleur

Les structures médicales recueillent et traitent des données de santé. Particulièrement sensibles, ces données (nom, coordonnées, numéro de sécurité social, pathologie, nom du médecin traitant…) se revendent à prix d’or sur le marché noir. Elles sont en effet très plébiscitées par les hackers pour des actions de fraude, de chantage ou d’usurpation d’identité.

Les cybercriminels profitent du fait que la majorité des établissements médicaux ont pris tardivement le virage de la transformation numérique. Aujourd’hui encore beaucoup s’appuient encore sur des infrastructures IT vieillissantes. Les acteurs français du secteur de la santé ont subi plusieurs attaques de grande envergure.

Parmi les plus marquantes, on peut notamment citer :

• L'hôpital André-Mignot de Versailles, qui a subi une attaque par rançongiciel en décembre 2022. Résultat : des ordinateurs bloqués affichant le message “tous vos dossiers importants ont été dérobés et cryptés. Suivez nos instructions”. Une demande de rançon (d’un montant non précisé) aurait été demandée, non payée par l’établissement. La système de soins, comme de paie, s’en sont trouvés fortement impactés. L’hôpital a ainsi été contraint de revenir à l’ère du papier pour traiter les dossiers de ses patients.
  
  
• Le centre hospitalier sud-francilien de Corbeil-Essonnes, victime du rançongiciel LockBit en août 2022. Les hackers ont demandé une rançon de 10 millions d’euros, mais l’établissement n’a pas cédé. Les criminels ont donc divulgué un grand nombre de données relatives aux patients, au personnel, et aux partenaires de l’établissement. Parmi elles, des données administratives comme le numéro de sécurité sociale, mais aussi des comptes-rendus d’examen.
  
  
• Le CHU de Rennes a été victime en juin 2023 d’un piratage. Préparée, la structure est parvenue à contenir l’attaque afin de préserver le système de soins. Néanmoins, une fuite de données a eu lieu, sans pouvoir être quantifiée pour le moment. Très rapidement, toutes les connexions Internet du parc informatique du CHU (7 000 ordinateurs) ont été coupées afin de réduire l’impact de cette fuite.

La liste des organisations médicales françaises victimes d’une cyberattaque réussie est malheureusement déjà très longue.

Mais quelles sont les conséquences de ces actes criminels pour les établissements qui en sont victimes ?

Les impacts des cyberattaques sur les organismes de santé

Une cyberattaque peut avoir plusieurs types de conséquences pour les acteurs de la santé :

• Des conséquences directes sur le système de soin : certaines attaques chiffrent les données de santé, les rendant ainsi inaccessibles au personnel soignant. Dès lors, les spécialistes n’ont plus accès à certaines informations importantes telles que les antécédents médicaux du patient, les images médicales… complexifiant ainsi le parcours de soin.
  
  D’autres attaques peuvent également mettre certains équipements médicaux connectés hors-service, ce qui peut être lourd de conséquences pour les patients. En Allemagne, une patiente en situation critique est ainsi décédée dans la clinique universitaire de Düsseldorf, n’ayant pas pu recevoir les soins adéquats alors que l’établissement était paralysée par un rançongiciel.²
  
  Beaucoup de cyberattaques rallongent donc le délai de prise en charge des patients, certaines paralysant totalement les opérations de leurs victimes : report d’interventions chirurgicales etc.
  
  
  
• Des conséquences financières : une cyberattaque induit de nombreux coûts pour les acteurs de la santé qui en sont victimes. Il faut d’abord engager des moyens financiers pour remédier à l’attaque, puis déclencher une enquête technique pour comprendre son origine.
  
  Des investissements sont ensuite nécessaires pour moderniser le SI et accroître son niveau de cybersécurité À titre d’exemple, le CH de Corbeil-Essonnes a dû débourser 7 millions d’euros³ pour rebâtir son infrastructure informatique suite à l’attaque subie au mois d’août 2022. En parallèle, des frais de justice doivent être déboursés. Certains acteurs cèdent également aux demandes de rançon des attaquants.
  
  
  
• Une dégradation de la confiance des patients : dans le secteur de la santé, le rapport de confiance entre le patient et l’établissement qui le prend en charge est primordial. Or, les patients dont les données de santé ont été (potentiellement) subtilisées peuvent perdre cette confiance, et se montrer davantage prudents dans les informations qu’ils donneront à la structure, rendant plus la prise en charge plus difficile.
  
  
  
• Un ralentissement de l’innovation : les montants déboursés suite à la cyberattaque ne pourront malheureusement pas être injectés dans le déploiement de dispositifs innovants. Il existe pourtant de nombreuses technologies qui permettent aujourd’hui d’améliorer la prise en charge et le confort des patients et de faciliter le quotidien des professionnels de santé.
  
  Parmi elles, on peut citer l’IoT et le déploiement de capteurs connectés au sein de l’établissement, les dossiers médicaux numériques, la téléconsultation… Une cyberattaque est donc susceptible de ralentir la victime dans son processus de modernisation.

Les modes opératoires des cybercriminels

D’année en année, la complexité des cyberattaques s’accroît.

Les hackers peuvent utiliser plusieurs modes opératoires :

• L’exploitation de failles de sécurité : les criminels ont l’habitude d’exploiter la moindre faille de sécurité pour pénétrer dans un SI et effectuer leurs opérations malveillantes. Il peut par exemple s’agir d’une faille zero-day, une vulnérabilité présente dans un logiciel n’ayant pas encore été identifiée par l’éditeur. Il peut également s’agir d’une erreur humaine, lors d’une configuration technique. Enfin, un autre mode opératoire consiste à “attaquer par rebond” : le but est d’exploiter une faille dans le SI d’un prestataire pour accéder à celui d’un de ses partenaires.
  Il est donc crucial d’avoir une infrastructure moderne pour réduire le nombre de failles exploitables.
  
  
  
• Le phishing: un criminel se faisant passer pour un patient peut s’en prendre au SI d’un établissement en envoyant un email comportant une pièce-jointe infectée. Une fois celle-ci téléchargée sur le poste d’un collaborateur, un logiciel malveillant peut s'exécuter et compromettre l’ensemble du SI et des données de l’organisme. La formation du personnel et la vérification des émetteurs jouent donc un rôle important pour prévenir ce type d’attaques.
  
  
  
• Le DDoS : l’objectif de ce mode opératoire est de saturer les serveurs de l’établissement médical en envoyant des milliers de requêtes. Noyées par l’afflux de demandes, les ressources réseau de la victime sont alors rendues indisponibles. Lors de cette période, il n’est donc plus possible pour le personnel d’accéder aux applications médicales par exemple. La robustesse de l’infrastructure est un élément clé pour faire face à ce type d’attaques.

S’il est impossible de tenir une liste exhaustive de tous les modes opératoires utilisés par les cybercriminels, les trois que nous venons d’aborder sont très fréquemment exploités.

Les nouvelles technologies sont pleines de promesses pour les acteurs du milieu médical. En 2021 déjà, le nombre de données d’e-santé doublait tous les 73 jours dans le monde. Mais cet avènement de la cybersanté suscite la convoitise des cybercriminels. Chaque organisme doit donc à la fois renforcer son niveau de cybersécurité, mais aussi moderniser constamment son infrastructure pour limiter l’impact de ces attaques.