Pourquoi les hôpitaux sont-ils ciblés par des cyberattaques ?

Depuis plusieurs mois, les actualités ne cessent de relayer des cas de cyberattaques visant les hôpitaux français. Hôpitaux de Paris, Saint-Gaudens (Haute-Garonne) et Oloron (Pyrénées Atlantiques) ont tous subi au cours du premier trimestre 2021 une attaque causant de graves conséquences opérationnelles : ajournement de programmes opératoires, retour aux transmissions manuscrites et arrêt des serveurs en urgence par le service informatique. S’ajoutent à cela des pertes financières colossales qui se chiffrent en millions d’euros. Les hôpitaux sont plus précisément victimes de ransomwares (ou rançongiciel), un type de malware (ou logiciel malveillant) qui menace la victime de divulguer les données de son système d’information en contrepartie d’une rançon. L’attaque est plus communément déclenchée par l’envoi d’un courriel contenant une pièce jointe attractive mais frauduleuse.

L’Etat est conscient de la menace qui prend de l’ampleur (multiplication du nombre de cyber attaques par 4 en un an) et a récemment annoncé accélérer sa stratégie pour renforcer l’organisation cyber et augmenter les moyens alloués (500 millions d’euros pour la R&D de la cybersécurité).

La fragilité du secteur hospitalier

Les attaques au ransomware ciblant le secteur hospitalier se multiplient. Comment les attaquants parviennent-ils à s’infiltrer avec tant de facilité ? Le manque de moyens alloués à la sécurité informatique est l’une des raisons connues.

Il est normal de vouloir prioriser le recrutement et l’acquisition de matériel médical pour améliorer la qualité des soins, mais force est de constater que négliger la sécurité informatique aujourd’hui peut être fatal. Des systèmes d’exploitation obsolètes, un manque d’information, et un personnel non formé aux enjeux de la cyber sécurité suffisent aux attaquants pour infiltrer les réseaux facilement.

Aujourd’hui, certains établissements exécutent encore leurs programmes sous Windows 7, et utilisent de surcroît des formats de fichiers spécifiques, ce qui constitue un point de vulnérabilité de l’infrastructure, voire une faille de sécurité importante.

Nous pouvons citer le format DICOM[1] Part 10 (Digital Imaging and Communications in Medicine), qui est très vulnérable. En effet, la particularité d’un fichier DICOM est que lorsqu’il a été conçu, les créateurs n’ont pas restreint le contenu de son préambule[2], par souci de flexibilité des formats de fichiers. 

Ainsi, via une attaque par manipulation d’une valeur d’entrée, l’attaquant saisit délibérément une entrée malveillante dans le fichier pour lui faire exécuter un programme. Cette entrée peut inclure du code, des scripts ou des commandes. Cette attaque est aussi dangereuse que discrète puisque le programme peut être exécuté sans même interférer avec la lisibilité ou l’usage du fichier. Le score de CVSS (Common Vulnerability Scoring) témoigne de la criticité de cette vulnérabilité (9.3/10).

Aussi, il est difficile pour les logiciels antivirus de détecter ces codes exécutables, car ils étaient jusqu’alors configurés pour ignorer les fichiers et répertoires d’imagerie médicale pour des raisons de performance et de contrainte réglementaire (cf. conformité à l’HIPAA), mais aussi parce qu’il n’était pas encore reconnu que de tels fichiers pouvaient contenir du code exécutable.

Une fois piégé par le ransomware, l’hôpital est paralysé : écrans noirs, données bloquées et les dispositifs mis en place en amont de l’attaque ne limitent pas suffisamment les dégâts.

Parmi les dispositifs mis en place, la gestion des réseaux existe mais peut s’avérer insuffisante. Un manque de cloisonnement du SI peut vite aggraver la propagation de l’attaque. Les équipements de filtrage sont en place, notamment les proxys et pare-feux, toutefois il est nécessaire de revoir leur configuration régulièrement. De même, il existe parfois une sécurisation des accès, mais celle-ci peut être limitée. Par exemple, il pourrait être pertinent de définir une liste blanche de fichiers exécutables sur les postes de l’hôpital. Enfin, la mise à jour des logiciels est bien connue mais pas suffisamment appliquée.

Lire aussi | La stratégie nationale de cybersécurité des établissements de santé

Une dépendance vitale au Système d’information

Le secteur médical se caractérise par sa dépendance au SI. En effet, le personnel soignant a besoin d’avoir accès en permanence aux données des patients, mais également aux équipements médicaux afin de réaliser des actes de soin ou de suivi administratif. Une grande partie des pratiques médicales est conditionnée par l’accès au SI. Par exemple, les équipements d’imagerie médicale ne peuvent fonctionner sans l’accès aux données et aux ordinateurs, ni sans les robots chirurgicaux. De même, la prise en charge des patients à l’hôpital se fait via un dossier médical en ligne, que ce soit pour la saisie ou l’accès à l’historique.

Par ailleurs, les conséquences en cas d’interruption du SI peuvent vite devenir catastrophiques, car des vies sont en jeu. Par exemple, en septembre 2020, une patiente est décédée à la suite d’une cyberattaque en Allemagne. Une enquête allemande a été lancée, et les procureurs en charge de l’affaire se sont préparés à poursuivre les pirates, en supposant qu’ils puissent être identifiés, pour homicide par négligence, c’est-à-dire le meurtre d’une autre personne par négligence ou sans intention de nuire. Pour réussir, ils devaient prouver que l’attaque et le retard dans le traitement qu’elle a engendré ont suffisamment contribué au décès. Après une enquête de deux mois, il a été conclu qu’il n’y avait pas de motifs suffisants pour poursuivre l’affaire, bien que le ransomware soit malgré tout impliqué dans l’affaire. Dans ce cas présent, la patiente étant dans un état critique, le décès n’aurait peut-être pas pu être évité. En revanche, la cyberattaque aurait pu être un facteur décisif pour un patient dans un état moins grave. C’est d’ailleurs en cela que les hôpitaux sont susceptibles de payer les rançons en cas de cyberattaques, étant donné que l’impossibilité de traiter les patients peut rapidement avoir des conséquences vitales.

Lire aussi | The untold story of a cyberattack, a hospital and a dying woman

 Les hôpitaux et les organisations criminelles

Au vu du nombre d’acteurs criminels, il paraît difficile de penser que seuls les hôpitaux sont la cible des cyberattaques. Toute personne est susceptible d’être touchée par ce type d’attaques mais les cibles dépendent du type d’organisation criminelle qui se cache derrière : ses motivations, son intérêt pécuniaire…

Différentes attaques se distinguent alors :

• les attaques opportunistes initiées par des attaquants isolés, qui destinent les ransomwares à une large audience de victimes. L’attaque est souvent relayée par courriel et incite à cliquer sur une pièce jointe. L’objectif reste de maximiser les chances de toucher une cible, un particulier ou même une entreprise dont les dispositifs de sécurité et/ou les pratiques cyber sont faibles et ainsi, augmenter la possibilité de recevoir la rançon ;
• les attaques ciblées quant à elles privilégient un public restreint susceptible de payer des rançons très élevées (collectivités territoriales, entreprises du numérique). Les criminels appartiennent à des groupes puissants dont les attaques sont élaborées et parfois financées par un Etat (Thanos, REvil, Prometheus, …) tandis que les victimes sont des acteurs précis car réputés pour détenir des informations sensibles dont la valeur est reconnue sur le dark web. En effet, ces données sont récupérées pour permettre l’usurpation d’identité ou le phishing (numéro de sécurité sociale, mutuelle, état de santé). Comme les attaquants savent que pour la survie de l’organisation et la récupération de données indispensables au fonctionnement de tous les services tournant autour du patient, les hôpitaux peuvent être tentés de payer les rançons en cas de cyberattaques de type ransomware.

Face à la montée de cette menace, il est nécessaire d’agir rapidement. Le gouvernement prévoit une série de mesures pour protéger ces maillons essentiels du secteur de la santé et les pousser à mieux intégrer la sécurité dans leurs établissements. Des missions d’audits et de conseil doivent être déployées pour prévenir les risques, sécuriser les données et former le personnel hospitalier. De leur côté, les hôpitaux se mobilisent contre les cyberattaques, et réclament du matériel plus sécurisé à leurs fournisseurs, un moyen à long terme plus sûr et plus économique que de remettre à niveau tout un complexe.

Lire aussi | Rançongiciel ou ransomware, que faire ?

En cas de ransomware avéré, il ne faut surtout pas payer la rançon. Il est recommandé d’ouvrir une cellule de crise cyber qui permettra de définir une stratégie de communication et des objectifs d’identification des impacts sur les activités de l’hôpital.

Il est préconisé aux hôpitaux de diffuser en interne des fiches pratiques, pour anticiper au mieux ces situation de cyberattaques. Cela permet de sensibiliser l’ensemble du personnel et désamorcer d’autres menaces cyber liées à la digitalisation dans le monde du travail.

Headmind Partners peut vous accompagner dans la sensibilisation du personnel via la formalisation de fiches réflexes, dans la sécurisation du SI via des audits de sécurité et ou d’analyses de risque.

Co-écrit par Marylys Hilaire-Dematteis, Paul Marion et Farah Zeggai, avec l’aide de Tamara Mfuni.

[1] DICOM est un standard pour la gestion de fichiers numériques créés lors d’examens d’imagerie médicale. Cela permet de standardiser les données transmises entre les différents appareils d’imagerie médicale, et ainsi faciliter les transferts d’images entre les machines de différents constructeurs. DICOM peut ainsi être utilisé pour représenter diverses données : examen scanner, radio, ECG, rapport etc.

[2] Le préambule d’un fichier est la première partie d’un document, où y sont spécifiées plusieurs informations importantes, comme par exemple le type de document à créer. On pourra y retrouver le paramétrage du fichier (extensions et bibliothèques utilisées), ou bien également des informations concernant l’auteur, la date et le titre du document.