BFM Business

TOUT COMPRENDRE – Pourquoi les hôpitaux sont victimes de cyberattaques

Deux hôpitaux français sont en partie paralysés en raison d’une attaque informatique de grande ampleur. Plusieurs raisons font de ces établissements des cibles de choix pour les pirates.

En quelques jours, les hôpitaux de Dax et de Villefranche-sur-Saône ont été touchés par de larges cyberattaques. Des intrusions informatiques qui ont mis à mal l’ensemble des infrastructures numériques des deux établissements, les poussant à revenir au papier et au stylo. Ces attaques ont par ailleurs mis en danger la santé des patients, dont les dossiers médicaux ont été rendus inaccessibles. Certaines opérations ont dû être reportées et certains patients réorientés vers d’autres hôpitaux.

• Comment fonctionnent les hackers?

Dans les deux cas, les pirates informatiques ont utilisé des rançongiciels, des logiciels malveillants ayant un but unique: “prendre en otage” les données de la victime en les chiffrant. Ces données ne sont donc pas perdues, mais inaccessibles. C’est ainsi que les différents établissements se retrouvent dans l’impossibilité d’accéder aux dossiers des patients.

Les rançongiciels peuvent être disséminés dans un réseau à distance, par exemple en profitant de failles de sécurité d’un système informatique, ou en trompant un salarié afin de lui faire ouvrir un fichier vérolé contenant le virus.

• Quelle motivation derrière ces piratages?

Si certaines cyberattaques évoluées peuvent revêtir un enjeu industriel, voire militaire, les deux attaques des hôpitaux semblent avant tout guidées par l’appât du gain. Une fois l'ensemble des données de la victime chiffrées, celle-ci est en effet invitée à payer une rançon pour les récupérer.

“Les cybercriminels, dans le cadre des rançongiciels, cherchent à faire de l’argent et se disent qu’au regard de la situation que l’on vit, bloquer un hôpital va permettre de récupérer de l’argent” explique Jérôme Notin, directeur général du Groupement d'Intérêt Public Action contre la Cybermalveillance, à BFMTV.

En plus du gain potentiel lié à la rançon, les pirates peuvent conserver une copie des données afin de les monnayer par la suite sur des plateformes de marché noir. Les acheteurs pourront à leur tour les utiliser, par exemple à des fins d’usurpation d’identité ou de phishing.

“Toutes les données à caractère personnel valent cher. Les données à caractère médical en particulier. On a vu des reventes sur des plateformes de marché noir de l’ordre de 50 à 200 dollars par dossier médical” précise Gérôme Billois, expert en cybersécurité au cabinet Wavestone, à BFMTV.

• Comment sont choisies les cibles?

Pour les hackers, le but est de trouver des victimes les plus faciles à infiltrer, mais également les plus à même de payer une rançon. En ce début d’année 2021, les hôpitaux remplissent ces deux critères: submergés par la pandémie, ils ne peuvent se permettre une mise à l’arrêt et sont donc plus enclins à accepter de payer une rançon, du moins aux yeux des hackers.

Par ailleurs, plusieurs experts en cybersécurité estiment que les moyens de sécurisation informatique de ces établissements sont insuffisants, avec des outils numériques mal entretenus et du personnel mal formé à ce type de situations.

“Ce que l’on peut voir sur les hôpitaux et les collectivités, c’est surtout un manque de moyens. Les systèmes informatiques ne sont pas vus comme une priorité. C’est surtout un problème de vigie informatique, de mises à jour et de sensibilisation. [...] Je pense que ça ne va pas s’arrêter là” explique Guillaume Vassault-Houlière, cofondateur de la plateforme YesWeHack, sur BFM Business.

Il fait le lien avec le récent piratage de la Mutuelle nationale des hospitaliers, qui a pu permettre aux hackers de récupérer des données concernant le personnel soignant pour mieux les cibler, et par exemple leur faire ouvrir des fichiers corrompus.

• Quelles issues pour ces piratages?

La plupart des experts en cybersécurité recommandent de ne jamais payer la rançon, la victime étant souvent dans l’incertitude de pouvoir effectivement récupérer ces données. Mais cette règle n’est pas toujours respectée, faisant du marché du rançongiciel une activité très lucrative.

“Il y a des PME du cybercrime qui se montent et revendiquent leurs attaques en signant les demandes de rançon. [...] On peut citer le cas de Ryuk [du nom du ransomware utilisé pour l’attaque de l’hôpital de Villefranche-sur-Saône, ndlr] qui a été créé en 2018. Ils ont récupéré 3 millions de dollars de rançon, puis 60 millions de rançon en 2019. En cumulé, ils sont désormais à 150 millions de dollars” estime Gérôme Billois.
https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech