Peu sécurisés et disposant d’équipements critiques, les établissements de santé sont particulièrement sensibles aux attaques informatiques. Des failles qui pourraient remettre en cause la sécurité des patients.
Les cyber maîtres-chanteurs semblent ces derniers temps avoir trouvé une nouvelle proie particulièrement intéressante : les hôpitaux. En mai dernier, le système de santé britannique NHS a été une des principales victimes du ransomware WannaCry. Des milliers de consultations, examens et interventions chirurgicales ont ainsi du être annulées dans plus de 40 établissements en raison du blocage des terminaux. En mars 2016, un hôpital de Boulogne a été visé par trois cyberattaques via le virus Locky, bloquant l’accès à environ 10 000 fichiers. En février, c’était un hôpital californien qui avait du débourser l’équivalent de 17 000 dollars en bitcoin pour retrouver l’accès à son système informatique. Puis MedStar Health, un système informatique qui gère une dizaine d’hôpitaux dans le Maryland aux États-Unis, était lui aussi contraint à désactiver son réseau à la suite d’une attaque informatique.
100 000 dollars la rançon
Au total, 22 hôpitaux ont subi une attaque informatique réussie au cours du premier trimestre 2016, d’après McAfee. Au 2e trimestre 2016, les hôpitaux représentaient 88% des attaques par ransomware, rapporte une étude de l’éditeur de solutions de sécurité NTTSecurity. Assurer la continuité des soins étant souvent une nécessité absolue, les établissements n’ont souvent d’autre choix que de payer rapidement.
Et les hackers le savent bien : selon une étude d’IBM, 62% des entreprises sont prêtes à payer la rançon pour récupérer les données de leurs clients ou de leurs patients. Parmi elles, les informations détenues par les hôpitaux (dossiers médicaux, numéros de sécurité sociale…) ont une grosse valeur. Sur le marché noir, elles se revendent autour de 50 dollars, 50 fois plus qu’un numéro de carte de crédit, rapporte Symantec. Du coup, les hackers n’hésitent pas à gonfler le montant de la rançon : la moyenne constatée au cours du premier trimestre 2016 par les hôpitaux victimes du ransomware Samsam s’élevait en moyenne à 100?000 dollars, rapporte McAfee.
L’hôpital, bonnet d’âne en matière de sécurité
Le directeur de l’hôpital de Boulogne, piraté en mars 2016, le reconnaît volontiers : «Les personnes mal intentionnées ont souvent un temps d’avance sur nos moyens de défense». Un euphémisme, tant la cybersécurité était jusqu’ici au fin fond des priorités des établissements de santé. Il y consacrent à peine 6% de leur budget, contre 16% en moyenne pour l’industrie, détaille Symantec.
«De nombreux établissements fonctionnent encore sous un environnement informatique obsolète», confirment les spécialistes de McAfee. Le NHS, par exemple, n’avait pas téléchargé la mise à jour Windows évitant l’installation de WannaCry et plusieurs centaines de milliers de ses ordinateurs utilisent encore Windows XP, une véritable passoire en matière de sécurité. D’autre part, les employés, porte d’entrée favorite des emails malicieux, sont peu formés à ces problématiques et cliquent facilement des pièces jointes douteuses, infectant ce faisant l’ensemble du réseau informatique. Pour autant, pas facile de blâmer uniquement un manque de professionnalisme. «Certains anciens dispositifs médicaux ne fonctionnent tout simplement pas avec les nouveaux logiciels», argue Marco Cove, un chercheur en sécurité.
Des robots chirurgiens piratés à distance
L’autre particularité des hôpitaux qui les rend vulnérables, c’est que le système informatique comprend non seulement les ordinateurs traditionnels mais aussi tous les appareils connectés comme les IRM, les pompes à insuline ou les moniteurs des patients. En 2016, des chercheurs de l’université de l’université de Washington ont ainsi réussi à pirater un robot qui guide les gestes du chirurgien par téléassistance. Ils sont parvenus à prendre le contrôle total de la machine et à pirater le système vidéo, permettant ainsi à n’importe quel internaute de regarder l’opération. Pourtant, un simple cryptage des communications entre la commande de contrôle et les bras du robot permettrait d’éviter la plupart des cyberattaques, avancent les chercheurs. Plus généralement, une attaque par déni de service (saturation du réseau) anéantirait en quelques minutes l’ensemble des équipements connectés.
Heureusement, ce type d’attaques risque de rester rare. D’abord, car à part un terroriste ou un dictateur fou, on voit mal l’intérêt pour un hacker de mettre en danger délibérément la vie de milliers de personnes. Pirater une grande banque est bien plus lucratif. Ensuite, les établissements de santé commencent à prendre conscience des dangers et mettent en place des mesures. «160 serveurs virtuels contiennent l’ensemble des données médicales de l'hôpital», témoigne Olivier Boussekey, le directeur des systèmes d’information du Groupe hospitalier Saint-Joseph, à Paris. «La sécurité informatique est aussi importante pour nous que de donner le bon médicament au bon patient».