Depuis ces trois dernières années, le nombre de cyberattaques à l’encontre des établissements de santé français a mis en lumière les failles de sécurité auxquelles sont confrontés non seulement les services publics mais aussi toutes les organisations à l’ère du numérique. Et si la cybercriminalité fait partie de notre quotidien, il est essentiel que la cybersécurité en fasse de même, pas seulement pour les organisations, mais aussi pour les utilisateurs.
Un danger pour les systèmes mais aussi pour les patients.
En 2021, 582 établissements de santé ont été victimes d’une cyberattaque d’après le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), soit deux fois plus que l’année précédente. Au total, un établissement médical sur six a été piraté. Au-delà du secteur public, une entreprise sur deux a été victime d’une cyberattaque et seule la moitié a porté plainte. Dans la majorité des cas, les groupes de hackers responsables ont utilisé un ransomware (rançongiciel), un logiciel d’extorsion qui empêche les utilisateurs d’accéder à leur système, leurs fichiers personnels et exige le paiement d’une rançon pour la restitution des données bloquées ou volées.
Ces cyberattaques ont non seulement perturbé les services médicaux, mais elles ont également mis en danger la vie des patients. Les hôpitaux ont dû reporter des interventions chirurgicales, annuler des consultations et transférer des patients vers d'autres établissements de santé. En raison de l'indisponibilité d’informations médicales cruciales, certains diagnostiques ne pouvaient pas être effectués avec certitude, retardant toute prise de décision même pour les cas les plus urgents.
2021 avait donc été une année particulièrement active pour les hackers à l’encontre des services de santé français, et ces failles de sécurité massives avaient déjà mis en lumière la nécessité d'améliorer la cybersécurité dans le secteur de la santé.
Le cas révélateur du secteur public
Malgré les mesures mises en place par le gouvernement pour renforcer les défenses informatiques des hôpitaux et une courte accalmie au début de l’année, le débat a été relancé en 2022 par deux cyberattaques particulièrement violentes. La première sur le Centre Hospitalier Sud Francilien de Corbeil-Essonnes fin août, et la deuxième en décembre sur l’hôpital de Versailles.
Particulièrement relayée par les médias lorsqu’elle s’est déroulée, l’attaque contre le centre hospitalier de Versailles situé au Chesnay-Rocquencourt avait mis en danger la vie de nombreux patients. Les machines servant à surveiller le rythme cardiaque des personnes en réanimation, reliées au système informatique, avaient été éteintes, forçant la direction à effectuer une dizaine de transferts et à mobiliser un plus grand nombre de soignants. Six mois après l'attaque, l’hôpital ne fonctionne qu’à 60% de ses capacités en mai 2023. Pour certains services, pas d’autre choix que de revenir à l’ère du papier pour communiquer entre soignants, constituer les dossiers des patients et s’assurer leur traitement.
La réalité des cyberattaques est que nous n’en percevons qu’un fragment au quotidien. Car, si elle a marqué les esprits, l’attaque subie par l’hôpital de Versailles n’est qu’une parmi les centaines de tentatives effectuées par des acteurs malveillants au quotidien. « Les hôpitaux sont une cible pour les cybercriminels parce qu’il faut que les systèmes fonctionnent tout le temps », explique Gérôme Billois, expert en cybersécurité. La nature des urgences forcent des réactions immédiates et parfois désespérées de la part de certains établissements, entraînant des paiements rapides sans négociations. En France, cependant, cela est interdit par la loi et les rançons ne sont généralement pas versées, mais les coûts restent bien réels car relancer les machines ou les remplacer peut mener à des dépenses de plusieurs millions d’euros.
Un manque de moyens, de personnel et de formation.
Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le manque de connaissances et de sensibilisation à la cybersécurité continuent d’offrir de « trop nombreuses opportunités aux attaquants ». En effet, d’après le Computer Security Incident Response Team de Post (CPSIRT), plus de 70% des cyberattaques sont de type phishing (ou hameçonnage), une méthode qui encourage les victimes à se rendre sur un site tiers via un SMS ou un e-mail, où ces dernières entreront leurs données de connexion que les hackers utiliseront ensuite pour voler ou pirater de plus larges systèmes.
C’est donc bien l’humain qui reste le « maillon faible » d’un plan de cybersécurité. Qu’il s’agisse d’un manque d’experts en poste pour lutter contre les tentatives de cyberattaque, un manque d’investissement dans les services de protection contre les cybercriminels, ou un manque de sensibilisation à la cybersécurité chez les employés, il est essentiel de se préparer à ce genre de menaces. Avec les cyberattaques, il ne s’agit pas de « si », il s’agit de « quand ».
« En France, le coût moyen de ce type d’événement est de 1,5 million d’euros. 60 % des PME ne s’en remettront pas », indique Laurent Jaunaux, consultant formateur pour ib Cegos, et expert en cybersécurité au sein du cabinet Intègr’Action Conseil. Et si les administrations ne feront pas faillite, les cyberattaques restent pour elles une perte de temps et de moyens considérable.
La cybersécurité, une affaire qui nous concerne tous.
Depuis sa naissance, le monde du numérique n’a cessé d’évoluer à grande vitesse, et il est normal de ne pas être familier avec tout ses aspects. Mais aujourd’hui nous vivons, travaillons et avançons dans ce monde informatisé et la cybersécurité se doit d’être une partie intégrante de notre quotidien. Elle ne peut plus être uniquement l’affaire d’experts techniques. « On aura beau avoir les meilleurs outils techniques au monde, l’organisation ne sera pas protégée tant que les agents ne seront pas formés à la vigilance », prévient Laurent Jaunaux.
Les experts s’accordent à dire que les organisations doivent offrir à leurs collaborateurs des formations régulières et stimulantes sur la cybersécurité. Il est important pour tout utilisateur de comprendre que les bonnes pratiques de la cybersécurité ne concernent pas que leur organisation mais aussi leur famille et la protection de leurs données personnelles. Une fois qu’ils connaissent les comportements sécuritaires à adopter à la maison, ils commenceront à appliquer ces meilleures pratiques au bureau.
On ne peut activement lutter contre la cybercriminalité sans une véritable compréhension des enjeux et une bonne connaissance du numérique. Et même si on ne devient pas expert de la cybersécurité, être capable de déjouer les pièges les plus courants est déjà un grand pas en avant.