« Le paiement de rançon n’est pas une solution, sinon, ça devient le Far West »

Les urgences sont réduites à la moitié de leur activité habituelle, la maternité, au tiers, mais « la sécurité des soins est assurée ». Tel était le bilan, lundi 5 décembre au soir, de la cyberattaque qui a visé le centre hospitalier de Versailles (Yvelines) deux jours plus tôt, selon Richard Delepierre, le coprésident du conseil de surveillance de l’établissement. Celui-ci a fait savoir que les pirates avaient demandé le paiement d’une rançon, au montant non divulgué, pour rétablir le système informatique.

Le 22 août, le Centre hospitalier Sud-Francilien de Corbeil-Essonnes (en Ile-de-France également) avait vu son fonctionnement perturbé pendant plusieurs semaines par une attaque comparable. En 2021, « on a constaté près d’une attaque par semaine sur nos établissements de santé », avait expliqué Jean-Noël Barrot, le ministre délégué à la transition numérique, lors d’une visite sur place, précisant qu’en 2022 « ce chiffre a baissé au premier semestre de 50 % ».

Dans un entretien au Monde, le consultant Vincent Trely, fondateur et président de l’Association pour la sécurité des systèmes d’information de santé, détaille les protocoles de sécurité mis en place pour anticiper et répondre à ces menaces. Un défi majeur, car, selon lui, il n’y a « aucune raison » pour que les établissements de soins cessent d’être la cible des hackeurs.

Quelles sont les conséquences d’une cyberattaque pour le fonctionnement des établissements ?

Vincent Trely : Toutes les attaques n’ont pas la même gravité. Des hôpitaux peuvent s’en remettre en trois ou quatre jours, parce que l’attaque a été prise au bon moment, ou n’a pas exploité tout ce qu’elle pouvait faire. Dans le cas extrême, tout est chiffré par les pirates, jusqu’à la sauvegarde du système, comme dans le cas de Dax, dans les Landes, en 2021, où l’hôpital a perdu dix ans de données.

Reportage : Article réservé à nos abonnés Après une cyberattaque d’ampleur et deux mois de paralysie, l’hôpital de Corbeil-Essonnes se relève à peine

Quel protocole les hôpitaux suivent-ils en cas de cyberattaque ?

La première étape est la détection : le directeur de garde est alerté d’une manière ou d’une autre qu’il y a un problème. Il appelle le responsable de la sécurité informatique ; ils vont mettre une heure et demie ou deux heures à qualifier le problème en cyberattaque. On procède alors au cloisonnement : on débranche, en partant du principe que l’infection ne s’est peut-être pas propagée partout.

Puis est constituée une cellule de crise, avec notamment la direction générale et le président de la commission médicale d’établissement. Elle va orchestrer la réponse. Elle recense tous les problèmes liés aux patients. L’hôpital passe en mode « plan blanc », qui couvre la sécurité sanitaire. Les transferts de patients critiques, préalablement établis entre l’hôpital et des établissements partenaires, sont exécutés.

Au bout de six à dix heures, la cellule a une cartographie des dégâts. Si l’établissement est un « opérateur de services essentiels », l’Agence nationale de la sécurité des systèmes d’information (Anssi) va envoyer des experts. A-t-on toujours la sauvegarde ? Où se trouve le virus ? Il n’est pas question de redémarrer les machines si on n’a pas la certitude de l’avoir éliminé partout. Il faut douze à quinze heures pour comprendre ce qu’il s’est passé et évaluer l’étendue du sinistre.

Ensuite, il va probablement y avoir une phase de négociation avec le pirate qui demande une rançon. Elle ne se passera pas bien, car les hackeurs croient que les hôpitaux, qui disposent de budgets importants, pourront payer des sommes importantes comme une grosse entreprise. Mais l’hôpital ne paiera pas, et le pirate diffusera des données. L’établissement entre dans une phase de crise juridique, car il n’est plus en conformité avec le règlement général sur la protection des données (RGPD). Le pirate vend alors à d’autres pirates des morceaux de sa base de données : copies de passeports, de cartes Vitale, adresses e-mails, numéros de téléphone…

Du côté informatique, on reconstruit et on sécurise. Si on disposait de bonnes sauvegardes et d’un système à peu près solide, au bout de dix à douze jours on peut rétablir l’activité à 80 %. On va mettre plusieurs semaines ou plusieurs mois à travailler sur les 20 % pour lesquels ça ne s’est pas bien passé.

Des hôpitaux ont-ils déjà payé une rançon ?

A ma connaissance, non, ni dans le public ni dans le privé. Les directives sont très claires. On n’a jamais considéré le paiement de rançon comme une solution, comme pour les prises d’otages. Sinon, ça devient le Far West. Il y a d’ailleurs eu un peu d’émoi lorsque Bercy a autorisé les assureurs à proposer le paiement de rançon dans leurs garanties. Cela envoie un très mauvais signal, en contradiction avec l’Anssi qui est rattachée au premier ministre.

S’ils ne payent pas de rançon, pourquoi les hôpitaux sont-ils pris pour cibles ?

Un hôpital contient des millions de documents avec des données de santé à caractère personnel. On peut les voler pour les vendre, ou les rendre indisponibles pour faire du chantage.

La quatrième révolution numérique, c’est l’intelligence artificielle (IA) ; or, pour faire apprendre quelque chose à une IA, il faut de la data. Aujourd’hui, on a le moteur et le carburant : le moteur, c’est la puissance de calcul ; le carburant, ce sont les données. Pour le premier qui détectera automatiquement le cancer du sein cinq ans avant les radiologues, ce sont des dizaines de milliards de dollars à long terme.

On est au début de l’histoire. Aux Etats-Unis, entre 2000 et 2007, à la grande époque de la numérisation des hôpitaux, 170 millions de dossiers ont été volés, quasiment 100 %. Il n’y a aucune raison pour que les pirates nord-coréens ou russes arrêtent, et aucune raison pour que les narcotrafiquants ne commencent pas à s’y intéresser.

Les hôpitaux présentent-ils des failles de sécurité spécifiques ?

Beaucoup de systèmes sont connectés, comme les couveuses en néonatalité pour gérer les températures, ou les pousse-seringues en réa. Or, le matériel biomédical est parfois supporté par une informatique obsolète : beaucoup d’appareils tournent sous Windows XP [lancé en 2001, et dont Windows a arrêté le support en 2014] et certains systèmes datent même de 1998 ou 2000.

On travaille aussi sur les comportements : pour les personnels hospitaliers, dans un monde idéal, tous les ordinateurs sont allumés en permanence. Acheter 10 millions d’euros de produits de sécurité et recruter cinq personnes à temps plein sur le sujet, ça va avoir un impact, mais c’est ne traiter qu’une partie du problème : si les gens cliquent sur un faux e-mail qui clignote en promettant de gagner 10 000 euros, vos outils feront long feu.

Les établissements de santé sont-ils assez bien préparés ?

Les hôpitaux sont numérisés depuis vingt ans, et toute une génération n’a connu que le plan de soins informatisé. Depuis 2019, un certain nombre de sites ont pris le temps de simuler le travail sans informatique. Le risque numérique est de plus en plus pris en compte dans le plan blanc de chaque hôpital. En général, les hôpitaux ont une expérience de crise, du fait notamment du Covid-19. Entre public et privé, la situation est à peu près similaire.

Les responsables de la sécurité sont bien plus écoutés qu’il y a quelques années, mais on a 1 300 systèmes informatiques dans le public, 3 000 en comptant le privé, qui sont très hétérogènes. Les incidents récents ont, entre guillemets, « fait du bien ». En février 2021, les 135 principaux hôpitaux ont été nommés « opérateurs de services essentiels », et ont l’obligation d’appliquer 23 règles de sécurité spécifiques décidées au niveau européen. Et le président de la République a annoncé un plan d’investissement de 350 millions d’euros, dans le Ségur de la santé, ciblés sur le cyber.

La difficulté majeure, c’est que l’argent ne suffit pas, il faut aussi des bras. Or tout le monde cherche des techniciens cyber : le CAC 40, les collectivités, les start-up, les entreprises de services du numérique… Par conséquent, il peut être intéressant de partager les compétences entre plusieurs hôpitaux, car il ne sert à rien qu’un petit hôpital de campagne ait son propre responsable sécurité et cyberexpert payé 120 000 euros par an.

Julien Lemaignen et Manon Romain