Fait partie de:Tout savoir sur la cyberattaque du centre hospitalier Sud-Francilien
Cyberattaques : la santé, un secteur peu représenté, mais toujours marquant
La récente cyberattaque conduite contre l’hôpital André-Mignot, ainsi que celles déjouées à Nice et Argenteuil, ont ravivé le débat sur la posture de cybersécurité du monde de la santé. Des efforts semblent indispensables, mais le secteur n’est pas surreprésenté dans les chiffres.
Les centres hospitaliers d'Argenteuil et de Nice sont parvenus récemment à bloquer des cyberattaques. L'hôpital André-Mignot du centre hospitalier de Versailles a eu moins de succès qu'eux : il s'est découvert victime d'une cyberattaque avec ransomware le samedi 3 décembre au soir.
Cette année, ils avaient été précédés par l'hôpital Pierre Rouquès-Les Bluets, le centre hospitalier intercommunal Nord-Ardenne, celui de Bélair, ou encore l'hôpital de Cahors, et bien sûr le centre hospitalier Sud-Francilien, fin août. Avant cela, il y avait eu celui de Mâcon, fin mai. Un mois plus tôt, c’était le groupement hospitalier territorial Cœur Grand Est. Fin mars, l’hôpital de Castelluccio, en Corse, tombait dans les griffes de Vice Society. Et l’année s’était ouverte sur une cyberattaque contre le pôle santé Léonard de Vinci, en Touraine, et la cité sanitaire de Saint-Nazaire. À cette liste, on peut aussi ajouter les cliniques COB ou encore le cabinet d’un chirurgien esthétique à Marseille, notamment.
Chaque cyberattaque contre un établissement de santé impressionne par les risques qu’elle fait peser, en premier lieu, sur les patients et leur prise en charge. Ce n’est pas pour rien, d’ailleurs, que 13 CHU ont été rapidement désignés comme opérateurs de services essentiels (OSE) parce qu’opérateurs d’importance vitale (OIV). Après les attaques conduites contre les hôpitaux de Dax et de Villefranche-sur-Saône, une centaine de plus ont été désignés OSE.
Ces attaques profitent en outre d’une forte couverture médiatique parce que leurs effets sont plus facilement visibles que pour d’autres victimes. Et pourtant, tous les cas ne sont pas médiatisés.
Pour 2021 par exemple, quelques cas d’attaques sur le secteur de la santé sont connus : la clinique de l’Anjou, le centre hospitalier de Dax, le groupement hospitalier de Dordogne, l’hôpital Nord-Ouest, à Villefranche-sur-Saône, l’hôpital de La Châtre, le centre hospitalier d’Oloron, l’hôpital de Saint-Gaudens, le centre de lutte contre le cancer François-Baclesse, le laboratoire Cerba, le centre hospitalier d’Arles, et encore la polyclinique Bordeaux Nord.
Les compromissions, un indicateur de la menace
Mais il y a eu en réalité moins de 60 cyberattaques avec ransomware contre des établissements de santé français en 2021. C’est ce qui ressort du rapport public 2021 de l'observatoire des signalements d'incidents de sécurité des systèmes d'information pour le secteur de la santé.
Avant cela, il fallait compter une « trentaine d’attaques par rançongiciels » en 2018, puis 46 en 2019, et 48 en 2020. Le périmètre considéré recouvre 3 000 établissements de santé publics et privés.
Pour 2022, les chiffres ne sont pas encore connus. Mais 18 cyberattaques contre des établissements de santé - dont au moins deux déjouées - sont connues publiquement, contre 20 en 2021 : la tendance n'apparaît pas à l'explosion, à l'instar de celle observée plus généralement pour les attaques avec ransomware.
Trois vecteurs de compromission initiale : phishing, exploitation de vulnérabilités critiques, et... infostealers.
Le CERT Santé vient de commencer à publier mensuellement des indicateurs sur l'origine des incidents de sécurité déclarés. Et ceux-ci sont loin de suggérer une explosion de la menace à l'automne 2022, avec 2 incidents impliquant un rançongiciel en octobre, et 4 en novembre. Une extrapolation sur un an suggère entre 30 et 40 incidents de cette nature pour l'année qui s'achève.
Le chiffre qui est peut-être plus préoccupant, c'est celui des compromissions d'un système d'information : 7 en octobre et autant en novembre. C'est potentiellement un précurseur de cyberattaque avec ransomware. Mais l'écart entre le nombre des compromissions déclarées et celui des déclenchements de chiffrement - avec ou sans rançongiciel - suggère des capacités de détection et de blocage (avec EDR ou NDR, en particulier) moins qu'anecdotiques. Les centres hospitaliers de Nice et d'Argenteuil l'ont illustré. Ils ne sont pas seuls.
Les groupes Vice Society (maternité des Bluets) et Qilin (aussi appelé Agenda) ont été observés au mois d'octobre. Ce dernier n'a pas encore revendiqué la cyberattaque qu'il a conduite, mais il ne semble pas particulièrement pressé d'épingler les victimes qui lui résistent. En novembre, BitLocker a été au moins utilisé pour une victime, comme cela survient parfois.
Enfin, le rapport du CERT Santé pour octobre fait état de l'observation des infostealersRedline et Vidar Stealer, et celui de novembre, de l'exploitation de la vulnérabilité Fortinet CVE-2022-40684 pour créer des comptes à privilèges élevés sur les équipements affectés, ou
La santé, peut-être 3 % des cyberattaques en France
Le nombre d'établissements de santé touchés par des cyberattaques avec ransomware est impressionnant. Mais il est relativement limité une fois rapporté à la totalité de telles attaques ayant frappé des entités françaises au cours des dernières années.
Ainsi, nous avons identifié près de 80 collectivités territoriales ayant été victimes d’attaque informatique menée à coup de rançongiciel depuis début 2020. Ce n’est qu’une toute petite partie de la réalité : rien qu’au premier semestre 2022, plus de 160 administrations et collectivités territoriales ont été touchées, selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr.
Ce portail a reçu près de 800 demandes d’assistance en 2019, puis près de 1000 en 2020, et un peu plus de 1850 en 2021, associations, entreprises, administrations et collectivités confondues. Au 30 novembre 2022, il fallait en compter plus de 1480.
Au fil des ans, le dispositif cybermalveillance.gouv.fr a gagné en réputation. Ses chiffres reflètent chaque année un peu plus la réalité. De quoi estimer que les établissements de santé ont peut-être représenté, tout au plus, quelques 3 % des cas de cyberattaque avec rançongiciel, en France, en 2021.
Cette représentation somme toute limitée du monde de la santé ne suggère pas qu’il n’a pas mal à sa cybersécurité. Elle suggère plutôt que le secteur n’est pas forcément plus mal loti que le reste des organisations privées comme publiques de l’Hexagone.
Article initialement publié le 31 août 2022, mis à jour le 5 décembre 2022, puis le 28 décembre 2022.
