Président de l’APSSIS (Association pour la Sécurité des Systèmes d’Information de Santé) et consultant expert Weliom, Vincent Trély revient sur la cyberattaque qui a touché le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes. L’occasion de faire un état des lieux de la situation dans les hôpitaux.
LE QUOTIDIEN : Pourquoi des cybercriminels ont attaqué l'hôpital de Corbeil-Essonnes ?
VINCENT TRÉLY : Il y a deux possibilités. Il est tout d’abord possible que cela soit arrivé par hasard. Le pirate informatique dispose de plusieurs centaines de milliers d’e-mails qui sont sa source d’intrusion. Il lance son filet dans lequel peuvent tomber des villes, des collectivités territoriales, des PME ou des hôpitaux. Si des emails du CHSF figuraient dans sa base de données, si un employé de l’établissement a cliqué sur un lien cliquable, le pirate essayera de récupérer sa rançon en monnayant la clef de déchiffrement. Tout cela se fait de façon automatique, car la demande de rançon et les modalités pour la payer sont intégrées au virus. L’autre hypothèse, c’est que le pirate ait ciblé l’hôpital en s’introduisant dans des failles de sécurité. Il a déclenché son attaque en espérant, soit récupérer de l’argent, soit exfiltrer des données pour pouvoir les revendre par la suite.
Mais, en France, la doctrine, pour les hôpitaux et les services publics, est justement de ne pas payer pour ne pas encourager les attaques ?
Oui, mais les pirates ukrainiens, russes et nord-coréens ne sont pas tous habitués à cette politique. En France, la doctrine existe pour trois raisons. Premièrement, parce que le paiement par rançon ne garantit pas que le pirate va donner la clef de déchiffrement. Deuxièmement, parce que « si vous payez un jour, vous payerez toujours », donc on rentrerait dans du racket trimestriel. Troisièmement : si vous commencez à payer, les cybercriminels vont se dire que c’est simple de gagner 50 000 ou 100 000 euros, donc ils vont tous se mettre à attaquer des hôpitaux et des mairies. Il faut savoir que la cybercriminalité rapporte énormément, son chiffre d’affaires dans le monde est supérieur au narcotrafic.
Si les hôpitaux ne payent pas de rançon, comment les cybercriminels se rémunèrent-ils ?
Ils espèrent que, sur la masse de structures attaquées, certains vont payer. Dans le filet, il y a peut-être aussi trois PME, dont une a déjà payé 50 000 euros de rançon pour que le système redémarre.
Les cyberattaques ont-elles vocation à monnayer les données de santé de l’hôpital ?
Les cybercriminels veulent surtout monnayer le déblocage du système informatique. Le cryptovirus va tout chiffrer pour empêcher le fonctionnement du système d’information. Conséquence : certains logiciels ne fonctionneront plus, il ne sera plus possible de demander un examen de biologie, etc. Donc on demande une rançon en échange du renvoi de la clef de décryptage pour revenir à la normale. Comment l’hôpital s’en sort ? Il y a deux options. Soit il a fait des sauvegardes convenablement et régulièrement, ce qui lui permettra de faire remonter la dernière sauvegarde réalisée quelques jours plus tôt. Soit la sauvegarde a été corrompue, et cela devient la grande aventure… À l’image de l’hôpital de Dax qui ne s’en toujours pas remis, 18 mois après, car ils ont dû repartir de zéro. Mais il peut y avoir aussi, en parallèle du blocage, une exfiltration de données.
Combien les pirates peuvent-ils monayer ces dossiers médicaux volés ?
Si les pirates arrivent à voler entre 50 000 et 200 000 dossiers médicaux complets, ils vont les revendre plusieurs millions d’euros sur le marché noir. Il y a beaucoup d’États et de multinationales dans le monde qui sont potentiellement intéressées par ces données. Quand on détient 250 000 dossiers médicaux, on peut en tirer des informations sur la nature des maladies, les médicaments que les patients prennent. Les données de recherche sont aussi assez prisées. Imaginez que l’on dérobe à un hôpital cinq années de recherche sur le traitement du cancer chez les enfants ? Cela représente des millions d’euros.
Comment a évolué la situation depuis la vague de cyberattaques que l’on observe depuis 2019 ?
Il y a tout d’abord eu une prise de conscience des directions d’établissements, quand les cyberattaques ont touché le CHU de Rouen, le CH de Dax ou de Villefranche-sur-Saône. Mais aussi au niveau de national. Emmanuel Macron a annoncé le déblocage de 350 millions d’euros pour renforcer la cybersécurité dans la santé. Les choses avancent, mais les hôpitaux commencent à peine à toucher des subventions pour les aider à renforcer la cybersécurité. Certains sont déjà opérationnels, d’autres beaucoup moins… Cela va prendre des années pour inculquer un état d’esprit véritablement « vigilant » sur l’informatique.
Est-ce que la pandémie a ralenti le processus ?
Oui, pendant 18 mois, l’urgence numéro 1 était la pandémie. On a parfois vu le niveau de sécurité dans certains établissements se dégrader. Il a fallu ouvrir des tuyaux pour que les personnels puissent faire du télétravail. Il a aussi fallu autoriser des conférences médicales avec des outils tels que Zoom ou Skype, alors que l’on essaie depuis des années d’utiliser des outils officiels de télémédecine validés et chiffrés. C’était un peu « open bar » pendant la pandémie.
Vous militez toujours pour une mutualisation du pilotage de la cybersécurité à l’hôpital ?
Oui, cela me semble être du bon sens. On a 1 300 hôpitaux en France, regroupés en 135 GHT. Ils font tous la même chose, ils ont tous les mêmes systèmes, les mêmes risques. Il faut donc pouvoir penser la sécurité « un cran au-dessus », en mutualisant son pilotage, d’autant plus que cela coûtera moins cher aux établissements. Il faut arrêter de laisser chaque hôpital se débrouiller tout seul, avec sa propre stratégie de sécurité. Le ministère a des relais régionaux, les ARS. Cela doit se piloter à ce niveau-là. D’autant plus que c’est facile à mettre en œuvre, car on connaît les problèmes et les solutions.
À l’hôpital psychiatrique du Havre, vague d’arrêts de travail de soignants confrontés à une patiente violente
« L’ARS nous déshabille ! » : à Saint-Affrique, des soignants posent nus pour dénoncer le manque de moyens
Ouverture du procès d'un homme jugé pour le viol d'une patiente à l'hôpital Cochin en 2022
Et les praticiens nucléaires inventèrent la médecine théranostique