Angleterre, République tchèque, Roumanie, France… : les hôpitaux du monde entier subissent depuis mars 2020 une recrudescence d’attaques ciblant leurs systèmes informatiques, des attaques qui mettent à mal leur positionnement en matière de cybersécurité dans un contexte où la pandémie de COVID-19 fait rage.
La pandémie de COVID-19 bouleverse depuis plusieurs mois notre quotidien à tous. Pour faire face à l’afflux de patients, les établissements hospitaliers ont quant à eux mis en place de nouvelles solutions, telles que le télétravail ou la prise de rendez-vous en ligne.
Malgré des avantages évidents, ces technologies augmentent la surface d’exposition des hôpitaux en offrant aux cybercriminels des portes d’entrée toujours plus nombreuses. D’autres avancées techniques, à l’instar des équipements de soin connectés (tensiomètres, défibrillateurs, etc.), amplifient encore davantage le risque d’attaque. Imaginez qu’une personne malveillante prenne ainsi le contrôle d’un robot de chirurgie…
Phishing, malware, ransomware… Les exemples ne manquent malheureusement pas. La dernière attaque en date de l’hôpital d’Oloron-Sainte-Marie dans les Pyrénées-Atlantiques témoigne de l’urgence de la situation. Avec un accès perturbé aux données des patients et au stock de médicaments, un report des opérations chirurgicales est apparu comme inévitable.
Comment les cybercriminels exploitent-ils les failles des hôpitaux ? Selon Jean-Marc Bourguignon de l’ONG Nothing to hide, le cas de figure le plus classique est l’envoi par mail d’une pièce jointe infectée. Quand l’utilisateur ouvre la pièce jointe, le virus chiffre les documents de l’ordinateur pour les rendre inaccessibles. Les cybercriminels réclament ensuite le paiement d’une rançon ou revendent les données ainsi collectées à des tiers. En 2016, le groupe de cybercriminels The Dark Overlord proposait de vendre la base de données d’une compagnie d’assurance maladie américaine contre plus de 480 000 dollars sur le dark web.
La structuration des différents systèmes hospitaliers (systèmes d’information, réseaux opérationnels, IoT) complexifie qui plus est la notion de périmètre à protéger, à laquelle s’ajoutent le manque de formation du personnel et des patients sur les questions de sécurité informatique et de protection des données, et l’obsolescence du parc informatique des hôpitaux.
Les solutions ? Cartographier les risques et segmenter le réseau en fonction des différents sous-systèmes pour isoler les plus critiques d’entre eux, sans oublier le respect des réglementations existantes (RGPD, Directive NIS, etc.). Côté utilisateurs, sensibiliser et former le personnel soignant ainsi que les patients, et mettre sur pied une équipe transversale, dont la mission est d’assurer un partage d’expérience entre les différentes équipes des services hospitaliers, semble indispensable.
Le gouvernement français a par ailleurs annoncé la mise en place d’une stratégie nationale de lutte dédiée aux établissements hospitaliers. Dotée d’une enveloppe de 350 millions d’euros, elle vise à mettre l’accent sur l’audit et la formation. Une enveloppe d’un milliard d’euros attribuée au secteur de la cybersécurité permettra en outre d’encourager la recherche, de créer des emplois et de fédérer la filière.
Rendre la double identification obligatoire, éviter les connexions à distance et tester régulièrement le bon fonctionnement des appareils : l’ENISA, l’agence européenne de cybersécurité, a de son côté publié en février une liste de recommandations à destination des responsables informatiques des hôpitaux.
Formation et sensibilisation semblent ainsi être les maîtres mots qui donneront les moyens aux hôpitaux de renforcer leur cybersécurité
