Stratégie

L'hôpital est toujours malade de sa cyber

Victime d’un rançongiciel le 16 avril 2024, l'hôpital Simone Veil de Cannes, qui n’a pas cédé aux hackers, a vu 61 Go de ses data publiées. (Photo : D.R.)

Les données de santé ont une valeur particulièrement grande pour les hackers. Sans surprise, les hôpitaux sont ainsi de plus en plus victimes de rançongiciels. S'ils acceptent de moins en moins de céder aux demandes de rançons, ils restent très vulnérables.

PublicitéLe 10 février dernier, une centaine de serveurs et de postes de travail de l'établissement d'Armentières dans les Hauts-de-France étaient chiffrés. Résultat ? 18 Go de données médicales et autres publiées en ligne quelques jours après. Le 16 avril, c'était au tour de l'hôpital Simone Veil à Cannes. Le 2 mai, une journée après l'expiration du délai donné par les hackers pour obtenir la rançon, 61 Go de data de l'établissement connaissaient le même sort.

Selon l'Anssi, les signalements d'attaques par rançongiciel sont passés de 109 en 2022 à 143 en 2023. Et les établissements de santé ont représenté 10 % des victimes, comme l'année précédente. Un autre rapport du Cert Santé détaille les attaques - 32 pour les ransomwares -en 2023. Sur ce total, douze structures (cinq centres hospitaliers, deux hôpitaux privés à but non lucratif, un hôpital privé, une association, un groupe de laboratoires de biologie médicale et deux EHPAD) ont nécessité un appui « suite à des attaques par rançongiciel entraînant un fonctionnement dégradé des activités support ou du système de prise en charge des patients, à des compromissions de comptes AD ou de messagerie, ou à des exploitations de vulnérabilités. »

Peu de programme de protection contre les ransomwares

Du fait de l'obligation légale pour les structures de santé de déclarer leurs incidents de sécurité, ces chiffres peuvent être considérés comme exhaustifs. Selon l'Agence européenne pour la cybersécurité sur les cybermenaces dans le secteur de la santé, la France est le pays européen le plus touché. Ce même rapport souligne que seuls 27% des établissements de santé disposent d'un programme de protection contre les rançongiciels, alors que ces derniers sont responsables de 54% des attaques.

Les conséquences sont connues. Demande de rançons ou publication des données. « Un dossier médical sur le dark web peut se vendre 300 euros, souligne Pierre-Antoine Failly Crawford, responsable de l'équipe de réponses à incidents chez l'éditeur en cybersécurité Varonis. Un montant variable en fonction de la notoriété de la personne.» Ces informations sont ensuite utilisées pour des tentatives d'extorsion, via du phishing, du social engineering ou encore du black mailing.

Plus positif tout de même, un nombre croissant d'organisations ne payent plus les rançons et préfèrent relancer leur SI à partir de sauvegardes (locales ou dans le cloud), ce qui ne peut que diminuer l'intérêt des hackers au moins pour ce type d'attaques. Autre signe positif, le rapport annuel du Cert Santé pour 2023 souligne une maturité accrue d'établissements de santé pour assurer la sécurité de leur SI.

Un guide très terrain

La dernière version du Guide la cyberésilience publiée en décembre 2023 par l'Apssis (Association pour la sécurité des systèmes d'Information de santé) dresse un panorama des faiblesses des SI hospitaliers et décrit les méthodes pour y pallier. La protection de l'AD est spécialement prise en compte. À partir d'un cas d'école, 35 comptes administrateurs de domaine dans un établissement comptant moins de 100 lits et un informaticien à mi-temps, l'auteur décrit les raisons de cette hyperinflation de comptes (manque de ressources, demande des fournisseurs...). Et apporte une méthodologie pour reprendre la main sur cet actif particulièrement complexe. Comme, entre autres, la suppression des protocoles faibles tels SMB ou encore la mise en place d'une architecture trois tiers. Le guide zoome également sur les autres portes d'entrée utilisées récemment par les cyberattaquants, les VPN fournisseurs notamment. Enfin, il formalise les processus à mettre en place en cas de crise sans oublier leur impact financier. Un outil précieux pour les RSSI du monde médical construit à partir des retours du terrain.