Au cours de l’été, l’Assistance Publique – Hôpitaux de Paris (AP-HP) a été victime d’une attaque informatique. Les données dérobées lors de cette attaque concernent environ 1,4 million de personnes ayant réalisé des tests PCR et sérologiques pour la COVID-19, principalement en Île-de-France. Identité, coordonnées, numéro de sécurité sociale et résultat du test de chacune de ces personnes ont été momentanément accessibles via une faille de sécurité de l’outil de partage de fichiers hébergé et utilisé par l’AP-HP.
Pour infiltrer le réseau de l’AP-HP, le cybercriminel – un étudiant en informatique de 22 ans, originaire du Var, qui souhaitait démontrer les faiblesses du système de santé rapporte FranceInfo – a exploité une faille dite « zero-day ». Il s’agit d’une vulnérabilité récemment découverte par une personne malveillante, pour laquelle un correctif n’a pas encore été déployé (car elle est généralement inconnue de l’éditeur du logiciel lui-même). Ce type d’attaque est donc particulièrement dévastateur, car les stratégies de défenses traditionnelles (antivirus) sont inefficaces.
Au cours des dernières années, on a pu relever de nombreuses cyberattaques « accidentelles » contre des hôpitaux. On peut par exemple citer le cas du National Health Service du Royaume-Uni, qui au printemps 2017, a été une victime collatérale du ransomware WannaCry, qui a infecté plus de 300 000 PC dans le monde entier. Mais les cybercriminels semblent désormais avoir adopté une nouvelle approche en visant intentionnellement, et de plus en plus, les hôpitaux – ces cibles sont apparues soudainement beaucoup plus lucratives pendant la pandémie de COVID-19.
Des séjours hospitaliers prolongés, des examens différés
Le 13 octobre dernier, c’est le centre médical Hillel Yaffe de Hadera, en Israël, qui annonçait avoir été victime d’une de ces attaques. Le ministère israélien de la Santé a déclaré qu’il travaillait avec la Direction nationale de la cybersécurité et d’autres experts « 24 heures sur 24 » pour enquêter sur cet incident.
Les systèmes informatiques étant en panne, les admissions ont dû être enregistrées manuellement, avec un stylo et du papier. De lourds retards de traitement ont été causés par le fait que les médecins devaient constamment se déplacer entre les services pour examiner les résultats des tests. « Nous devons tirer la leçon et mieux protéger notre système de santé. Les cyberattaques sont l’une des plus grandes menaces aujourd’hui. Cela pourrait mettre la vie en danger », a déclaré Nachman Ash, directeur général du ministère de la Santé.
Effectivement, près d’un quart des établissements de soins de santé qui ont été touchés par une attaque de ransomware au cours des deux dernières années ont signalé une augmentation des taux de mortalité, selon un nouveau rapport établi par le Ponemon Institute et parrainé par la société de cybersécurité Censinet. Ainsi, les cyberattaques n’entraîneraient pas « que » des problèmes financiers et/ou logistiques : elles constituent également une menace pour la santé.
Sur près de 600 prestataires américains de soins de santé ayant répondu à l’enquête, 67% ont déclaré avoir subi une attaque de ransomware au cours des deux dernières années, tandis qu’un tiers ont été ciblés deux fois ou plus. Ces attaques ont largement perturbé le fonctionnement des hôpitaux : 70% des organisations touchées ont déclaré qu’elles avaient entraîné des séjours plus longs pour les patients et retardé plusieurs examens et procédures. En outre, 36% ont déclaré avoir observé plus de complications liées aux procédures médicales, et 22% ont vu leur taux de mortalité augmenter !
Sensibiliser et former les usagers pour limiter les risques
Ces résultats sont néanmoins à interpréter avec prudence. En effet, comme souligné par Ed Gaudet, PDG et fondateur de Censinet, le panel de prestataires interrogés est relativement restreint, mais surtout, les répondants à l’enquête ne précisent pas comment ils ont pu mesurer les changements observés. Pour l’expert, il est donc prématuré d’affirmer avec certitude que les ransomwares sont directement associés aux dégradations évoquées. Il sera néanmoins difficile de faire un jour la lumière sur ce point. Globalement, peu d’efforts sont fournis pour tenter de quantifier la relation entre les cyberattaques et la santé des patients ; sans compter que les hôpitaux rechignent généralement à partager leurs expériences et leurs données en la matière, par crainte de nuire à leur réputation.
Pour limiter les risques, les experts conseillent de miser sur une sensibilisation accrue et généralisée des utilisateurs. Cette sensibilisation, qui peut consister à proposer une formation en cybersécurité à ses collaborateurs, est un pilier majeur de la cybersécurité, car la faille est bien souvent humaine en sus d’être logicielle… Les attaques par phishing — qui consistent à se faire passer pour un organisme connu afin de récupérer des informations personnelles de l’usager par simple saisie de celui-ci — constituent actuellement la menace de sécurité la plus étendue. Ces attaques reposent sur des méthodes toujours plus avancées, qui permettent de générer des actions plus personnalisées et géociblées.
Force est de constater que les cyberattaques augmentent avec l’évolution des technologies et la cadence n’est pas près de ralentir. D’autant que la pratique du télétravail, plus répandue depuis le début de la pandémie, a malheureusement rendu de nombreuses organisations, y compris du secteur de la santé, beaucoup plus vulnérables – certaines ayant assoupli leurs règles de pare-feu pour permettre à leur personnel d’accéder aux données depuis leur domicile. La multiplication des objets connectés contribue elle aussi à créer de nouvelles failles de sécurité (et tout autant de nouvelles opportunités pour les cybercriminels).
À noter que le secteur de l’enseignement supérieur a également subi de plein fouet les conséquences des mesures sanitaires : l’essor de l’apprentissage en ligne et du travail à distance pendant les confinements a entraîné une multiplication des attaques informatiques dans ce secteur relativement épargné jusque-là. En avril dernier, le CNED avait ainsi été la cible de plusieurs cyberattaques (de type DDoS), et ce, dès le premier jour de fermeture des établissements scolaires.