Les établissements de santé de plus en plus ciblés par les ransomware en 2019
Le gouvernement n’a pas attendu 2020 et sa crise sanitaire pour s’inquiéter des attaques informatiques visant les établissements de santé : en 2017, le ministère de la Santé avait ainsi ouvert une cellule de traitement des signalements des incidents de sécurité des systèmes d’information des établissements de santé. L’objectif de ce dispositif est de proposer à la fois un accompagnement aux établissements de santé visés par des cyberattaques et de proposer également un observatoire de l’état de la menace pesant sur le secteur de la santé.
L’observatoire a publié la semaine dernière son second rapport annuel résumant les principales tendances en matière de cybersécurité dans le secteur français de la santé. L’actualité de l’année 2019 a évidemment été marquée par d’importantes attaques par rançongiciel, qui n’ont pas épargné le secteur de la santé : l’attaque ayant paralysé le CHU de Rouen en fin d’année 2019 est évidemment l’épisode qui a marqué les esprits, mais quelques semaines avant, le groupe Ramsay Generale de Santé avait également été visé par une attaque de ce type. Au total, l’Observatoire a comptabilisé 392 incidents déclarés pour l’année 2019, dont 43 % ont « une origine malveillante ». L’Observatoire comptabilise en effet aussi les incidents de sécurité n’ayant pas une origine malveillante, tels que les bugs applicatifs et les coupures de réseau.
Ces chiffres proviennent essentiellement des déclarations réalisées par les établissements publics. Le rapport note en effet qu’il y a toujours « une sous-déclaration des incidents par les acteurs du privé » : les chiffres avancés par le rapport ne sont donc pas exhaustifs, mais permettent de retracer les tendances en matière de cybersécurité.
Les ransomware n’épargnent pas le secteur de la santé
« En 2019, le nombre d’incidents d’origine malveillante est en légère augmentation (43%), par rapport à 2018 (41%). On constate une croissance significative des attaques par rançongiciels (+40%) des structures de santé. Cette croissance n’est pas spécifique au secteur santé, mais concerne l’ensemble des secteurs d’activité » indiquent ainsi les auteurs du rapport, qui remarquent que les attaques de l’année 2019 « ont aussi visé de façon plus marquante en 2019 des établissements de grande taille, avec des impacts conséquents sur la continuité d’activité ». Le rapport indique que le vecteur d’infection privilégié par les attaquants reste le message de phishing, contenant une pièce jointe ou un lien vers un site malveillant. Certaines attaques ont également exploité des failles de sécurité non corrigées ou l’accès à distance à des systèmes Windows avec des mots de passe peu complexe.
Les rançongiciel déployés à l’encontre des établissements de santé sont des souches connues : le rapport cite ainsi Locky, Dharma, Gandcrab, Phobos et Emotet parmi les noms de logiciel malveillant ayant visé principalement le secteur.
Le rapport aborde également la question des rançons, qui peuvent s’élever à « à plusieurs dizaines de milliers d’euros » selon les auteurs, des sommes « similaires à ce que l’on observe dans différents secteurs d’activité » qui laissent penser que les attaquants « ne visaient pas des établissements en particulier ». Le rapport précise « qu’à leur connaissance, seules deux structures du secteur privé ont payé la rançon demandée pour récupérer leurs données. »
Le rapport se penche également sur les autres incidents n’ayant pas une origine malveillante. Les principaux incidents ayant affecté les établissements de santé en 2019 restent la perte de l’accès à internet, qui peut parfois provoquer des interruptions de services, suivies par les bugs applicatifs. Enfin le rapport donne également une estimation sur le nombre d’incidents de sécurité ayant potentiellement pu conduire à une mise en danger des patients. Le rapport recense 66 cas de mise en danger potentielle sur l’année 2019, dont 5 cas de mise en danger avérés. Ces 5 cas sont dus à des bugs logiciels dans les outils d’aide à la prescription, dans les dossiers de patient informatisé ou à des dysfonctionnements de l’infrastructure locale, mais le rapport indique que dans la plupart des cas l’intervention des professionnels de la santé a permis d’identifier les erreurs et de corriger le problème.
Le rapport 2019 de l’ACSS est disponible à cette adresse. Le premier rapport publié en 2018 par l’observatoire est également en ligne.
