L'hôpital sous tension

Le 10 février, une centaine de serveurs et de postes de travail de l’établissement d’Armentières dans les Hauts de France étaient chiffrés*. Résultat, 18 Go de données médicales et autres étaient publiées quelques jours après. Le 16 avril dernier, c’était le tour de l'hôpital Simone Veil à Cannes. Le 2 mai, une journée après l’expiration du délai donné par les hackers pour obtenir la rançon, 61 Go connaissaient le même sort. Selon l’Anassi, les signalements d’attaques par rançongiciel sont passés de 109 en 2022 à 143 en 2023. Sur ce chiffre, les établissements de santé ont représenté 10 % des victimes, le même pourcentage que l’année précédente. Un autre rapport**, du Cert Santé détaille les attaques, 32 pour les ransomwares, en 2023. Sur ce total, douze structures (cinq CH, deux hôpitaux privés à but non lucratif, un hôpital privé, une association, un groupe de laboratoires de biologie médicale et deux EHPAD) ont nécessité un appui « suite à des attaques par rançongiciel entraînant un fonctionnement dégradé des activités support ou du système de prise en charge des patients, à des compromissions de comptes AD ou de messagerie, ou à des exploitations de vulnérabilités. » Au vu de l’obligation légale pour les structures de santé de déclarer les incidents de sécurité, ces chiffres peuvent être considérés comme exhaustifs. Selon l’Agence européenne pour la cybersécurité sur les cybermenaces dans le secteur de la santé***, la France est le pays européen le plus touché. Ce même rapport souligne que seuls 27% des établissements de santé disposent d’un programme de protection contre les rançongiciels, alors que ces derniers sont responsables de 54% des attaques.

Les conséquences sont connues. Demande de rançons ou publication des données. « Un dossier médical sur le dark web peut se vendre 300 euros, souligne Pierre-Antoine Failly Crawford, responsable de l’équipe de réponses à incidents chez Varonis. Un montant variable en fonction de la notoriété de la personne.» Ces informations sont ensuite utilisées pour des tentatives d’extorsion, via du phishing, du social engineering ou encore du black mailing. Plus positif tout de même, un nombre croissant d’organisations ne payent plus les rançons et préfèrent relancer leur SI à partir de sauvegardes (local ou dans le cloud), ce qui ne peut que diminuer l’intérêt des hackers au moins pour ce type d’attaques. Autre signe positif, le rapport annuel du Cert Santé pour 2023 souligne une maturité accrue de établissements de santé pour assurer la sécurité de leur SI.

Un guide très terrain

La dernière version du Guide la cyberésilience publiée en décembre 2023 par l’Apssis dresse un panorama des faiblesses des SI hospitaliers et décrit les méthodes pour y pallier. La protection de l’AD est spécialement prise en compte. A partir d’un cas d’école, 35 comptes administrateurs de domaine dans un établissement comptant moins de 100 lits et un informaticien à mi-temps, l’auteur décrit les raisons de cette hyper-inflation de comptes (manque de ressources, demande des fournisseurs…). Et apporte une méthodologie pour reprendre la main sur cet actif particulièrement complexe comme, entre autres, la suppression des protocoles faibles tel SMB ou encore la mise en place d’une architecture trois tiers. Le guide zoome également sur les autres portes d’entrée utilisées récemment par les cyberattaquants, les VPN fournisseurs notamment. Enfin, il formalise les processus à mettre en place en cas de crise sans oublier leur impact financier. Un outil précieux pour les RSSI du monde médical construit à partir du terrain.

Sommaire