BFMTV
Santé

Les hôpitaux français sont-ils devenus une cible privilégiée pour les hackers?

En 2021, 582 établissements hospitaliers français ont été victimes d'une cyberattaque, soit un établissement sur six. Un nombre deux fois plus important qu'en 2020.

Samedi soir, un nouvel établissement de santé français a été victime d'une cyberattaque. C'est le centre hospitalier de Versailles (Yvelines), avec ses 700 lits et ses 3000 membres du personnel qui a été visé, obligeant la direction à couper l'ensemble du système informatique des différents sites. À la clef, plusieurs transferts de patients et une réduction des capacités d'accueil.

Cette nouvelle attaque montre l'intérêt toujours plus important que constituent les hôpitaux français pour les pirates informatiques. En août, c'est le Centre hospitalier sud francilien, situé à Corbeil-Essonnes (Essonne), qui avait été touché.

Les conséquences avaient été importantes pour les patients et avaient duré plusieurs semaines. Plus largement, en 2021, 582 établissements de santé ont été victimes d'une cyberattaque, soit un sur six. Un nombre qui a doublé en l'espace d'une année.

Un manque de formation à la sécurité numérique

"L'hôpital est un secteur en difficulté financière depuis plusieurs années, dans tous ses aspects, y compris l'aspect numérique", explique Gérome Billois, expert en cybersécurité chez Wavestone.

Avant de poursuivre: "On voit des sous-investissements en cybersécurité depuis des années, et les hôpitaux peuvent être des cibles faciles".

Les hackers profitent bien souvent du manque de formation à la sécurité numérique des personnels hospitaliers pour infiltrer les systèmes informatiques, en employant la technique du hameçonnage. De par la complexité de leur fonctionnement et la masse d'informations qu'ils traitent chaque jour, les hôpitaux sont une cible privilégiée.

"Il y a des efforts à faire, les hôpitaux sont des organismes extrêmement complexes, qu'il faut préparer", estime François de Mazières, maire (DVD) de Versailles.

Il suffit qu'un médecin ou un aide-soignant ouvre par mégarde un e-mail malveillant pour que les hackers parviennent à prendre le contrôle d'un ordinateur en cryptant les données qui y sont stockées. Les ordinateurs étant tous connectés en réseau, il est alors possible pour les pirates informatiques d'étendre leur contrôle sur l'ensemble des appareils d'un site.

"La porte d'entrée, ce sont les e-mails. Un message électronique piégé que des collaborateurs ont pu recevoir par exemple. Dans ce que l'on analyse, c'est bien souvent la cause numéro une du piratage", poursuit Gérome Billois.

Un modèle économique "très rentable"

Les motivations de ces hackers d'établissements de santé demeurent cependant floues. À Corbeil-Essonnes comme à Versailles, une rançon a été demandée aux soignants pour qu'ils puissent retrouver leurs données informatiques. Mais le gouvernement français a indiqué à plusieurs reprises que la France ne versait pas d'argent aux groupes de hackers.

"Ces cybercriminels sont parfois très loin de la France. Ils ne savent pas que nous ne payons pas les rançons. Or, dans d'autres pays, c'est différent. Aux États-Unis, où les établissements de santé sont gérés par des groupes privés, il y a eu énormément de paiements de rançons. Vu de loin, un hôpital reste un hôpital, on essaie", juge Gérôme Billois, qui rappelle d'ailleurs que les cyberattaques "sont un modèle économique très rentable".

Pour Richard Delepierre, co-président du conseil de surveillance du centre hospitalier de Versailles, "la rançon n'est pas le sujet. Ceux qui nous attaquent veulent montrer qu'ils peuvent nous attaquer aux endroits les plus sensibles".

Un phénomène endémique

D'ailleurs, les cyberattaques menées sur le territoire français sont loin de se cantonner aux hôpitaux. Tout secteur confondu, une entreprise sur deux a été piratée en 2021, mais la moitié seulement a porté plainte.

Dans sept cas sur dix, il s'agissait de technique de piratage par e-mail, et dans un cas sur cinq, une rançon a été demandée.

Un phénomène endémique, qui a poussé le gouvernement a réagir. Le 16 novembre, le ministre délégué à la Transition numérique Jean-Noël Barrot a dévoilé un "bouclier cyber" pour les entreprises et les collectivités qui n'ont pas les moyens de se protéger, doté de 30 millions d'euros.

Mais des années de sous-investissement dans la sécurité informatique des hôpitaux français ne seront pas réglées en quelques semaines. Leur sécurisation et la formation des personnels prendront plusieurs années, juge Gérome Billois, et ceci alors que le domaine de la sécurité informatique est en manque de bras.

Pour Frédéric Adnet, directeur médical du Samu de Seine-Saint-Denis et chef de service des urgences de l'hôpital Avicenne, la France paie en réalité aujourd'hui sa trop grande candeur en la matière.

"L'hôpital était peut-être considéré comme intouchable, comme sacré. La réflexion sur nos systèmes de défense informatique a été sous-évaluée", estime-t-il.

Le professionnel de santé prévoit le pire si des hackers venaient à pénétrer dans les systèmes des hôpitaux de Paris. "On s'est complètement trompés. Il faut revoir nos systèmes informatiques. Il va falloir réfléchir. Nos hôpitaux sont en réseau. À l'AP-HP, il y a 30 hôpitaux en réseau, ce serait une véritable catastrophe".

Jules Fresard