Diplomatie
Un diagnostic préoccupant
Les cyberattaques contre les établissements de santé et médico-sociaux sont en constante augmentation. Si l’Agence du Numérique en Santé en dénombrait 392 en 2020, elles ont plus que doublé en 2021 (733 cyberattaques recensées). En 2022, les cyberattaques contre les CH de Corbeil-Essonnes (le 20 août) et de Versailles (le 3 décembre) ont fait la une des journaux : les hôpitaux ont perdu tout accès aux dossiers médicaux des patients, qui ont dû être redirigés vers d’autres établissements de santé. Les hôpitaux touchés par une cyberattaque sont souvent contraints de fonctionner en mode « dégradé » pendant des mois après avoir été infectés.
La France n’est pas le seul pays à être touchée par ce problème. En 2016, un hôpital d’Hollywood ouvrait le bal en étant touché par un ransomware. Mais c’est en 2017 que la menace s’est renforcée, après que le virus WannaCry a frappé un tiers des établissements du National Health Service au Royaume-Uni. Les patients ont dû être redirigés vers les centres hospitaliers encore en fonctionnement. Les appareils IRM et les réfrigérateurs pour conserver les poches de sang étaient hors service. Coût total de l’opération pour le NHS : 100 millions de livres. Depuis, tous les hôpitaux des pays occidentaux sont régulièrement victimes de hackings. Les Etats-Unis ont évalué le coût des cyberattaques sur les établissements de santé à 6 milliards de dollars par an.
Malheureusement, les conséquences ne sont pas que financières. En 2020, une patiente de l’hôpital de Düsseldorf est décédée après qu’un virus a paralysé l’établissement, et a obligé son transfert vers un autre centre hospitalier. En 2021, 11% des incidents de ce type ont été reconnus coupables de mises en danger de la vie des patients. Les cyberattaques sont également le moyen pour les hackers de pirater les données des patients. En 2018, SingHealth, base de données regroupant les dossiers médicaux singapouriens, s’est vu dérober 1,5 million de dossiers (soit 25% de la population). En février 2021, le spécialiste en cyberdéfense québécois Damien Bancal informait les autorités françaises de la mise en vente sur le darknet d’un fichier contenant les identifiants et mots de passe de 50 000 agents des centres hospitaliers de Lyon, Bordeaux, Besançon… Pire encore : le 4 mars 2023, le groupe BlackCat, responsable du hack contre des hôpitaux en Pennsylvanie, n’a pas hésité à publier des photos de patients nus atteints de cancer et en radiothérapie. Motif : contraindre l’hôpital à payer la rançon d’1,5 million de dollars.
La France n’est pas le seul pays à être touchée par ce problème. En 2016, un hôpital d’Hollywood ouvrait le bal en étant touché par un ransomware. Mais c’est en 2017 que la menace s’est renforcée, après que le virus WannaCry a frappé un tiers des établissements du National Health Service au Royaume-Uni. Les patients ont dû être redirigés vers les centres hospitaliers encore en fonctionnement. Les appareils IRM et les réfrigérateurs pour conserver les poches de sang étaient hors service. Coût total de l’opération pour le NHS : 100 millions de livres. Depuis, tous les hôpitaux des pays occidentaux sont régulièrement victimes de hackings. Les Etats-Unis ont évalué le coût des cyberattaques sur les établissements de santé à 6 milliards de dollars par an.
Malheureusement, les conséquences ne sont pas que financières. En 2020, une patiente de l’hôpital de Düsseldorf est décédée après qu’un virus a paralysé l’établissement, et a obligé son transfert vers un autre centre hospitalier. En 2021, 11% des incidents de ce type ont été reconnus coupables de mises en danger de la vie des patients. Les cyberattaques sont également le moyen pour les hackers de pirater les données des patients. En 2018, SingHealth, base de données regroupant les dossiers médicaux singapouriens, s’est vu dérober 1,5 million de dossiers (soit 25% de la population). En février 2021, le spécialiste en cyberdéfense québécois Damien Bancal informait les autorités françaises de la mise en vente sur le darknet d’un fichier contenant les identifiants et mots de passe de 50 000 agents des centres hospitaliers de Lyon, Bordeaux, Besançon… Pire encore : le 4 mars 2023, le groupe BlackCat, responsable du hack contre des hôpitaux en Pennsylvanie, n’a pas hésité à publier des photos de patients nus atteints de cancer et en radiothérapie. Motif : contraindre l’hôpital à payer la rançon d’1,5 million de dollars.
Anatomie des hackers
L’une des principales questions qui vient à l’esprit lorsque ces cyberattaques sont reportées est bien évidemment celle de l’identité des personnes capables de pareille malveillance. Néanmoins, identifier les responsables d’hacking est un exercice particulièrement difficile, car Internet ne connaît pas de frontières. Bien souvent, les hackeurs se réfugient dans des pays laxistes quant aux sanctions pour les coupables de cyberattaques. Les groupes de cybercriminels proviennent ainsi pour la plupart de Russie : c’est le cas de BlackCat (aussi connu sous les noms ALPHV ou CarbonSpider), actif depuis 2021 et affilié au gang REvil, et des groupes LockBit (attaque sur le CH de Corbeil Essonnes) et ViceSociety (ayant ciblé la maternité des Bluets en octobre 2022). La plupart de ces groupes fonctionnent en « nébuleuse », les membres n’ayant pas de loyauté particulière ou de liens physiques les unissant. Ils changent facilement d’affiliation suivant le malware qu’ils emploient ou leurs choix de hacks.
Les groupes d’hackers dits APT (Advanced Persistant Threat) présentent un profil différent. Leurs hacks sont considérés comme hautement sophistiqués et persistants : grâce à leurs compétences techniques supérieures, ils ciblent les Etats ou grandes entreprises, et sont capables d’infiltrer incognito les systèmes pendant des mois. Leur mission est politique : ces groupes sont intégrés à des services de renseignement ou armées étatiques, ou sont largement sponsorisés par les Etats qu’ils servent. Ainsi, on retrouve des groupes APT en Chine (l’APT1, unité de l’Armée Populaire de Libération, est célèbre pour avoir espionné pendant des mois le New York Times), en Iran, en Corée du Nord et en Russie (FancyBear ou l’APT28).
Cependant, la plupart des hackeurs sont motivés par l’argent. Hacker un hôpital s’avère donc particulièrement lucratif, car les pirates peuvent procéder à une triple extorsion. D’abord, la demande d’une rançon en échange de la clé de décryptage pour récupérer les données de l’établissement. Elle s’élevait à 10 millions d’euros lors de la cyberattaque de LockBit 3.0 sur l’établissement de Corbeil-Essonnes. Toutefois, payer la rançon ne garantit en rien que les pirates décryptent effectivement les données et désertent complètement le réseau. De plus, un établissement qui cède est plus susceptible de connaître une nouvelle attaque, et devra de toute façon sécuriser de nouveau son réseau. Les hackers procèdent ensuite à un chantage sur la mise en ligne des données piratées des patients. Enfin, ils peuvent procéder à la vente sur le darknet des dossiers médicaux, un marché particulièrement lucratif. Un dossier médical s’échange en effet pour 100 à 350$ d’après KeeperSecurity. Le dossier comprend l’identité du patient, son numéro de sécurité sociale, l’historique de ses pathologies et traitements, ses données bancaires… Autant d’informations qui peuvent servir, via une usurpation d’identité, à des demandes de prêt bancaire, de documents d’identité, de remboursements à l’assurance maladie… Ainsi, 9,3 millions de dossiers hackés de patients américains avaient été mis aux enchères pour 500 000 euros sur le darknet.
Un autre risque identifié par les autorités concerne le vol de données concernant les essais cliniques en cours, ou encore les caractéristiques de produits novateurs. Le secteur de la recherche craint non seulement la fuite de ces données confidentielles, mais aussi l’effacement des systèmes informatiques par les pirates des travaux en cours.
Les groupes d’hackers dits APT (Advanced Persistant Threat) présentent un profil différent. Leurs hacks sont considérés comme hautement sophistiqués et persistants : grâce à leurs compétences techniques supérieures, ils ciblent les Etats ou grandes entreprises, et sont capables d’infiltrer incognito les systèmes pendant des mois. Leur mission est politique : ces groupes sont intégrés à des services de renseignement ou armées étatiques, ou sont largement sponsorisés par les Etats qu’ils servent. Ainsi, on retrouve des groupes APT en Chine (l’APT1, unité de l’Armée Populaire de Libération, est célèbre pour avoir espionné pendant des mois le New York Times), en Iran, en Corée du Nord et en Russie (FancyBear ou l’APT28).
Cependant, la plupart des hackeurs sont motivés par l’argent. Hacker un hôpital s’avère donc particulièrement lucratif, car les pirates peuvent procéder à une triple extorsion. D’abord, la demande d’une rançon en échange de la clé de décryptage pour récupérer les données de l’établissement. Elle s’élevait à 10 millions d’euros lors de la cyberattaque de LockBit 3.0 sur l’établissement de Corbeil-Essonnes. Toutefois, payer la rançon ne garantit en rien que les pirates décryptent effectivement les données et désertent complètement le réseau. De plus, un établissement qui cède est plus susceptible de connaître une nouvelle attaque, et devra de toute façon sécuriser de nouveau son réseau. Les hackers procèdent ensuite à un chantage sur la mise en ligne des données piratées des patients. Enfin, ils peuvent procéder à la vente sur le darknet des dossiers médicaux, un marché particulièrement lucratif. Un dossier médical s’échange en effet pour 100 à 350$ d’après KeeperSecurity. Le dossier comprend l’identité du patient, son numéro de sécurité sociale, l’historique de ses pathologies et traitements, ses données bancaires… Autant d’informations qui peuvent servir, via une usurpation d’identité, à des demandes de prêt bancaire, de documents d’identité, de remboursements à l’assurance maladie… Ainsi, 9,3 millions de dossiers hackés de patients américains avaient été mis aux enchères pour 500 000 euros sur le darknet.
Un autre risque identifié par les autorités concerne le vol de données concernant les essais cliniques en cours, ou encore les caractéristiques de produits novateurs. Le secteur de la recherche craint non seulement la fuite de ces données confidentielles, mais aussi l’effacement des systèmes informatiques par les pirates des travaux en cours.
Un virus aux nombreux variants
Toutes les cyberattaques ont comme point commun de perturber la confidentialité, l’intégrité et/ou la disponibilité des données des établissements de santé. Les hackeurs disposent de nombreuses méthodes pour y parvenir.
Le phishing (ou hameçonnage) est présent dans 57% des incidents sur les centres médicaux en 2020, et consiste à envoyer un mail comprenant un lien ou une pièce jointe infectée. Une fois le lien cliqué ou la pièce jointe ouverte par un membre du personnel hospitalier, le virus s’installe et peut accéder au réseau. Cette technique est souvent conjuguée à celle du malware, c’est-à-dire au téléchargement non autorisé d’un logiciel qui modifier l’activité et la performance du système informatique infecté. Le malware, une fois téléchargé, sera capable de surveiller, modifier, endommager et/ou effacer les données sensibles et les activités du réseau. Un malware peut prendre différentes formes : virus, worm, cheval de Troie, bot, spyware… Le ransomware (ou rançongiciel) est un malware dit cryptographique particulièrement redoutable. Ryuk est le ransomware ayant paralysé les hôpitaux de Dax et Villefranche-sur-Saône en 2021. Grâce à un phishing, puis au téléchargement de malwares « loaders », il pénètre le réseau hospitalier avant de rechercher tous les appareils connectés et de les infecter. Capable de bloquer les procédures légitimes pour empêcher l’intervention de la sécurité informatique, il crypte l’ensemble des données du réseau informatique pour ensuite exiger une rançon.
Les hôpitaux peuvent également être la cible d’une attaque par déni de service (DoS), comme ce fut le cas de l’AP-HP en mars 2020. Les pirates saturent le réseau en lançant simultanément un nombre immense de demandes, ce qui empêche toute connexion au réseau pour les soignants. Enfin, le spoofing est une dernière menace. Il consiste à modifier un appareil médical pour que celui reçoive désormais un signal extérieur. Cela permet l’accès aux données, paramétrages et composants de l’équipement, mais surtout de modifier son fonctionnement. Ainsi, des pompes à perfusion et des stimulateurs cardiaques ont pu être déréglés à distance.
Le phishing (ou hameçonnage) est présent dans 57% des incidents sur les centres médicaux en 2020, et consiste à envoyer un mail comprenant un lien ou une pièce jointe infectée. Une fois le lien cliqué ou la pièce jointe ouverte par un membre du personnel hospitalier, le virus s’installe et peut accéder au réseau. Cette technique est souvent conjuguée à celle du malware, c’est-à-dire au téléchargement non autorisé d’un logiciel qui modifier l’activité et la performance du système informatique infecté. Le malware, une fois téléchargé, sera capable de surveiller, modifier, endommager et/ou effacer les données sensibles et les activités du réseau. Un malware peut prendre différentes formes : virus, worm, cheval de Troie, bot, spyware… Le ransomware (ou rançongiciel) est un malware dit cryptographique particulièrement redoutable. Ryuk est le ransomware ayant paralysé les hôpitaux de Dax et Villefranche-sur-Saône en 2021. Grâce à un phishing, puis au téléchargement de malwares « loaders », il pénètre le réseau hospitalier avant de rechercher tous les appareils connectés et de les infecter. Capable de bloquer les procédures légitimes pour empêcher l’intervention de la sécurité informatique, il crypte l’ensemble des données du réseau informatique pour ensuite exiger une rançon.
Les hôpitaux peuvent également être la cible d’une attaque par déni de service (DoS), comme ce fut le cas de l’AP-HP en mars 2020. Les pirates saturent le réseau en lançant simultanément un nombre immense de demandes, ce qui empêche toute connexion au réseau pour les soignants. Enfin, le spoofing est une dernière menace. Il consiste à modifier un appareil médical pour que celui reçoive désormais un signal extérieur. Cela permet l’accès aux données, paramétrages et composants de l’équipement, mais surtout de modifier son fonctionnement. Ainsi, des pompes à perfusion et des stimulateurs cardiaques ont pu être déréglés à distance.
Des hôpitaux immunodéficients
Les établissements de santé sont particulièrement vulnérables aux cyberattaques, ce qui renforce leur attractivité pour les hackers. En effet, sécuriser le réseau informatique d’un hôpital s’avère très difficile car celui-ci doit répondre à des besoins d’interconnexion (entre services et agents) et d’interopérabilité (échange d’informations entre plusieurs types d’appareils et centres hospitaliers). L’intranet doit également être accessible en permanence et à distance pour tout le personnel médical. Durant la pandémie, la numérisation précipitée des activités a renforcé l’usage par les soignants de leurs appareils personnels non sécurisés.
La principale faille pour l’hôpital reste les nombreux équipements médicaux. Alors que 83% d’entre eux sont aujourd’hui connectés à internet, ils utilisent pour la plupart des logiciels généralistes et souvent obsolescents comme Windows XP, dont les failles sont bien connues. Le nombre et l’hétérogénéité des appareils connectés (IRM, scope…) les rendent difficiles à protéger, d’autant plus que les investissements en cybersécurité sont très limités.
La principale faille pour l’hôpital reste les nombreux équipements médicaux. Alors que 83% d’entre eux sont aujourd’hui connectés à internet, ils utilisent pour la plupart des logiciels généralistes et souvent obsolescents comme Windows XP, dont les failles sont bien connues. Le nombre et l’hétérogénéité des appareils connectés (IRM, scope…) les rendent difficiles à protéger, d’autant plus que les investissements en cybersécurité sont très limités.
Des traitements envisageables
Les évènements récents ont illustré la nécessité de protéger les centres hospitaliers et les données de santé des cybermenaces. En France, l’ANSSI a accompagné en 2021 135 groupes hospitaliers grâce à une subvention étatique de 25 millions d’euros, augmentée de 20 millions d’euros en 2022. Elle recommande aux hôpitaux de consacrer 5 à 10% de leur budget informatique à la cybersécurité, mais le manque de moyens en fait un objectif peu réaliste.
D’un point de vue technique, la sécurisation des réseaux passent par leur segmentation afin d’empêcher la prolifération des virus, un meilleur management des appareils médicaux (restriction, mise à jour, installation d’antivirus) et des systèmes d’authentification et d’accès à distance. La sauvegarde externe des dossiers des patients est absolument nécessaire pour que l’hôpital puisse continuer à fonctionner lors d’une cyberattaque. Le recours à des hébergeurs de données de santé externes spécialement certifiés est une solution coûteuse mais efficace.
Finalement, un travail de sensibilisation doit être mené auprès des personnels hospitaliers, afin de développer leur connaissance des menaces informatiques, des comportements de cybersécurité et des protocoles coordonnés d’intervention en cas d’attaques.
D’un point de vue technique, la sécurisation des réseaux passent par leur segmentation afin d’empêcher la prolifération des virus, un meilleur management des appareils médicaux (restriction, mise à jour, installation d’antivirus) et des systèmes d’authentification et d’accès à distance. La sauvegarde externe des dossiers des patients est absolument nécessaire pour que l’hôpital puisse continuer à fonctionner lors d’une cyberattaque. Le recours à des hébergeurs de données de santé externes spécialement certifiés est une solution coûteuse mais efficace.
Finalement, un travail de sensibilisation doit être mené auprès des personnels hospitaliers, afin de développer leur connaissance des menaces informatiques, des comportements de cybersécurité et des protocoles coordonnés d’intervention en cas d’attaques.
