"27 cyber-attaques d'hôpitaux en 2020, une par semaine depuis 2021", suivant les statistiques mises en avant par le secrétaire d'Etat à la Transition numérique Cédric O.
L'attaque du rançongiciel suit immanquablement le même scénario. : un virus pénètre le réseau informatique et met au point mort en quelques minutes l'ensemble de l'activité. Plus de messagerie, impossible d'accéder au dossier ou de utiliser les machines connectées au réseau informatique, plus de téléphone…
La liste des établissements de santé n'en finit pas de s'allonger : Oloron, Villefranche, Rouen Dax, la Fondation Santé des étudiants de France... En mars 2020, le CHU de Rouen avait été sommé de payer une rançon de 300 000€ pour utiliser de nouveau son réseau informatique. En aout 2019, un virus avait pénétré le système informatique de l'hôpital privé de Clairval, visant au-delà de l'établissement marseillais les 120 autres hôpitaux du groupe Ramsay. Combien d'acteurs de la santé préfèrent ne pas diffuser ce genre d'information pour ne pas ternir la réputation de leur établissement ? La cybercriminalité, c'est également ce qui ne se dit pas.
La France n'est évidemment pas le seul pays touché par cette cybercriminalité. Fin 2020, le FBI avait identifié des pirates d'Europe de l'Est regroupés sous le nom de code UNC1878 qui avait attaqué au moins 5 hôpitaux américains en exigeant des rançons supérieures à 10 millions de dollars par Site.
Si la cybercriminalité s'attaque aux hôpitaux, c'est évidemment parce qu'ils ont détecté plusieurs faiblesses récurrentes au sein des établissements : des systèmes informatiques hétérogènes, l'absence de mises à jour systématiques, une faible sensibilisation du personnel aux précautions de base. La crise sanitaire a accéléré le télétravail et désorganisé les procédures de sécurité. Les directions informatiques n'ont pas pu contrôler de nombreuses pratiques individuelles qui ont fleuri ici et là, et qui représentent des menaces pour la stratégie de sécurité de l'information mise en œuvre.
Pourquoi ces cliniques privées, ces centres de rééducation, ces établissements médico-sociaux sont autant de cibles faciles pour les cybercriminels ? L'ensemble de ces établissements de santé a été confronté depuis une quinzaine d'années à la transformation digitale, une numérisation croissante de l'activité engendrant des gains considérables de productivité. Tous les spécialistes de la transformation digitale ont pu observer le fossé croissant entre les outils et l'évolution des cultures internes, à commencer par celle des dirigeants de ces établissements. L'œil rivé sur les indicateurs de performance, une grande partie d'entre eux n'a pas voulu regarder les coûts de sécurité informatique qui était nécessaires en réponse à la digitalisation des procédures internes. Les cyber-criminels ont identifié à leur tour cette faiblesse endémique qui concerne une grande partie des établissements de santé, et se sont engouffrés dans la brèche. Or, la mise en place d'une culture interne demande du temps, beaucoup plus que d'installer de nouveaux outils et processus censés compenser la rupture du continuum de sécurité nécessaire à une réelle protection. Il faut donc se préparer à d'autres épisodes dramatiques, entraînant le blocage d'activités, sans compter le vol de millions de données de santé, que l'on pourrait qualifier en l'occurrence de "dommages collatéral" au regard des demandes de rançons exigées.