Partager la publication "Comment les hôpitaux se protègent contre les cyberattaques"
Les virus informatiques, aussi, peuvent tuer. En septembre dernier, une cyberattaque menée contre l’hôpital universitaire de Düsseldorf, en Allemagne, aurait entraîné la mort d’une femme âgée de 78 ans.
Le logiciel malveillant a causé une défaillance des systèmes informatiques de l’hôpital. La patiente dû être transférée dans une ville plus éloignée ce qui a retardé sa prise en charge. S’il est pour le moment difficile d’imputer directement son décès à ce retard, le parquet de Cologne a d’ores et déjà ouvert une enquête pour homicide involontaire.
Publié initialement le 22 octobre 2020, cet article a été mis à jour le 16 février 2021
En France, ce sont deux hopitaux qui viennent à leur tour d’être victimes de cyberattaques. Après celui de Dax, le centre hospitalier de Villefranche-sur-Saône (Rhône) a annoncé lundi 15 février être la cible d’un “rançongiciel“, un logiciel d’extorsion qui bloque les données d’un système informatique, jusqu’au paiement d’une rançon.
Ces cas montrent à quel point les hôpitaux, qui concentrent de nombreuses données personnelles sensibles, sont devenus une cible pour les pirates informatiques. L’agence de notation Moody’s Investors Service les classait déjà en septembre 2019 parmi les secteurs les plus vulnérables face aux cyberattaques.
Des cyberattaques lucratives
Ces attaques sont protéiformes : il peut s’agir de mails frauduleux venant de sources réputées fiables comme l’OMS (phishing), de sites web trompeurs, ou encore de malwares et ransomwares, des logiciels que les cybercriminels utilisent pour bloquer des appareils, des serveurs ou même des réseaux entiers, en échange d’une rançon.
Il faut dire que la vente d’informations médicales est lucrative. En 2016, le groupe de hackers The Dark Overlord proposait de vendre la base de données d’une compagnie d’assurance maladie américaine contre plus de 480 000 dollars sur le dark web.
En France, les structures de santé doivent faire remonter depuis 2017 les attaques qu’elles subissent auprès d’un portail mis en place par le ministère de la Santé. Dans la première année suivant sa mise en place, plus de 300 incidents ont été signalés, dont les trois quart touchent des établissements publics de santé. Ces incidents entraînent une dégradation de la prise en charge des patients dans près de la moitié des cas.
La recherche sur le Covid-19 visée
Et l’épidémie Covid n’a pas freiné ces attaques. Bien au contraire. Le responsable de la sécurité de l’information de l’Organisation Mondiale de la Santé révélait en mars dernier que les cyberattaques ciblant l’OMS, ou utilisant l’entité de l’OMS, avait même “plus que doublé” depuis le début de la pandémie.
“Depuis mars, les pirates ont fait évoluer leur stratégie de hacking”, abonde l’experte en cybersécurité Lisa Forte auprès d’Alternatives Santé.
“Au début, c’était des demandes de ransomware, en entravant le fonctionnement des hôpitaux. Ensuite ils ont profité de la pénurie de masques pour arnaquer les établissements de soin et leur faire payer du matériel dont ils n’ont jamais vu la couleur. À présent, les attaques sont de plus en plus sophistiquées et ciblent très précisément les centres de recherche qui travaillent sur les vaccins contre le Covid-19.”
La résistance aux pirates s’organise
Pour aider les hôpitaux à faire face à cette menace mouvante, la spécialiste du Red Goat Cyber Security a co-créé avec Daniel Card et Radosław Gnat le groupe Cyber Volunteers 19 (CV19). “En trois semaines, on est passé de juste nous, trois amis qui voulaient aider quelques hôpitaux, à plus d’un millier de volontaires qui volaient au secours de toute l’Europe”, raconte-t-elle dans le documentaire Ha(ck)cine: Healthcare on the Edge mis en ligne le 25 septembre par la chaîne Tomorrow Unlocked.
Ces cyber-bénévoles conseillent les acteurs de la santé, en les aidant à mieux se protéger contre les cybermenaces et à bien réagir en cas d’incident. Une initiative similaire a été lancée par un autre Britannique, Joshua Saxe, chercheur en analyse de données, qui a mis en place une chaîne Slack baptisée “Covid-19 Cyber Threat Coalition” alimentée par 600 experts en cybersécurité.
L’outil permet aux “infrastructures critiques” – dont les hôpitaux – de se tenir au courant des dernières escroqueries liées à la crise du coronavirus, comme les mails frauduleux ou les noms de domaines malveillants.
L’Internet des objets, un futur défi
L’ENISA, l’agence européenne de cybersécurité, a de son côté publié en février une liste de recommandations à destination des responsables informatiques des centres hospitaliers. Parmi ses conseils : rendre la double identification obligatoire, éviter les connexions à distance, tester régulièrement le bon fonctionnement des appareils.
Ces bons réflexes sont-il suffisants pour protéger les hôpitaux ? “Ils ont été largement sous-dotés en Europe, pointe Lisa Forte dans le documentaire. De ce fait, la cybersécurité est passée au second plan.”
Les plus petites structures manquent de moyens pour lutter efficacement contre le problème. Quant aux plus grandes, elles sont confrontées, comme l’ensemble des entreprises et institutions, à une pénurie d’experts en cybersécurité. Il manquerait actuellement quatre millions de professionnels à l’échelle mondiale pour satisfaire la demande, selon le consortium international de certification de la sécurité des systèmes d’information.
D’autant que l’avènement de l’”Internet des objets” favorisé par le déploiement de la 5G, et le développement des outils médicaux connectés, suscitent de nouveaux risques.
À lire aussi : 5G, progrès ou menace pour l’environnement et la santé ?
“Si les dispositifs médicaux intégrant du logiciel sont de plus en plus connectés aux réseaux (wifi, radiofréquence, bluetooth…), ils ne peuvent pas faire face aux nouvelles menaces engendrées par les progrès technologiques notamment dans le domaine des malveillances informatiques”, constate l’Agence Nationale de Sécurité du Médicament dans un rapport publié en juillet 2019. Elle y ajoute un ensemble de recommandations à destination des fabricants de matériel médical afin que ces risques d’attaque soient mieux pris en compte dans la conception et le suivi des outils.
Mais la filière reste encore peu sensibilisée à la question. En 2016, la société Johnson & Johnson a ainsi retiré de la vente une pompe à insuline dotée d’une fonction wifi qui comportait une faille de sécurité. La même année, le producteur St Jude Medical a dû mettre à jour plusieurs de ses dispositifs médicaux connectés, dont un pacemaker qu’un hacker pouvait contrôler à distance, en provoquant des chocs électriques indésirables.