Depuis 2020 et la crise sanitaire, le rythme des attaques par rançongiciel à des fins d’extorsion contre des prestataires de soins ne s’est pas ralentie : le rapport que vient de publier l’Agence nationale de sécurité des systèmes d’information (Anssi) révèle que 30 établissements de santé ont été compromis et chiffrés en 2022 et 2023 par des rançongiciels.
Parmi les incidents et signalements transmis à l’Anssi entre janvier 2022 et décembre 2023 dans le secteur de la santé, 86 % concernaient des établissements de santé, 7 % des organisations productrices de produits pharmaceutiques, 5 % des centres de recherche médicale et 2 % les ministères en charge des politiques de santé et leurs établissements publics. La part de ces événements dans le total des incidents ou signalements traités par l’Agence n’a cessé d’augmenter, passant de 2,87% en 2020, à 11,4% en 2023. Les services de réanimation, de pharmacie, de laboratoire et d’imagerie sont le plus souvent affectés. Les deux derniers hôpitaux ciblés ont été l’hôpital d’Armentières en février 2024 et celui de Cannes en avril 2024.
Les rapporteurs citent un exemple emblématique, celui du centre hospitalier sud-francilien (CHSF) de Corbeil-Essonnes qui a été hacké dans la nuit du 20 au 21 août 2022 par le groupe cybercriminel Lockbit qui a exigé une rançon de dix millions de dollars en échange du déchiffrement des systèmes informatiques touchés. Les impacts métiers ont été significatifs, notamment sur les services de messagerie, de comptabilité ou de ressources humaines. Les services de soins ont été perturbés. La direction de l’établissement a été contrainte de transférer les nouveau-nés du service de néonatalogie vers d’autres établissements. L’indisponibilité de certains automates de laboratoires a perturbé la capacité à réaliser des analyses biologiques. Enfin, la structure s’est vu exfiltrer 11 gigaoctets de données comprenant des informations de santé et personnelles de patients, de membres du personnel et de partenaires de l’hôpital le 23 septembre 2022.
Le surcoût total de l’attaque au CHSF a été estimé à 7 millions d’euros. Pourquoi un tel coût ? « La remédiation des attaques par rançongiciel et le retour au mode de fonctionnement normal peuvent durer jusqu’à plusieurs mois et générer des coûts élevés liés à la réponse à l’incident, à la reconstruction des systèmes d’information touchés, aux pertes de recettes, mais aussi aux ressources humaines mobilisées », analyse l’Anssi. Un an après le début de l’incident, certains services subissent toujours les conséquences de la crise. La reconstruction du système d’information nécessite, outre des sauvegardes intègres, de nouvelles machines, qui ne peuvent pas forcément être livrées rapidement.
Attaque sur l’AP-HP en juin 2023
Les établissements ne sont pas seulement attaqués par les ransomwares. Une autre menace émane de groupes activistes sous la forme d’attaques par déni de service distribué (DDoS*), de défigurations de sites web et d’exfiltration de données à des fins de divulgation. Ces campagnes de déstabilisation se sont accentuées depuis l’offensive de la Russie sur l’Ukraine et la guerre entre Israël et le Hamas. Ce type d’attaque a eu lieu en juin 2023 à l’Assistance publique-Hôpitaux de Paris (AP-HP), ce qui a entraîné une indisponibilité pendant plusieurs heures. Le groupe hacktiviste Anonymous Sudan a revendiqué l’attaque sur Telegram. C’est le même type de hacking dont a été victime le site web de l’Agence nationale de sécurité des médicaments (ANSM) en août 2024 par le groupe Cyber Army of Russia Reborn.
Mobilisation des pouvoirs publics
La tutelle a fait en sorte que les établissements soient (davantage) prêts à affronter cette épreuve : outre sa stratégie nationale d’accélération lancée en février 2021, le plan blanc hospitalier intègre depuis 2023 un volet spécifique aux incidents cyber qui prévoit les éléments à préparer en amont de ce type d’évènement, ce qui permet aux hôpitaux « de gagner un temps précieux dans les premiers instants de la crise ».
Toutefois, l’agence pointe des obstacles persistants, dont la progression des budgets alloués à la sécurité informatique – jugée insuffisante –, et les difficultés des hôpitaux à recruter ou former des personnels compétents dans la sécurité des systèmes d’information. Un moyen d’augmenter le niveau de sécurité est aussi le soutien précieux apporté par le groupement hospitalier de territoire et l’établissement support.
Une attaque en déni de service ou en déni de service distribué (DDoS pour distributed denial of service) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service
Services saturés, généralistes isolés : la prise en charge des urgences psychiatriques scannées par deux députées
Congé parental, rémunérations, harcèlement au travail : l’ordonnance du collectif Femmes de santé contre les discriminations
Au CHU de Grenoble, soignants et médecins relancent la grève pour « des bras, des lits » et des blocs
Le décret de sécurité de l’anesthésie fête ses 30 ans, le Snphare appelle à sanctuariser les ressources humaines