Le sujet de la « deuxième vague » ne préoccupe pas seulement les soignants. Si les gendarmes de la cybersanté sont aujourd’hui relativement soulagés de constater que la crise sanitaire n’a pas donné lieu à une vague massive de cyberattaques, la vigilance reste plus que jamais à l’ordre du jour. Il faudra des audits de vulnérabilité pour savoir si les systèmes d’information ont été infectés. D’autant plus que la sécurité est passée au second plan face à l’urgence, alors que les usages du numérique n’ont jamais été aussi intenses.
Deuxième quinzaine de mars : l’AP-HP est victime d’une cyberattaque par déni de service, manœuvre visant à planter un système en le surchargeant de requêtes de connexion, le Health and Human Services Department (équivalent américain du ministère de la Santé) est atteint de la même manière, puis l’hôpital de Brno, l'un des plus grands laboratoires de tests Covid de la République tchèque, se voit forcé de fermer son réseau informatique et de reporter des interventions chirurgicales en raison d’un incident « grave », tandis que le site web de la Sécurité sociale italienne se retrouve en carafe sous la pression de cyberpirates… En avril, c’est l’Organisation Mondiale de la Santé qui appelle à la vigilance, constatant qu’elle doit faire face à une hausse spectaculaire des cyberattaques visant son personnel et que des courriels frauduleux sont envoyés au public en son nom afin d’obtenir des dons pour un fonds fictif.
121 signalements d’incidents
En plein pic épidémique, une cybercrise allait-elle s’ajouter à la crise sanitaire avec le risque de l’envenimer et de désorganiser des prises en charge assez complexes comme cela ? Quelques semaines plus tard, les gendarmes de la cybersanté peuvent commencer à souffler. Certes, les activités malveillantes n’ont pas été stoppées par le coronavirus qui a, au contraire, favorisé la multiplication des petites cyberescroqueries. Au moins, les attaques ne se sont pas amplifiées en gravité.
Mi-juin, la cellule ACSS (Accompagnement Cybersécurité des Structures de Santé) faisait état de 121 signalements d’incidents et 39 demandes d’accompagnement de la part d’établissements de santé. Outre l’AP-HP, le CHU de Toulouse et l’AP-HM ont attiré l’attention des cyberbraqueurs. Sans surprise : c’est une constante de s’attaquer aux plus « gros ». Le risque n’était pas mineur dans la mesure où les criminels, cyber ou pas, aiment les périodes de crise qui ouvrent des brèches dans la vigilance des professionnels et la crédulité des publics.
Dès le début de la pandémie, les experts n’ont pas caché leurs inquiétudes, d’autant plus que le secteur de la santé est réputé pour être plus fragile que d’autres concernant la cybersécurité. Lors de son audition, fin mai, par la Commission de la défense nationale, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), Guillaume Poupard, pouvait tout de même rassurer en expliquant que c’est surtout une « petite cybercriminalité » qui a explosé durant la crise. Pas question pour autant de baisser la garde. Il a souligné en effet « un besoin majeur de moyens pour hisser les différentes structures [de santé] au juste niveau de sécurité, car l’investissement en matière de cybersécurité est souvent insuffisant ».
Et il met en garde face aux risques de vulnérabilité lors du retour dans les organisations des ordinateurs utilisés en télétravail : « Comme il est impossible de protéger un réseau constitué d’une multitude d’équipements non maîtrisés, on peut craindre que des attaques ne passent par ces équipements pour atteindre le cœur des réseaux informatiques. » Si l’on ose l’analogie, les craintes d’une deuxième vague sont tout aussi présentes chez les informaticiens que chez les médecins, tant qu’ils ne sont pas sûrs que le système d’information n’a pas été contaminé.
Cyber escrocs opportunistes
Avec la Covid, les cyber escrocs opportunistes ont rapidement adapté leurs modes opératoires préférés (hameçonnage et rançongiciel) pour tirer profit des peurs et des faiblesses : sites frauduleux et courriels de promotion de masques et gel hydroalcoolique pour dérober des informations personnelles… ou prendre des commandes qui ne seront jamais livrées ; fausses cartes interactives représentant sa propagation et autres contenus relatifs au coronavirus afin de déployer des logiciels espions ; blocage de l’accès au SI et chiffrement des données afin de soutirer une rançon en provoquant la panique… On pouvait même se procurer LE vaccin depuis le mois d’avril, s’amuse le RSSI du CH de Saint-Flour et vice-président de l’APSSIS[1], Charles Blanc-Rolin, qui publie un - très détaillé - « Panorama des arnaques et attaques utilisant le thème de la Covid pour tenter de soutirer de l’argent ou des données aux victimes potentielles »[2].
Si la communauté des RSSI (responsables sécurité des systèmes d’information) déplore régulièrement une insuffisance de ressources humaines (on ne compte même pas un RSSI par Groupement Hospitalier de Territoire), elle est heureusement plutôt soudée et partageuse. « Nous avons beaucoup échangé pendant cette période, raconte Charles Blanc-Rolin, afin de nous mettre en garde les uns les autres vis-à-vis des menaces qui pouvaient émerger ». « Le confinement nous a contraints de stopper quelques actions, mais nous en avons profité pour accentuer la veille », ajoute Rémi Tilly, RSSI du groupement SESAN (Service numérique de santé en Ile-de-France), qui a adopté un rythme régulier de diffusion d’alertes. « Cela nous a permis de ressouder notre communauté d’adhérents autour des sujets de sécurité ». Le RSSI francilien a également décidé d’adhérer à un CERT (Computer Emergency Response Team ou centre de réponse aux incidents), capable d’intervenir rapidement en cas de demande d’assistance.
La solidarité des opérateurs
C’est d’ailleurs un véritable élan de solidarité qui s’est très vite manifesté autour des hôpitaux et du secteur santé de la part des principaux opérateurs de cybersécurité en France. Au point que Philippe Loudenot, Fonctionnaire de sécurité des systèmes d'information (FSSI) du ministère des Solidarités et de la Santé, a tenu à les remercier publiquement via les réseaux sociaux (cf. les tweets). Fin mars, la cellule ACSS de l'Agence du numérique en santé publiait une liste des services et solutions mis gratuitement à la disposition des acteurs de la santé par ces industriels pendant quelques semaines.
Peut-être plus opportunistes que solidaires, d’autres entreprises ont, elles, fait le siège des médecins libéraux à coups de spam vantant leurs solutions de téléconsultation, voire les proposant gratuitement. Tanguy Lagorsse, Responsable du Pôle SI et Communication partagée à l’URPS Médecins Libéraux des Hauts-de-France, en témoigne. « Ces courriels non sollicités semblaient avoir pour principal objectif d’enrichir leurs annuaires de prospects en récoltant le maximum d’informations nominatives. L’URPS a profité de ses communications quotidiennes par newsletter pour appeler les médecins à la vigilance et leur rappeler que la région a investi dans une plateforme de télémédecine qui répond à toutes les exigences de sécurité ».
[1] Association pour la Sécurité des Systèmes d’Information de Santé
[2] https://www.apssis.com/actualite-ssi/429/covid-19-et-les-quarante-voleurs.htm
