« Si les hôpitaux français sont attaqués, c’est parce que c’est facile : leur sécurité est nulle ». Devant une assemblée bien remplie de professionnels de la cybersécurité réunie au forum international de la cybersécurité (FIC), le directeur de l’Anssi Guillaume Poupard ne mâche pas ses mots.
Courant 2020, les hôpitaux sont devenus les victimes les plus symptomatiques de la croissance impressionnante du nombre de cyberattaques. La raison ? Ils font partie des cibles privilégiées des rançongiciels, ces malwares capables de paralyser un réseau informatique entier dans le but de récupérer une rançon.
Le raisonnement des cybercriminels est simple : les hôpitaux ont une forte incitation à payer la rançon, car s’ils ne parviennent pas à relancer leur système informatique (et donc tout un ensemble de matériel médical) au plus vite, ils peuvent mettre en danger la vie de leurs patients.
Une cyberattaque contre à hôpital pourrait un jour mener à la mort d’un patient. // Source : CCO/Pxhere
« Avant 2020, nos hôpitaux ne croyaient pas trop à la menace, ils pensaient qu’ils avaient mieux à faire avec leur argent », regrette Poupard, « maintenant, ils ont compris que ce n’est pas seulement un délire de l’Anssi ». Vocal sur de nombreux sujets, le directeur a rappelé la nécessité d’élever le niveau de sécurité dans le public, à commencer par les collectivités territoriales et les hôpitaux.
Dès février 2021, le président Macron avait lui-même annoncé un plan de renforcement de la cybersécurité des hôpitaux, signe que le sujet est désormais pris au sérieux au plus haut niveau du pouvoir. Une note positive dans une situation plus générale grave : entre 2019 et 2020, le nombre d’interventions de l’Anssi auprès de victimes d’attaques rançongiciels a augmenté d’un effrayant 255 %. Cette croissance annuelle continue, avec +60 % d’interventions sur le premier semestre de 2021. Au début de l’année, le gouvernement relevait une attaque par semaine contre les hôpitaux.
Renforcement des défenses
Les États-Unis, bousculés par les affaires Colonial Pipeline et JBS, ont récemment adopté une posture plus agressive vis-à-vis des cybercriminels. Mais de son côté, l’Anssi n’a pas l’intention de se lancer dans la chasse aux cybercriminels. « On continuera de dire que la meilleure défense, c’est la défense », rappelle Poupard, en opposition au fameux dicton.
Pour lier les paroles aux actes, l’Anssi a pris les devants, à la faveur de la directive sécurité des réseaux informatiques (SRI, plus connue sous l‘acronyme anglais NIS), un texte européen traduit en 2018 dans le droit français. La NIS permet à l’institution de donner la qualification « d’opérateurs de services essentiels » (OSE), qui vient en complément de l’appellation « opérateur d’importance vitale » (OIV) introduite par la loi de programmation militaire de 2013. Concrètement, les OSE doivent se soumettre à des obligations de sécurité renforcées. Par exemple, ils doivent notifier à l’Anssi tout incident de sécurité, et accepter les audits et les contrôles effectués par l’Anssi (ou un partenaire certifié). Bref, c’est un outil réglementaire capable de forcer l’élévation du niveau de sécurité des certaines organisations critique.
« On fait de la médecine d’urgence »
À la conférence de presse du FIC, Guillaume Poupard a ainsi expliqué que l’Anssi avait en 2020, donné l’appellation OSE à 100 hôpitaux, alors que seulement 13 CHU avaient reçu la désignation OIV. L’agence voulait changer sa posture d’accompagnement des établissements de santé pour un discours bien plus directif. « On a fait ce qu’on n’avait jamais fait jusque là : on a pris les établissements tous ensemble et on leur a expliqué. On a fait témoigner des établissements qui ont été victimes, et d’autres qui s’étaient déjà engagés dans une logique d’OSE », se réjouit le directeur. À défaut d’immédiatement augmenter le niveau de sécurité des organisations, l’outil légal permet à l’agence de leur faire accepter des exigences de sécurité plus élevées. « Nous allons peut-être avoir 20% de ces OSE qui ne vont rien faire, qui vont se planquer et ne pas appliquer la directive NIS. Mais je m’en moque, car on fait de la médecine d’urgence : l’important, c’est les 80 % qui grâce à la désignation OSE vont utiliser la réglementation pour progresser », précise-t-il.
Au final, l’objectif de tous ces changements est d’éviter un scénario catastrophe qui manque régulièrement de se réaliser. En septembre 2020, une patiente allemande avait été refusée dans un hôpital de Düsseldorf paralysé par un rançongiciel. Son ambulance avait été redirigée vers un hôpital voisin à 30 minutes de route, mais elle était décédée pendant le trajet. L’enquête policière a finalement statué que sa mort n’était pas directement liée à l’incident de sécurité, car la patiente aurait dans tous les cas succombé. Mais c’était la première fois qu’on s’approchait aussi près d’une mort causée par une cyberattaque.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
