Quelques jours après la cyberattaque très médiatisée envers le Centre hospitalier Sud Francilien (CHSF), une question revient souvent dans les médias et sur internet : mais pourquoi donc attaquer un hôpital ?
Au-delà de l’aspect éthique de ce genre d’attaques, il y a de nombreuses raisons qui poussent (malheureusement) les cybercriminels à viser ce type d’établissement.
1. Parce que le domaine de la santé est considéré comme étant doté d’un niveau de sécurité faible
Mettons-nous dans la peau d’un cybercriminel : Un des premiers critères lorsqu’ils choisissent une cible, c’est la facilité avec laquelle ils vont réussir à s’introduire dans le système d’information. En effet, les hackers recherchent avant tout la simplicité et le profit maximum, ainsi passer des semaines voire des mois à mener une attaque n’est pas forcément pertinent, d’autant plus que la réussite n’est pas garantie. Ils vont donc se focaliser sur des cibles « faciles », et le domaine de la santé est considéré comme étant un des moins matures en termes de cybersécurité.
Quand bien même, est-ce la réalité ? Rien n’est moins sûr, car même si c’était peut-être le cas il y a quelques années, la cybersécurité devient un sujet majeur dans les établissements de santé, et est appuyée par les moyens et ressources nécessaires notamment avec l’aide de l’Agence Nationale de la Santé (ANS), et de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Les établissements de santé disposent donc d’un système d’information dont le niveau de sécurité ne cesse de s’améliorer, mais le risque zéro n’existe pas.
« La numérisation des services de soins au sein des hôpitaux s’est faite rapidement et sans prendre en considération les risques numériques. Par ailleurs, les médecins demandent régulièrement de mettre en place des innovations pour les patients, tout en souhaitant accéder aux données en temps réel. Or, la prise de conscience du corps médical devient réalité. Les habitudes vont changer et des concessions être actées. Aujourd’hui, la cybersécurité des hôpitaux devient un sujet qui n’est plus tabou avec les directions générales. Des budgets existent et des solutions techniques existent. Il faut maintenant transformer l’essai en donnant aux hôpitaux les moyens de leurs ambitions. »
2. Parce que ça peut rapporter beaucoup
Les 2 principales sources de profit pour les cybercriminels sont :
- Le paiement des rançons par les victimes
- La revente des données dérobées sur le Darkweb
Si en France le paiement des rançons est fortement déconseillé par les autorités et les sociétés spécialisées comme Advens, il peut arriver que cela se fasse quand même, notamment quand l’entité ciblée dispose d’une cyberassurance qui accepte d’indemniser. Avec à la clé des rançons pouvant peser plusieurs millions de dollars, même si elles sont souvent revues à la baisse lors des phases de négociations.
Mais une information qui a son importance, c’est la valeur d’une donnée de santé sur les places de marché illégales du Darkweb. S’il est difficile de mettre un prix précis sur une telle donnée, il a été constaté par exemple qu’un dossier médical complet peut se revendre entre 50$ et 250$, par patient. Multipliez par le nombre de patients d’un établissement de santé, et c’est le jackpot potentiel pour les Cybercriminels.
« L‘attrait des attaquants pour les données de santé est un enjeu important pour les RSSI dans le secteur de la santé. Que ce soit une donnée de santé à des fins de recherche ou de diagnostic pour les professionnels de santé, il est fondamental d’apporter une confiance aux utilisateurs. Un patient qui confie ses données de santé à un centre hospitalier doit attendre que l’on traite les datas avec soins en les protégeant. Par ailleurs, on peut noter qu’une nouvelle forme d’extorsion prend forme : le chantage à la publication des données pour les patients. En 2020 en Finlande, des centres de psychothérapies ont été victimes d’une exfiltration de données. Les patients ont été contactés directement par les hackers pour leur demander de payer une rançon de 200 euros en cryptomonnaie, sans quoi les données de psychiatrie seraient publiées. Nous prenons en considération ces nouvelles menaces surtout à l’aune de l’avènement des entrepôts de données de santé sur le territoire. »
3. Parce que la vie des patients peut être en jeu
Un dernier aspect sur lequel s’appuient les cybercriminels, c’est tout simplement que des vies humaines peuvent être en jeu. En effet paralyser le système d’information d’un hôpital peut compliquer voire rendre impossible la réalisation de certains soins, avec des conséquences pouvant aller jusqu’à la mort de certains patients dans le pire des cas.
Les hackers essaient donc de profiter de l’urgence absolue qu’est la réalisation des soins pour exercer une pression encore plus importante sur leur cible, et les inciter à payer la rançon. C’est le principe de l’extorsion, voire même de la double extorsion dans le cas où des données sensibles sont volées.
Heureusement des modes dégradés existent, mais c’est clairement un point à prendre en considération. La guerre psychologique qui oppose attaquant et cible est un des facteurs à ne pas négliger, et plus l’attaquant trouve de moyens de faire pression, plus la cible est susceptible de céder.
« Le numérique apporte beaucoup d’atouts pour assurer les soins au sein d’un centre hospitalier. La gestion des malades, des diagnostics, des prescriptions, de l’imagerie médicale, des analyses de biologies, le suivi des pathologies, etc. Tous ces aspects permettent de mieux soigner les patients. Néanmoins, un médecin, un infirmier sera toujours capable de soigner sans numérique, à l’image d’un pilote d’avion qui navigue sans instrument. Néanmoins, il y aura des risques accrus pour les patients et la prise en charge ne sera pas optimale. C’est pourquoi les hôpitaux mettent en œuvre des procédures dégradées lorsqu’un système d’information ne fonctionne plus et jouent des exercices de gestion de crise afin de vérifier que ces procédures sont efficaces. »
S’attaquer à une cible critique et « fragile » comme un hôpital, au-delà de toutes considérations financières ou autres, ce n’est pas éthique, chacun peut en convenir. Pourtant certains groupes Cybercriminels ont à plusieurs reprises indiqué qu’ils ne s’attaqueraient plus à des infrastructures critiques comme les services de santé, mais aussi les fournisseurs d’énergie ou tout ce qui concerne l’alimentation. Mais force est de constater que ces belles promesses sont rarement tenues, et que l’appât du gain reste plus que jamais le nerf de la guerre.
4. Parce que les hackers n’ont pas d’éthique
Tout comme quand les hackers promettent de restituer vos données en cas de paiement de rançon, l’expérience démontre que cela n’est pas forcément le cas. Moralité il ne faut pas faire confiance aux cybercriminels, n’oublions pas qu’ils restent avant tout des criminels, et que leur parole est toute relative. Et s’ils choisissent vraiment de ne plus attaquer les hôpitaux un jour, ce sera avant tout dans leur intérêt (par exemple pour ne pas attirer trop l’attention sur eux), et pas dans celui des cibles…