
Getty Images/iStockphoto
Rançongiciels : pas d’accalmie perceptible pour le secteur de santé en 2024
Le secteur de la santé ne semble pas avoir pleinement profité du recul observé de la menace, en France, l’an passé. Le nombre de compromissions et d’attaques avec ransomware apparaît stable par rapport à 2023.
Marqué par des cas particulièrement retentissants, du CHU de Rouen fin 2019 au CHRU de Brest début 2023 ainsi qu’au groupe Hospi Grand Ouest début octobre dernier, en passant par le Centre Hospitalier Sud-Francilien fin août 2022, le secteur de la santé fait l’objet d’une attention toute particulière.
En France, 13 CHU avaient d’ailleurs été rapidement désignés comme opérateurs de services essentiels (OSE) parce qu’opérateurs d’importance vitale (OIV). Mais après les attaques conduites contre les hôpitaux de Dax et de Villefranche-sur-Saône, une centaine de plus avaient été désignés OSE.
Mais cela va au-delà. « Animées par des motivations financières, la plupart du temps, les attaques par rançongiciel ont un impact sur les individus et les entreprises, mais aussi sur le fonctionnement même de services essentiels, et donc, sur la stabilité des États », déplorait ainsi la France au Conseil de Sécurité des Nations Unies le 8 novembre dernier.
De son côté, la Commission européenne a récemment annoncé un plan d’action pour protéger le secteur de la santé face aux cyberattaques. Et cela alors même que la Cour des comptes française s’inquiète de la pérennité du soutien financier apporté aux hôpitaux pour renforcer leur cybersécurité et leur résilience en cas de cyberattaque.
Mais comment va le secteur, justement, dans l’Hexagone ? Les données publiées durant 2024 par le CERT Santé permettent d’établir une première photographie. De fait, ce CERT rattaché à l’agence du numérique en Santé profite des signalements que les établissements sont tenus de réaliser depuis la fin 2017 pour publier mensuellement, depuis 2022, des indicateurs sur l’origine des incidents déclarés.
Les bulletins mensuels de l’année passée font ressortir 33 incidents avec rançongiciel et chiffrement, soit un de plus qu’en 2023. Ce chiffre sera toutefois peut-être revu à la baisse après requalification. De notre côté, nous en avions recensé 15, rapportés dans la presse ou revendiqués par des cybercriminels. En 2022, le CERT Santé avait recensé 29 cas de ransomware, contre 59 en 2021.
À cela s’ajoutent en outre 116 cas de compromission du système d’information en 2024, contre 122 en 2023, 119 en 2022, et 98 en 2021.
Las, cette stabilité apparente survient dans un contexte de recul sensible du niveau observable de la menace des rançongiciels, en France, en 2024. Comment expliquer que le secteur de la santé n’en ait pas profité ?
Tout d’abord, le secteur de la santé n’a pas plus été épargné que les autres secteurs par les vulnérabilités critiques affectant des systèmes directement exposés sur Internet. Pour février 2024, le CERT Santé fait ainsi état d’une intrusion via l’exploitation de la vulnérabilité CVE-2024-21762. En avril, il a été informé de « plusieurs compromissions d’équipements Palo Alto à la suite de la divulgation de la vulnérabilité CVE-2024-3400 ». En novembre, ce sont les CVE-2024-45518 (Zimbra, chez un prestataire) et CVE-2024-7261 (Zyxel) qui sont mentionnées. Mais au moins une vulnérabilité plus ancienne a également été exploitée contre des établissements de santé en 2024 : la CVE-2023-27532 (Veeam).
L’hameçonnage, ou les pièces jointes malveillantes, ainsi que l’utilisation d’identifiants volés ont toutefois été largement mentionnés, mois après mois, comme vecteur initial d’attaque dans les bulletins mensuels du CERT Santé.
LockBit, BlackSuit, Phobos, ou encore l’enseigne Helldown, BlackByte et le ransomware eCh0raix (pour les NAS signés QNAP) ont été impliqués dans les cyberattaques contre le secteur français de la santé en 2024.