Les hôpitaux vivent en cyberinsécurité

On entend de plus en plus parler des cyberattaques sur les hôpitaux. Loin d'être isolées, ces attaques ont aujourd'hui touché la majorité des hôpitaux belges. Tensions géopolitiques aidant, nous vivons aujourd'hui une période de cyberinsécurité dans laquelle beaucoup d'institutions se sentent démunies. La panacée ou le vaccin miracle n'existent pas. Heureusement, les instances fédérales et européennes ne restent pas sans réaction.

...

Le 26 mai, le CHR Sambre & Meuse (CHRSM) a fait face à une cyberattaque. Depuis, la structure mène deux combats de front: un premier pour faire fonctionner l'hôpital au mieux, un second pour collaborer avec la Cyber Emergency Response Team fédérale et la police pour rassembler un maximum de preuves contre cet acte criminel (lire davantage sur cette situation particulière sur notre site.) Le hasard faisant parfois bien les choses, la cybersécurité a fait l'objet d'une journée d'études de santhea, le 9 juin dernier. L'occasion pour Stéphane Rillaerts, directeur général du CHRSM, de faire bouger les lignes. " Il faudrait que nos autorités aient une action collective en cybersécurité. Cette dernière coûte extrêmement cher. Gérer cela hôpital par hôpital et structure par structure est une perte de moyens. Il faudrait avoir des systèmes de surveillance collectifs. Il faudrait que les autorités s'impliquent davantage que simplement par le biais d'un financement." Et de se questionner sur l'utilité de publier toutes les informations pour un hôpital, notamment au sujet de certains marchés publics. " Dans l'analyse que nous avons faite de notre attaque, une des vraies questions que nous nous posons est l'impact qu'a pu avoir le fait que nous avons publié de manière relativement rapprochée plusieurs marchés publics pour l'acquisition de systèmes de sécurité. On le sait, ce sont des marchés importants financièrement. La loi sur les marchés publics nous oblige à diffuser largement ces marchés. Dans de tels domaines, il faudrait réfléchir à un mode de publication spécifique pour éviter que cela devienne un élément d'alerte pour de potentiels cybercriminels." Enfin, l'homme fort du CHRSM estime qu'il faut davantage prévoir des modes alternatifs de travail lorsque l'informatique lâche l'hôpital. " Le problème essentiel de l'hôpital - que je n'imaginais pas - est que nous devons tout couper pour éviter que les dégâts se propagent, tout en continuant l'activité hospitalière. Tous les moyens de communications alternatifs qui permettent d'avoir un fonctionnement dégradé sont basés sur l'informatique. Je pense que les plans de réponses aux attaques informatiques doivent de plus en plus prendre en compte ces aspects." Serge Houtain, consultant et ancien chef de service de la Regional Computer Crime Unit (RCCU) Mons-Tournai, a vécu de très près la cyberattaque menée contre le Chwapi en janvier 2021, pionnier malheureux dans le domaine des cyberattaques contre les hôpitaux en Belgique. " De nombreux hôpitaux ou groupes hospitaliers ont suivi, tels que Vivalia, les Cliniques St-Luc Bouge, la Clinique André Renard, le CHU St-Pierre, et le CHRSM actuellement. Pour ceux qui ne l'ont pas vécu: c'est le chaos total. C'est une perte d'argent et une source de stress au long cours: le Chwapi a mis un an à reconstruire ses systèmes! Cela n'est pas prévu dans les budgets. Cela nécessite un suivi psychologique, pour les informaticiens qui se sentent coupables, qui ont beaucoup travaillé. C'est très compliqué à gérer." Le consultant embraye par des informations inquiétantes. " Les hôpitaux sont attaqués en permanence. Il y a des failles de sécurité partout. Sinon, il n'y aurait pas besoin de mises à jour." L'homme parle de malveillance, de cybercriminalité, mais aussi des menaces internes. " Je me souviens d'un cas dans un hôpital où l'on avait remercié un cadre. L'hôpital a oublié de lui retirer ses droits d'accès informatiques, et il a effacé toute la comptabilité en rentrant chez lui de mauvaise humeur." Cette anecdote pour appuyer le fait que tout est possible au sein de l'hôpital. " Tout le monde a accès à tout. Il faut sensibiliser et conscientiser tout le personnel, depuis la personne à l'accueil jusqu'au directeur général. Il faut une implication forte du management." " On peut attaquer un système de deux façons: soit on vise la faille, soit on attaque l'humain", détaille Serge Houtain. " Neuf cyberattaques sur dix commencent par un mail de phishing (hameçonnage, NdlR) pour avoir les clés de la porte d'entrée. Il faut penser aux partenaires, aux fournisseurs qui peuvent constituer des menaces. Il faut demander des audits de sécurité." Pour l'ancien commissaire, les menaces ne feront qu'augmenter à l'avenir. " Il s'agit de criminels organisés. Ce ne sont pas des ados boutonneux. Ce sont des sociétés qui se trouvent du côté obscure de la force. Des enquêtes internationales permettent heureusement d'en attraper quelques-uns. Mais les tensions géopolitiques favorisent la cybercriminalité. Un expert en cybersécurité a prévenu deux hôpitaux belges, il y a quelques mois, pour les informer que leurs serveurs étaient utilisés pour attaquer des sites en Ukraine. En sus, un ransomware (logiciel de rançon, NdlR) était installé et prêt à être déployé dans ces hôpitaux." Ces criminels utilisent régulièrement la technique de la double extorsion: une demande de rançon couplée à la revente des données subtilisées. " Perdre des données est embêtant. Mais perdre un dossier médical est bien pire: un patient atteint d'un cancer pourrait être contacté, quelques mois après l'attaque contre un hôpital, avec un mail de phishing d'un pseudo-laboratoire de recherches qui propose une solution pour son cancer en cliquant sur un lien qui le mènera à sa perte financière.LIRE LA SUITE DANS NOTRE DU NUMERO DU 22/6.