Trente hôpitaux victimes de cyberattaques en deux ans

C'est un phénomène qui s'est intensifié ces dernières années. Entre 2022 et 2023, 30 établissements de santé ont été ciblés par des cyberattaques par rançongiciel (chiffrement des données), révèle l'Agence nationale de la sécurité des systèmes d'information (Anssi) dans un rapport publié ce jeudi. Ces incidents représentent "10% des incidents liés à des rançongiciels signalés" à cette autorité sur cette période, précise-t-on.

L'Anssi rapporte ainsi l'attaque contre le centre hospitalier sud-francilien à Corbeil-Essonnes, dans la nuit du 20 au 21 août 2022, qui avait entraîné le transfert de nouveau-nés du service de néonatalogie vers d'autres hôpitaux. La cyberattaque avait également provoqué l'indisponibilité de certains automates de laboratoires, perturbant la capacité à réaliser des analyses biologiques. Les services de messagerie, de comptabilité, de ressources humaines ainsi que la pharmacie de l'établissement avaient aussi été touchés.

Les attaquants exigeaient une rançon de 10 millions de dollars en échange du déchiffrement des systèmes informatiques touchés. Onze giga octets de données (données de santé et personnelles de patients, de membres du personnel et de partenaires de l’hôpital) avaient, en outre, été volées, et divulguées publiquement par les pirates un mois après.

L'Anssi précise que la menace informatique envers les établissements de santé ne cesse de s'accroître depuis 2020 en France, comme à l'étranger. "Un tiers des incidents touchant des établissements de santé observés par l'Anssi en 2022 et 2023 concerne des compromissions de comptes de messagerie, parfois couplées à des envois de courriels d’hameçonnage", peut-on lire dans le rapport. Des événements "à faible gravité" lorsqu’ils restent "circonscrits à quelques comptes à faible privilège et ne débouchent pas sur des actions supplémentaires".

Un autre tiers recouvre des activités à "plus forts impacts", comme des chiffrements par rançongiciels et des exfiltrations de données ou encore des indisponibilités temporaires liées à des "dénis de service". Le reste des incidents est lié à des "comportements à risque" d’utilisateurs (téléchargement de logiciels infectés, connexion de clé USB non maîtrisée, etc.) et "des problèmes matériels" tels que des pannes, ainsi que "des compromissions par des codes malveillants aux conséquences très limitées".

Interrogé par l'AFP, le directeur général de l'Anssi, Vincent Strubel, a assuré que les hôpitaux parvenaient mieux à maitriser les conséquences des cyberattaques : "Ce qu'on observe aujourd'hui, ce sont des hôpitaux qui réagissent vite et bien aux attaques et parviennent à empêcher la propagation d'une attaque à l'ensemble de l'informatique d'un hôpital." Les attaques "entraînent des gênes significatives pour le fonctionnement" des établissements "pendant quelques semaines", mais "on ne voit plus [...] de paralysie quasi complète de l'informatique", nécessitant "des mois" de travail pour rétablir un fonctionnement normal, a-t-il expliqué.

Néanmoins, "les attaques continuent à engendrer de la gêne, il y a des vols de données, donc on ne peut pas se contenter" de la situation actuelle, a-t-il poursuivi, appelant à poursuivre les efforts pour améliorer la défense des hôpitaux. Cette année, deux hôpitaux ont ainsi été victimes de cyberattaques significatives : l'hôpital d'Armentières en février 2024 – les urgences avaient été temporairement fermées – et celui de Cannes en avril.

Les produits de santé et industriels aussi touchés

L’Anssi identifie également des risques de sécurité liés aux dispositifs médicaux connectés, qui ne sont "globalement pas tenus à jour". Elle rappelle par exemple qu'en septembre 2022, la société Medtronic "a rapporté une vulnérabilité affectant ses modèles de pompes à insuline". Désormais corrigée, cette vulnérabilité "pouvait permettre à un attaquant d’obtenir un accès non autorisé à une pompe à insuline […] et d’augmenter ou de baisser le dosage d’insuline administré".

Des attaques par rançongiciel ont également affecté des industriels du secteur de la santé depuis 2020, signale l'Anssi. Cela a parfois entraîné des ralentissements voire des arrêts de la production de certains produits de santé ou encore des fuites de données liées à des secrets industriels. Parmi les autres cibles des pirates, on peut également citer les acteurs du tiers payant, à l'instar des opérateurs français Viamedis et Almerys.

Ces sociétés ont été victimes d’attaques informatiques ayant entrainé la fuite de données personnelles de plus de 33 millions de personnes, "soit près de la moitié de la population française", rappelle l'Anssi : état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur et garanties du contrat des assurés…

[avec AFP]