De Dax, à Villefranche sur Saône en passant par Rouen, on ne compte plus aujourd'hui les établissements de santé visés par des attaques par rançongiciels. Dernièrement, c'est la fondation santé des étudiants de France (FSEF) qui a fait les frais de ce type de cyberattaque dans la nuit de jeudi à vendredi dernier.
« On n'a pas été surpris, on gère des hôpitaux et dans la vague d'attaques hospitalières, ils [les cyberpirates] ont tapé sans trop se poser de questions », nous a expliqué Vincent Beaugrand, directeur général de la FSEF. Pour l'heure, le système d'information de la fondation est à l'arrêt et tout le socle applicatif, les infrastructures et l'active directory n'ont pas été redémarrés. « On va récupérer les données, on est en phase de reconstruction », indique Vincent Beaugrand sans nous donner davantage d'explications sur l'origine de l'incident et le montant de la rançon demandée.
ANSSI, ANS et Police dans la boucle
Dans l’immédiat, les établissements travaillent en organisation dégradée, avec du papier et pour un certain nombre d’entre eux un accès à des copies PDF de sauvegarde. « On n'a pas de services de réanimation, de chirurgie, notre priorité c'est la santé des jeunes avec des soins de psychiatrie, des soins de suite et de réadaptation, donc on n'a pas de gros plateau technique nécessitant de l'IT. Nos équipes sont à fond pour assurer une continuité d'activité », tempère Vincent Beaugrand. Il n'empêche que la gestion des dossiers patients, sans informatique, s'avère au quotidien beaucoup moins simple à gérer.
La fondation bénéficie actuellement de conseils apportés par l'ANSSI, l'ANS ainsi qu'une société de services en cybersécurité. Une plainte a par ailleurs été déposée auprès de la Police. « Il y a une vraie réflexion à avoir en termes de politique et de service public de gestion de la cyber pour les organismes qui n'ont pas beaucoup de moyens », souffle Vincent Beaugrand. Si l'organisme tire plutôt bien son épingle du jeu en termes de dotations et de financement par rapport à d'autres structures, il n'empêche que la question de l'existence d'un service public de la cybersécurité se pose pour les structures disposant de moyens limités. Le volet cyber du plan France Relance doté d'un fonds de 136 millions d'euros au niveau national permettra-t-il de prendre à bras le corps cet enjeu ? Rien n'est moins sûr.