Cyberattaques: pourquoi les hôpitaux sont-ils des cibles de choix?

“J'ai un passé de gestion de crise assez important, mais le mois et demi qu'on vient de vivre est très difficile”. Ce sont les mots utilisés par Jérôme Massart, directeur du CHR site Sambre, pour décrire la crise vécue après la cyberattaque de mai 2023.

La Clinique André Renard, la Clinique Saint-Luc Bouge, le Centre Hospitalier de Wallonie picarde, le réseau Vivalia et le Centre Hospitalier Régional Sambre et Meuse, ont tous en commun d'avoir été victimes de cyberattaques.

Avec des équipes déjà épuisées et surchargées suite à la crise du coronavirus, les cyberattaques à l'encontre des hôpitaux ne facilitent pas la vie du personnel médical ni celle de ses patients.

La Clinique André Renard, piratée en 2019 et 2021, a chiffré le coût de ce dernier incident à 300.000 euros, avec 70 des 120 serveurs cryptés et 100 millions de fichiers infectés en seulement quelques heures. La Clinique Saint-Luc, elle, a été prise en otage, confrontée à un choix complexe: payer ou non une rançon de 150.000€ pour retrouver une situation normale, tout en finançant un groupe criminel.

Nathalie – prénom d'emprunt – a vécu une cyberattaque de près. Employée dans un hôpital du réseau Vivalia ciblé en 2022, elle nous raconte que les employés “n'avaient plus le droit d'allumer aucun PC. On n'avait plus accès à rien, plus aucune information sur les patients. Certaines activités, comme les opérations non urgentes, ont dû être mises à l'arrêt. Les assurances ne voulaient plus assurer les médecins qui opéraient sans dossiers médicaux”. Panique à bord: serveurs coupés, consultations annulées, informations personnelles inaccessibles, les attaques coupent les hôpitaux du reste du monde et représentent un réel danger pour la santé de leurs patients et la confidentialité des données.

Comment attaque-t-on un hôpital?

La méthode la plus commune pour entrer frauduleusement dans un système informatique s'appelle le phishing. Les hackers, via des mails ou des SMS par exemple, tentent de piéger une victime en l'incitant à cliquer sur un lien ou à télécharger un fichier qui contient un logiciel malveillant. L'attaquant se fait passer pour quelqu'un d'autre afin d'induire sa cible en erreur, gagnant sa confiance ou en jouant sur la peur. Il peut faire croire que “votre” banque vous signale des mouvements d'argent suspects, par exemple, ou que “votre” fournisseur d'énergie a une prime à vous verser.

Cette technique permet d'obtenir des renseignements personnels: identifiants de connexion, données confidentielles… Pour les 6 premiers mois de 2023, 4,4 millions de messages suspects ont d'ailleurs été signalés à Safeonweb, une plateforme qui informe les citoyens belges sur la cybersécurité.

Voici concrètement comment un hacker peut s'introduire dans le réseau d'un hôpital:

Les hackers peuvent donc rentrer dans le système afin de le crypter, rendant les données illisibles et inutilisables. Certaines données peuvent aussi être subtilisées: noms, mails, mots de passe, dossiers médicaux, numéros de Sécurité sociale, etc.

Dans un second temps, grâce aux données volées, les hackers connaissent mieux leurs victimes et peuvent ainsi personnaliser les futurs messages envoyés à leur encontre afin de mieux les manipuler (spear phishing).

Une autre méthode de hacking peut consister, simplement, à laisser une clé USB infectée dans un lieu public comme un parking ou une cafétéria. Un employé curieux l'insérera dans son ordinateur pour en découvrir le contenu… qui infiltrera son ordinateur et son réseau professionnel.

Les employés sont donc utilisés comme des portes d'entrée vers le réseau informatique du lieu dans lequel ils travaillent.

Les hôpitaux, vulnérables donc vénérés

Le Conseil fédéral des Établissements hospitaliers (CFEH) émet des avis à l'intention du gouvernement en matière de politique hospitalière. Dans une note de décembre 2021, il confirme que 3 attaques majeures perpétrées contre les hôpitaux en 2021 ont entraîné des “conséquences lourdes sur la prestation de services et d'éventuelles implications sur la qualité des soins. Il ne s'agit donc plus d'événements fortuits, mais d'une preuve que le secteur des soins de santé en général (et les hôpitaux en particulier) est une cible de choix pour ce type d'attaque.”

Plusieurs facteurs peuvent expliquer la vulnérabilité des hôpitaux:

1. Il est difficile de former de nombreuses équipes, déjà en surcharge de travail. Ces équipes sont de plus en plus en interaction avec des outils informatiques, ouvrant ainsi de nouvelles potentielles failles. Selon l'APD, ce sont les erreurs humaines qui sont à l'origine de près de la moitié des cas de violations de données.
2. Les hôpitaux ont en leur possession des données liées à la santé, considérées comme des données “sensibles” par le règlement européen de protection des données personnelles (RGPD). Ces données, si elles sont dérobées, peuvent donc se revendre cher.
3. Les institutions de soins sont de plus en plus interconnectées avec des fournisseurs, des universités, des clients… Les hôpitaux ont par définition un environnement avec de multiples portes d'entrée et ils sont parfois simplement les victimes collatérales d'une attaque perpétrée contre un organisme avec lequel ils travaillent, comme des prestataires connectés à distance à leur matériel médical par exemple.

“Cela fait longtemps que les hôpitaux se sont lancés dans la numérisation: planification des horaires, logiciel de paye… Mais aujourd'hui le scope de la digitalisation s'est élargi: dossiers médicaux partagés, ordinateur pour l'ensemble du personnel, formulaire de livraison en ligne avec les fournisseurs, etc... Les hôpitaux ont longtemps travaillé en vase clos, mais ce n'est plus le cas aujourd'hui”, explique Axel Legay, professeur à l'École polytechnique de l'UCLouvain et spécialiste en cybersécurité. Ces éléments offrent de plus en plus d'opportunités pour les hackers. Et le futur semble ouvert à la digitalisation croissante des services, comme les opérations à distance par exemple, ouvrant d'éventuelles failles. La multiplication des interfaces de contact avec les potentielles victimes (email, WhatsApp, réseaux sociaux…) et le développement de l'intelligence artificielle (imitation des voix), vont aussi permettre aux cyberattaques de devenir de plus en plus créatives et personnalisées.

Selon lespecialiste.be, site d'actualité des médecins spécialistes, “les hôpitaux belges consacrent environ 3 à 4% de leur chiffre d'affaires à l'informatique. Aux États-Unis, le budget informatique représente environ 10% du chiffre d'affaires des hôpitaux.” Il peut sembler difficile, vu le contexte budgétaire, d'imaginer consacrer une enveloppe plus importante à la cybersécurité quand on sait qu'à Bruxelles et en Wallonie, près de la moitié (43,24%) des hôpitaux affichaient une perte courante en 2021, comme nous l'écrivions dans notre article sur l'état des finances des hôpitaux.

Nombre d'attaques: la difficulté de se faire une idée

Lorsqu'un hôpital est attaqué, il peut contacter le service opérationnel du Centre pour la Cybersécurité Belgique (CCB). Ces équipes accompagnent et aident à réagir durant cette période de crise. La notification des incidents cyber par les hôpitaux n'est pas obligatoire, “et nous ne disposons pas de données sur le nombre de cyberattaques”, nous indique le CCB, alors qu'un formulaire spécifique pour les hôpitaux est présent sur leur site pour signaler une attaque. Premier mur, donc, pour connaître le nombre d'hôpitaux impactés. Les victimes sont, par contre, obligées de notifier la violation des données à l'APD, l'Autorité de protection des données, qui… ne communique pas “les chiffres exacts de fuites notifiées par un type spécifique d'organisation”. Deuxième mur.

Une lecture de leur rapport annuel nous donne cependant une idée du nombre d'hôpitaux victimes, en 2022, d'un rançongiciel – un logiciel qui prend en otage les données personnelles en les cryptant.

Traitement des violations de données

L'année 2022 semble avoir été celle des attaques de ransomware, surtout au niveau des villes et communes belges. Ce constat doit toutefois être quelque peu nuancé. Sur les 1.426 nouveaux dossiers de violation de données ouverts en 2022, on en dénombre 361 pour le hacking, le phishing et les malwares. Sur ces 361 notifications, 135 (soit 37 %) pouvaient être qualifiées d'attaques de ransomware et dans ce groupe, 8 % concernaient des villes et communes belges. Un pourcentage similaire concernait des hôpitaux et/ou centres de soins résidentiels belges. La toute grande majorité des incidents de ransomware notifiés se situe donc au niveau d'acteurs privés.

Il n'empêche que les cyberattaques sous forme de ransomware ont un impact important sur les droits et libertés des personnes physiques. L'APD recommande dès lors à tous les responsables du traitement...

Les hôpitaux ne sont donc pas la cible principale, contrairement à d'autres acteurs privés. Mais il ne faut pas négliger la dizaine d'attaques aux rançongiciels (8% de 135) dans ce type de secteur vu les conséquences qu'elles engendrent.

C'est la Police fédérale qui nous donnera finalement le chiffre le plus précis de l'évolution des attaques dans le temps, depuis 2019.

Après une année covid particulièrement calme, les attaques sont reparties à la hausse, avec 11 faits de hackings enregistrés au niveau national en 2022, tout comme en 2021.

“Des chiffres sous-estimés”, selon Axel Legay. “Tout le monde ne notifie pas une attaque. Il reste une certaine forme de honte à s'être fait avoir”. Les incidents non rapportés peuvent aussi avoir eu lieu auprès de fournisseurs d'hôpitaux, mais qui ne préviennent personne qu'ils ont été hackés: ni leurs clients, ni les autorités.

Les hôpitaux, cibles sans fin pour les pirates?

Pour déterminer la fragilité des hôpitaux, le site gouvernemental eHealth leur propose un outil de maturité pour évaluer leur niveau de sécurité par rapport aux normes minimales pensées pour le secteur de la santé. Où se situent les hôpitaux belges? Sont-ils plutôt vulnérables ou plutôt parés? “Tous les hôpitaux ont participé à l'auto-évaluation et, vu le caractère sensible, les résultats ne sont pas communiqués”, nous répond-on du côté du SPF Santé publique.

Une plongée dans le dernier avis émis par le Conseil fédéral des Établissements hospitaliers en matière de cybersécurité de mars 2023 nous éclaire cependant sur les résultats.

Avis du CFEH sur la cybersécurité

... Les résultats de cette mesure de maturité ont permis aux hôpitaux de se faire une idée encore plus précise des priorités en matière de cybersécurité, lorsque cela est encore nécessaire. Ils ont également permis à l'autorité de faire le point sur la situation du secteur hospitalier dans son ensemble. Il en est ressorti qu'un nombre limité d'hôpitaux seulement parvient à rencontrer les normes minimales fixées.

En outre, il a été confirmé que la situation de départ des différents hôpitaux est très différente et que, par conséquent, les priorités en matière de cybersécurité sont principalement déterminées par le contexte au sein de chaque hôpital individuel.

Dans l'avis du CFEH du 16 décembre 2021, il a également été demandé au ministre de prévoir un financement adéquat et structurel. Effectivement, la cybersécurité est un défi ...

Tout est dit. Le secteur n'est pas suffisamment protégé face au phénomène, qui ne faiblit pas d'années en années. Une solution “clé sur porte” n'existe pas, car les hôpitaux ne sont pas tous égaux face à la situation: budgets consacrés, équipes dédiées, infrastructures, mesures déjà prises… Le CFEH confirme que “les priorités en matière de cybersécurité sont principalement déterminées par le contexte au sein de chaque hôpital individuel”.

Il existe pourtant certaines pistes, avancées par le CFEH ou le SPF Santé publique: la sensibilisation du personnel hospitalier au phishing, l'élaboration de plans d'urgence en cas de cyberattaque ou le partage des expertises entre institutions. L'installation de systèmes de surveillance constante pour assurer un monitoring en permanence des serveurs est aussi avancée comme moyen de prévention. Cette solution a d'ailleurs été mise en place par le CHwapi après avoir été la cible d'une attaque.

Un financement fédéral utile mais insuffisant

Établir des niveaux de protection suffisants et les mettre à jour nécessitent un financement suffisant et récurrent. 162 hôpitaux publics et privés bénéficient de différentes enveloppes:

Comme prévu en 2021 par le plan de relance, une première tranche de 20 millions d'€ alloués à la protection informatique des hôpitaux a été versée. À partir de 2023, un budget récurrent de 15 millions d'euros est prévu, qui vient s'ajouter aux 60 millions d'euros annuels indexés pour financer l'informatique et la gestion numérique des dossiers médicaux des hôpitaux.

Jérôme Massart, directeur du CHR site Sambre, parle d'un “financement nécessaire mais nettement insuffisant. Rien que pour nos 2 sites, nous avons déjà un budget de 300.000€ pour l'année 2022. L'enveloppe fédérale ne sert pas à rien, mais elle est loin de répondre aux besoins.”

Jérome Massart avance l'idée d'une certaine mutualisation. “On ne peut pas demander à chaque hôpital de construire sa propre forteresse, cela coûte trop cher. Il pourrait y avoir des systèmes de surveillance mis en commun par exemple”.

“Le Fédéral a mis pas mal d'argent sur la table”, continue Axel Legay, “Mais il y a beaucoup d'hôpitaux, beaucoup de gens à former. Et la croissante digitalisation des structures va complexifier davantage les actions à entreprendre pour contrer les attaques.” Le défi reste donc immense pour protéger les données de santé et continuer d'assurer le bon fonctionnement des hôpitaux coûte que coûte.

Vos données ont-elles déjà été volées? Le site Have I Been Pwned vous permet de savoir si vos données ont déjà été subtilisées par des hackers. Il suffit de rentrer votre adresse email ou votre numéro de téléphone afin de savoir si ceux-ci ont été compromis suite à des cyberattaques subies par certains sites dont vous avez utilisé les services (Gmail, Dropbox, Flickr, …).