nos données de santé convoitées par les hackers

L’HÔPITAL DE CORBEIL-ESSONNES : ÉNIÈME VICTIME DES CYBERATTAQUES
MENÉES CONTRE LES ÉTABLISSEMENTS DE SANTÉ

 

Après le CHU de Rouen, les hôpitaux de Dax, de Saint-Gaudens, d’Angers ou encore de l’Assistance Publique – Hôpitaux de Paris (AP-HP), le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes vient à son tour d’être la cible d’une attaque informatique.

 

Des hackers ont pris le contrôle de son réseau informatique dans la nuit du 20 au 21 août 2022. Les auteurs de cette intrusion, encore inconnus, réclament le paiement de 10 millions de dollars en échange du rétablissement des systèmes touchés.

 

DES PIRATES INFORMATIQUES SANS FOI NI LOI

Selon l’Agence Nationale de la Sécurité des Systèmes d’Information[1] (ANSSI), 27 hôpitaux ont subi une cyberattaque durant l’année 2020. En 2021, il lui a été rapporté un incident de sécurité par semaine par des organismes relevant du domaine de la santé[2].

Mais pourquoi saborder les systèmes informatiques des hôpitaux ?

Ces pirates modernes sont à la recherche d’un butin d’un nouveau genre : vos données de santé. Ces informations sensibles vous concernant peuvent en effet être revendues à prix d’or sur le « Dark Web », ces réseaux secrets d’Internet où les internautes s’adonnent à de nombreuses activités illégales.

Les hackers réclament également souvent une rançon, en promettant en contrepartie de restaurer l’infrastructure numérique de l’entité ciblée. Cumulées, ces ventes et ces rançons font de ces cyberattaques une affaire particulièrement lucrative, qui en détermine plus d’un à partir à l’assaut de ces trésors dématérialisés.

Comment ces pirates vont à l’abordage de vos infrastructures numériques ? – Zoom sur les rançongiciels

Un rançongiciel, plus connu sous sa dénomination anglaise de « ransomware », est un programme introduit illicitement dans les systèmes informatiques d’une victime pour les rendre hors service.

Les hackers proposent ensuite, à ces utilisateurs démunis, de leur fournir le moyen de ré-accéder à leurs réseaux, notamment en leur communiquant les méthodes cryptographiques utilisées pour chiffrer leurs données, à condition toutefois de leur verser la somme d’argent qu’ils exigent.

Comme son nom l’indique, le rançongiciel est donc une infraction à double égard : il s’agit d’une intrusion frauduleuse dans un système informatique et d’une extorsion (ou tentative d’extorsion si la rançon n’est pas payée), le tout éventuellement commis en bande organisée[3].

Nous vous déconseillons vivement de vous acquitter de la rançon réclamée !

En effet, faire droit à cet odieux chantage ne vous garantit non seulement pas de récupérer vos données, ni encore moins de les retrouver intègres[4], mais il entretient ces pratiques interdites. Donner à ces cybercriminels les fonds qu’ils revendiquent les incite à poursuivre leurs actions néfastes.

Céder à ces demandes ne règle donc en rien les problèmes que vous rencontrez en matière de protection des données personnelles et en termes de continuité d’activité. N’oubliez pas que ces hackers sont bien des pirates : ils ne vous feront pas de quartier !

QUEL AVENIR NUMÉRIQUE POUR LES ÉTABLISSEMENTS DE SANTÉ ?

 

La protection des données personnelles essuie, elle aussi, les conséquences du manque de moyens des hôpitaux publics. Outre l’impossibilité de remplacer du matériel informatique souvent vétuste, les budgets limités des établissements de santé ne leur permettent pas de former leurs personnels sur les bons réflexes à adopter pour protéger les informations sensibles qu’ils manipulent.

Quant à recruter des spécialistes en cybersécurité, l’option excède les capacités financières d’une administration peinant déjà à rémunérer ses propres soignants…

Ironie de l’histoire, l’attaque visant le CHSF est intervenue alors même que l’hôpital terminait son propre diagnostic de sécurité avec l’ANSSI dans le cadre de la « Stratégie Cyber » lancée par le Président de la République. Ce programme initié en février 2021 avait spécifiquement alloué un budget de 25 millions d’euros aux établissements de santé[5].

Le Ségur de la Santé a également prévu de dédier près de 350 millions d’euros au renforcement de la sécurité numérique de ces établissements5. Des fonds vraisemblablement plus que bienvenus…

« Capture d’écran du compte Twitter de Jean-Noël Barrot, le 26 août 2022 »

DES PIRATAGES DE LOURDES CONSÉQUENCES, MORBLEU !

Comme l’indique le CHSF dans un communiqué, celui-ci n’a pas eu d’autres choix que de déclencher son plan blanc[6]. Malgré sa couleur, ce pavillon n’a pas été hissé en signe de paix contre ses assaillants, mais bien en signe d’urgence.

L’ensemble de l’infrastructure numérique de l’hôpital de Corbeil-Essonnes a en effet été affecté. Les logiciels métiers, les systèmes de stockage, d’imagerie médicale et les dispositifs destinés à traiter l’admission des patients ont tous été placés hors d’état de fonctionner.

La flotte des 3.700 professionnels de santé de l’hôpital est dès lors contrainte de travailler depuis plusieurs semaines en mode « dégradé ». Le retour à une logistique faite de papier et de crayon s’impose.

Ce fonctionnement dégradé est nécessairement synonyme de prise en charge  dégradée pour les malades. Malgré les efforts du centre hospitalier, les patients, dont les soins nécessitent l’utilisation des dispositifs techniques touchés, sont redirigés vers d’autres hôpitaux de la région d’Ile-de-France. Seules les personnes dont l’état ne suppose pas d’examens approfondis sont acceptées dans les consultations d’urgence. Certaines opérations prévues dans les semaines à venir ont dû être déprogrammées.

Ce véritable branle-bas de combat a nécessairement eu un impact sur l’activité même de l’hôpital de Corbeil-Essonnes. Dans une information à destination des usagers, l’organisme précise que son flux des urgences a diminué de plus de la moitié, le service ne prenant plus en charge que 90 patients par jour au lieu des 230 accueillis habituellement au quotidien[7].

Comme toujours après de telles cyberattaques, le retour à la normale sera long…

« Mieux vaut prévenir que guérir »

L’importance de définir à l’avance un plan de continuité d’activité et un plan de reprise d’activité

 

Les cyberattaques peuvent avoir de graves répercussions sur la poursuite régulière de l’activité d’un organisme, voire même sur sa survie. Qu’elles soient publiques ou privées, qu’elles relèvent du domaine de la santé ou non, toutes les entités sont concernées.

Au-delà de la perte des données, les risques encourus par la victime sont considérables : chiffre d’affaires en chute libre durant l’arrêt temporaire ou le ralentissement de l’activité (qui peut durer plusieurs mois), possibles poursuites judiciaires ou administratives en raison des manquements de l’organisme victime à la législation en vigueur sur la protection des données personnelles, atteinte à la réputation de l’entité, perte de confiance des clients et des partenaires commerciaux, etc.

Afin d’éviter de subir de tels préjudices, il est recommandé de déterminer en amont un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA). Ces documents visent à définir la stratégie à mettre en place pour surmonter ces incidents. Ils ont pour but d’identifier et d’organiser l’ensemble des moyens et procédures à suivre pour limiter autant que possible les effets de ces cas de force majeure.

Il s’agit notamment :

D’anticiper d’éventuelles cyberattaques

Plusieurs solutions permettent de minimiser l’impact d’un rançongiciel. Votre plan peut mettre en avant ces bonnes habitudes, telles que :

  • sauvegarder régulièrement vos données pour remédier à leur destruction / compromission par des personnes malveillantes ;
  • mettre à jour vos logiciels afin d’éviter l’exploitation des failles et vulnérabilités pouvant s’y trouver, et qui constituent autant de points d’entrées dans vos systèmes informatiques ;
  • actualiser et mettre à jour vos anti-virus ;
  • cloisonner vos systèmes d’information pour cantonner la propagation d’un logiciel nuisible d’une machine à l’autre ;
  • sensibiliser vos collaborateurs sur les comportements à éviter (ouvrir des mails suspects par exemple), etc.

 

De réagir face à d’éventuelles cyberattaques

Définir préalablement les étapes à suivre en cas de piratage vous permettra d’y mettre rapidement fin si celui-ci se produit.Il peut notamment être question de préciser :

  • la nécessité de déconnecter et d’isoler les machines infectées ;
  • où et comment trouver l’assistance requise ;
  • comment communiquer sur cette cyberattaque au juste niveau (tant en interne qu’externe) ;
  • comment prioriser les activités à maintenir et leur mode de fonctionnement « dégradé » ;
  • comment accomplir les formalités administratives consécutives à cette intrusion (plainte, assurance, échanges avec la CNIL[8]…), etc.

 

Au-delà de leur qualité de victime, les organismes subissant une cyberattaque sont souvent elles-mêmes coupables : coupables d’un manquement à leur obligation de protéger les données personnelles qui leur avaient été confiées. Or, même sans divulgation de ces informations à des tiers, leur indisponibilité temporaire constitue une violation de données imposant à l’organisme, éventuellement et selon les cas, de notifier l’incident à la CNIL et / ou aux personnes concernées.

Afin d’éviter de naviguer en eaux troubles à cause de ces pirates du Web, et de voir vos activités tanguer sous leur emprise, il est donc essentiel d’établir ces plans. La maîtrise de ces thématiques ne s’improvise toutefois pas. Nous vous conseillons de vous faire accompagner dans vos démarches par des professionnels justifiant d’une expertise et d’une connaissance pratique du sujet.

L.H

 

[1] L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle est chargée de promouvoir les technologies en matière de cybersécurité, et de contribuer ainsi au développement de la confiance du public dans le numérique. Elle accompagne et contrôle notamment sur ce sujet les opérateurs d’importance vitale, à savoir les organismes relevant de secteurs indispensables à la survie de la Nation (énergie, transport, santé, pouvoirs régaliens, etc.).

[2] ANSSI, Portrait de la relance, « Centre hospitalier universitaire de Reims », https://www.ssi.gouv.fr/agence/cybersecurite/france-relance/portraits-de-la-relance/centre-hospitalier-universitaire-de-reims/

[3] Ces infractions sont prévues et punies par les articles 323-1 et suivants (s’agissant de l’intrusion frauduleuse dans un système informatique) et 312-1 du Code pénal (s’agissant de l’extorsion).

[4] Les cybercriminels peuvent avoir corrompu vos fichiers avant de vous les restituer, afin de les affecter de failles leur permettant de vous pirater de plus belle par la suite. Ils peuvent aussi avoir effectué une copie de vos bases de données, et continuer ainsi de porter atteinte à la confidentialité et à l’intégrité de ces informations.

[5] « La stratégie nationale de cybersécurité des établissements de santé », article publié le 22 février 2021, https://www.gouvernement.fr/actualite/la-strategie-nationale-de-cybersecurite-des-etablissements-de-sante

[6] Communiqué de presse du CHSF, https://www.chsf.fr/declenchement-du-plan-blanc-dimanche-21-aout-2022/

[7] Information des usagers du CHSF, https://www.chsf.fr/informations-usagers/

[8] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment  Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.