Armentières : la cyberattaque qui donne une fausse impression de ciblage du secteur de la santé

Ce dimanche 11 février, peu avant 9h30, La Voix du Nord le relève : le centre hospitalier d’Armentières a été victime, quelques heures plus tôt, d’une cyberattaque avec ransomware.

Selon nos confrères, des notes de rançon ont été imprimées, suivant un mode opératoire qui rappelle celui observé fin 2022 au centre hospitalier de Versailles et impliquait un usurpateur de LockBit. Ce dernier avait utilisé un « builder » de la franchise, rendu public au mois de septembre précédent : il s’agit de l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé.

Comme pour chaque cyberattaque touchant un établissement de santé, l’émotion est grande. Mais le secteur français de la santé est-il particulièrement concerné, voire même spécifiquement visé ?

Sur LinkedIn, Quentin Le Thiec, ingénieur cybersécurité au sein du CERT Santé, affirme que « non, les hôpitaux ne sont pas spécifiquement ciblés par les hackers ! ».

Il souligne notamment que les incidents touchant des hôpitaux se voient plus que ceux concernant d’autres secteurs. Nous le relevions déjà fin 2022 : ces attaques profitent d’une forte couverture médiatique parce que leurs effets sont plus facilement et rapidement visibles que pour d’autres victimes. 

Ce n’est pas tout : les établissements de santé doivent signaler « sans délai » les incidents de cybersécurité survenus depuis la fin 2017. Cette obligation réglementaire, qu’elle soit pleinement respectée ou pas, conduit mécaniquement à une constatation plus complète de la menace pour ce secteur que pour les autres.

La comparaison des observations avec les chiffres de cybermalveillance.gouv.fr suggère qu’au mieux, 10 % des incidents survenant sont effectivement constatés ouvertement, tous secteurs confondus. Pour la santé, la part est vraisemblablement bien plus élevée, même si elle n’atteint pas les 100 %.

En 2022, le secteur de la santé, en France, avait connu 27 cas de cyberattaque avec rançongiciel, contre 59 en 2021. Tous ne se valent toutefois pas et seuls certains s’avèrent véritablement graves : en 2022, 17 incidents avaient nécessité un passage à un mode de fonctionnement dégradé. 

En 2023, les chiffres du CERT Santé font état de 42 cyberattaques avec chiffrement et rançongiciel, pour 211 incidents de cette nature dans l’Hexagone, tous secteurs confondus, et près de 2000 demandes d’assistance (hors particuliers) enregistrées par cybermalveillance.gouv.fr. De quoi suggérer que le secteur de la Santé a peut-être représenté 2 % des cas de cyberattaque avec ransomware, l’an dernier, en France, mais guère plus.