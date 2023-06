À lire aussi

Dans la foulée, seules les urgences du site Meuse pouvaient accueillir les cas graves et il était demandé aux autres patients de ne pas se présenter, à l’exception des accouchements. Durant près de deux semaines, le fonctionnement de l’hôpital s’en est trouvé ralenti. Ce qui n’est pas sans conséquence.

“On se prépare toujours au pire, chaque département sait comment fonctionner en cas d’attaque mais un hôpital ne peut pas tourner --(normalement)-- sans système informatique, rappelle Benoît Debande, directeur général administratif et financier du groupe hospitalier Chirec. D'un côté, ils cryptent toutes les données et exigent une rançons pour les décrypter et d'un autre coté ils demandent de l'argent aux personnes dont le dossier a été exifltre, à défaut ils mettent en vente dossier sur le dark web. Ils demandent alors ensuite de l’argent aux hôpitaux car ces infos ont une certaine valeur sur le marché”.

Des cibles vulnérables

Un hôpital rassemble en effet des millions de documents avec des données de santé à caractère personnel et la plupart du temps, les auteurs de cyberattaques veulent les voler pour les vendre ou les rendre indisponibles pour faire du chantage.

Au Chirec, ce sont près de 250 applications informatiques qui échangent des informations entre elles au quotidien, sachant que beaucoup de systèmes sont connectés, des couveuses en néonatalité pour gérer les températures aux pousse-seringues en réa.

Si les attaques sont assez classiques, la manière d’opérer s’est professionnalisée. Première étape, l’intrus rentre dans le système, il chiffre les données et il bloque les différents accès. Bien souvent, l’objectif est d’usurper un mot de passe par mail ou par via d’autres moyens pour pénétrer le système informatique de l’hôpital. Le voice phishing, ou hameçonnage par téléphone, fait également partie des techniques employées.

Cette pratique consiste à communiquer avec des gens par téléphone dans le but de les frauder. Pas plus tard que la semaine dernière, une personne s’est fait passer pour un employé d’Interpol au téléphone. “Sur un ton souvent agressif, ils expliquent alors que c’est pour un contrôle Windows et demandent des informations précises pour se connecter, explique Pierre-jean Verheyden, DPO et conseiller en sécurité et système d’information au Chirec et aux hôpitaux Iris Sud. Et rien qu’avec un mot de passe, on peut s’octroyer des droits et pénétrer un système mais les gens n’ont pas toujours conscience”.

Au vu de l’ampleur provoquée par les attaques informatiques, le personnel est alors progressivement formé et sensibilisé à ces nouvelles techniques. “La volonté des hackeurs est de tout détruire en attaquent les back-up pour crypter les données de l’hôpital, ils veulent également empêcher la restauration du système et demandent bien souvent une rançon par la suite, détaille-t-il. Aujourd’hui, on est dans une guerre informatique et nos gouvernants l’ont bien compris, ils veulent savoir comment nous aider. Et la première pierre, ce sont les budgets, il faut dégager plus de moyens quand on voit à quel point les attaques se sont intensifiées, elles sont beaucoup plus organisées et le métier de négociateur s’est largement professionnalisé, il y a plus de participants. Et aujourd’hui, il ne faut plus être un génie de l’informatique pour attaquer”. Une fois vendues, les données peuvent rapporter gros : parfois jusqu’à 300 euros pour un dossier médical sur le marché noir, soit bien plus que des coordonnées bancaires.

“Les attaques sont quotidiennes”

Pour améliorer sa protection, l’hôpital s’est ainsi inscrit à un SOC (Security operations center), une plateforme qui permet la supervision et l’administration de la sécurité du système d’information au travers d’outils de collecte, de corrélation d’événements et d’intervention à distance. L’objectif étant d’avoir une sécurité informatique en permanence.

“Les tentatives d’attaques sont quotidiennes, notamment pour pénétrer nos systèmes, raconte Olivier Simon, responsable de l’infrastructure IT au Chirec. Parmi les pays qui reviennent le plus, on retrouve la Turquie, certains pays d’Europe de l’est, d’Afrique de l’est, des pays asiatiques comme l’Indonésie, la Russie, etc. Pour les attaques envers les VPN, on peut nous attaquer depuis la Chine mais aussi depuis l’Allemagne, les moyens sont devenus énormes et quand on met en place des stratégies de protection, elles sont vite dépassées. L’environnement hospitalier est assez ouvert et même si on a banni certains pays, ça ne peut être qu’un premier filtre. Le problème de l’IT devient un enjeu pour tous, ce qui n’était pas le cas il y a quelques années”.