Cyberattaque : la meilleure défense c’est de se former

À celles et ceux qui pensent que le monde virtuel n’a rien de réel, cette chronique vous est dédiée.

Depuis un mois, le centre hospitalier de Corbeil-Essonnes doit concilier avec une cyber attaque de type rançongiciel, une forme de cyber-attaques très fréquente à l’encontre des services hospitaliers.

Le montant de la rançon demandée est de 10 millions de dollars. Une somme absolument démesurée pour un hôpital ! Ce dimanche 25 septembre, les hackers ont pris la décision de mettre leur menace à exécution en divulguant certaines des données en leur possession. Cette menace résonne comme un effet kiss cool, démultipliant l’attaque dont l’hôpital fait déjà l’objet. Une pression supplémentaire qui concerne la revente des données sur le dark web.

Mais alors pourquoi les hôpitaux sont-ils autant la cible de ces hackers ? Depuis quelques années, on assiste à une recrudescence des attaques à l’encontre des hôpitaux.

CHU de Rouen, Villefrance sur Saone, Dax, les exemples sont légion. En 2021, l’Anssi (l’Agence Nationale de la Sécurité des Systèmes d’Information), le gendarme de la cybersécurité en France, relevait en moyenne un incident par semaine dans un établissement de santé en France.

Les hôpitaux sont une proie idéale : tout y est informatisé, des logiciels métiers, aux systèmes d’admission, en passant par les machines comme les scanners, les IRM, l’informatique est partout dans l’hôpital, paralyser le système est donc une stratégie très efficace.

Les conséquences sont particulièrement fâcheuses, elles mettent en péril l’activité de l’hôpital, voire la santé des patients. L’établissement doit alors travailler en mode dégradé, il ne peut accueillir tous les patients, comme il doit revenir à un traitement papier, certaines opérations ne peuvent pas être réalisées. Pour un hôpital comme celui de Corbeil Essonne qui doit gérer les urgences pour environ 600 000 habitants du sud de l’ile de France, les cyber attaque représentent une vraie catastrophe.

L’hôpital est aussi un lieu vulnérable où le personnel n’est pas forcément bien formé aux cyberattaques, il y a tout simplement un vrai manque de culture numérique. Parce qu’il faut bien avoir en tête que les cyberattaques consistent à envoyer un logiciel malveillant dans une pièce jointe. C’est le fameux fishing, ou technique du hameçonnage en bon français, un simple mail reçu dont on ne vérifie pas la provenance. On clique sur la pièce jointe, et c’est déjà trop tard.

Les attaques ont longtemps été sous estimés par les hôpitaux qui s’estimaient protégés dans la mesure ou ces établissements n’ont pas de fonds susceptibles d’intéresser les rançonneurs.

C’était sans compter sur la numérisation de notre société qui transforme nos données en or. Résultat, aujourd’hui, on a pris beaucoup de retard, les réseaux des hôpitaux sont mal protégés et le personnel n’est pas formé.

Pour renforcer la sécurité des hôpitaux, l’Etat avait annoncé une enveloppe de 25 millions d’euros pour 2021 et 2022. Le ministre François Braun vient de l’augmenter de 20 millions de plus.

Alors, on commence par quoi ? Et pourquoi pas un bon vieux cours de culture numérique ?