En mai 2021 l’entreprise Colonial Pipeline, qui dessert la côte Est des États-Unis en carburant, a dû fermer ses vannes pendant une semaine à cause de l’attaque d’un ransomware ou rançongiciel. En réaction, le Département de la justice américain a décidé de mettre en place une procédure spéciale, utilisée notamment dans les affaires de terrorisme, afin de mettre un terme au fléau des rançongiciels. Dans la foulée Lindy Cameron, patronne du GCHQ, service de renseignement technique et de cyberdéfense britannique, a déclaré que les rançongiciels étaient la plus grande menace de notre époque.

En France c’est par l’hôpital que les rançongiciels ont fait leur entrée sur le devant de la scène. Le 15 novembre 2019, le Centre Hospitalier Universitaire de Rouen est complètement paralysé par l’un d’eux. Dans l’hexagone, comme ailleurs, aucun secteur n’est épargné par ces virus, mais c’est de nouveau par le biais de la santé et encore de l’hôpital qu’il va s’imposer dans le débat public au début de l’année 2021. Fin 2020, le Centre Hospitalier d’Alberville est touché, le 11 février 2021 c’est au tour de celui de Dax, quatre jours plus tard l’Hôpital Nord-Ouest, à Villefranche-sur-Saône est paralysé à son tour. Un enchaînement d’attaques importantes et médiatisées, en pleine période de pandémie mondiale, qui a poussé le Président de la République à prendre la parole sur les rançongiciels le 18 février.

Le gouvernement révèle à cette occasion que 27 attaques majeures, tout type d’actes malveillants confondus, ont frappé le secteur de la santé sur l’année 2020. L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), chargée de la cyberdéfense en France, a déclaré qu’elle recensait alors « une tentative d’attaque par semaine sur des infrastructures de la chaîne hospitalière ». Les rançongiciels occupent une très bonne place parmi ces attaques.

Le CERT-Santé, l’un des organismes de l’Agence du numérique en santé (ANS), chargé de la cybersécurité, a publié en avril 2021 l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la Santé sur l’année 2020. Ce document recense tous les signalements d’incidents cyber des établissements de soin, une obligation pour ces derniers. Les attaques par maliciels (logiciel malveillant) représentent 25% des incidents déclarés (369 au total) et pour moitié il s’agit de rançongiciel.

données du CERT-Sante

Principale données recueillies par le CERT-Santé en 2019 (bleu) et 2020 (rose). Crédit : Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la Santé

Rançongiciel, l’arme de la nouvelle criminalité

Le principe d’un rançongiciel est assez simple. Il s’agit d’une prise d’otage du système d’information visé. Grossièrement un logiciel malveillant va s’infiltrer dans le système puis va s’y propager. Une fois suffisamment étendu, il bloque les données de « l’otage » et exige une rançon contre une clef de déchiffrement. Généralement, le règlement s’effectue en Bitcoin. De plus en plus, ces virus, en bonus, récupèrent une partie des données de leurs victimes. Il existe plusieurs types de rançongiciels, mais la plupart ouvrent une boîte de dialogue pour entamer une négociation. Les sommes varient selon les capacités financières de la victime, elles peuvent être de 10 000, 50 000, 100 000 euros. Par exemple, l’entreprise Colonial Pipeline a payé 4,4 millions de dollars (environ 3,7 millions d’euros) pour obtenir sa clef de déchiffrement.

Les rançongiciels ne sont pas nouveaux. Lionel Mourer, administrateur du Club de la sécurité de l’information français (CLUSIF) et à la tête d’une entreprise de consulting en cybersécurité le confirme à Siècle digital, « Cela fait 20 ans que je suis dans le monde de la cybersécurité et cela fait 20 ans que les rançongiciels existent. À l’époque on se demandait ce que c’était, aujourd’hui c’est devenu un modèle ». Depuis leurs débuts, les rançongiciels se sont énormément perfectionnés, au point de devenir la principale menace cyber depuis environ trois ans. L’ANSSI, chargée des incidents de cybersécurité les plus graves, a traité 192 attaques en 2020, soit une augmentation de 255% par rapport à 2019.

Dans un rapport de février 2021 (pdf), l’Agence s’inquiète de cette dynamique. Elle redoute particulièrement une « émulation » parmi les groupes cybercriminels adeptes des rançongiciels. Elle a constaté que le recours à un « écosystème cybercriminel, dont l’industrialisation permet aux opérateurs de rançongiciel de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations ».

Avec les rançongiciels nous sommes loin de l’image d’Épinal du jeune bidouilleur, seul sur son ordinateur. Pour Lionel Mourer,« ce sont des personnes qui viennent du monde de la prostitution, de la vente de drogue, ce sont déjà des criminels qui ont ouvert une nouvelle porte de la criminalité ».

Les groupes à l’origine des attaques se répartissent les tâches. La répartition est inhérente à chaque organisation et peut varier, mais schématiquement : Un groupe ou une personne va trouver des accès à un système d’information qu’il va revendre sur le darkweb. Un autre va développer le logiciel. Un troisième va l’héberger, un quatrième l’introduire, un autre l’étendre, encore un chiffrer les données. Un dernier, enfin, va se charger de blanchir l’argent récolté.

Schéma de l’ANSSI sur les répartitions possibles des tâches dans l’écosystème cybercriminel. Crédit : Rapport « Etat de la menace rançongiciel »

Selon l’ANSSI cet écosystème se limiterait à « plusieurs centaines de personnes dont seulement quelques dizaines disposant véritablement de capacité à développer des outils d’attaques performant ». Pour l’Agence la moitié des attaques est le fait de seulement cinq groupes à l’origine incertaine. Il n’est pas dans les missions d’ANSSI de faire de « l’attribution », c’est-à-dire de désigner le pays d’origine des attaquants, une opération techniquement complexe. Un indice cependant, en février 2021 : un groupe nommé Egregor a été en partie arrêté en Ukraine avec la collaboration de l’Office central de lutte contre la cybercriminalité de la police judiciaire, sans précision sur l’origine des suspects.

Les hôpitaux, cibles idéales ou hasard d’une pêche à l’aveugle ?

Pour ces cybercriminels il n’y a qu’un seul objectif : l’argent. Ils vont le chercher là où il se trouve, dans le système avec le moins de maturité en sécurité, dans un esprit de rentabilité. Un hôpital peut être intéressant de ce point de vue. Charles Blanc-Rollin est Responsable de la sécurité du système d’information (RSSI) d’un Centre Hospitalier de l’Allier et vice-président de l’Association pour la Sécurité des Systèmes d’Information de Santé. Chaque hôpital porte la responsabilité de sa propre cybersécurité, c’est le rôle du RSSI de gérer la cyberprotection de l’établissement au quotidien, sous la direction ou avec le Directeur des systèmes d’information (DSI). Charles Blanc-Rollin est donc bien placé pour savoir que « Les systèmes d’information des établissements de santé sont plutôt en mauvais état, par un manque de moyen financier, humain, sinon par un manque de connaissance. Du coup ils sont assez vulnérables, ce sont des cibles plus facile ». Néanmoins, tous les interlocuteurs de Siècle digital vont dans le même sens : les établissements de santé sont rarement volontairement visés par les assaillants.

Crédit : ANSSI

Emmanuel Sohier est responsable du CERT-Santé au sein de l’ANS. Il explique comment s’y prennent les groupes qui cherchent les accès à des systèmes d’information : « Ils font des attaques tous azimuts sur tout ce qu’ils trouvent sur internet et vont chercher des vulnérabilités pour récupérer des mots de passe et les revendre ». Certains pratiquent l’hameçonnage massif, ces mails avec une pièce jointe vérolée qui donnent accès au poste de l’utilisateur, d’autres profitent de vulnérabilités déjà connues, Emmanuel Sohier évoque notamment plusieurs récupérations récentes de mot de passe via des VPN.

Pendant la pandémie, certains groupes ont déclaré sur leurs blogs, la main sur le cœur, que durant la crise ils cesseraient leurs attaques contre les hôpitaux. Une prise de position qui fait plutôt sourire. Emmanuel Sohier se souvient d’un seul cas où, « un attaquant s’est rendu compte que c’était un établissement de santé, il a rendu les clefs du système. C’est très rare ». Pour Lionel Mourer du CLUSIF ces engagements ont tenu « quatre secondes et demie ». Au contraire d’autres groupes ont vu dans la crise sanitaire et la saturation des établissements une opportunité à saisir.

Officiellement l’ANSSI préconise de ne jamais payer de rançon ni d’échanger avec les preneurs d’otages, pour ne pas alimenter un écosystème déjà bien doté et surtout ne pas créer un effet d’opportunité. Fabien Malbranque, Fonctionnaire de sécurité des systèmes d’information adjoint, en charge de la stratégie globale de cybersécurité pour le ministère de la Santé, rapporte à Siècle digital que « légalement la direction d’un hôpital aura du mal à prendre la décision de payer puisqu’il faut justifier la dépense du point de vue des marchés publics ». Pour lui, ce scénario est donc peu probable. Pour Emmanuel Sohier du CERT-Santé, même les établissements privés évitent de payer.

Les hôpitaux ne sont pas pour autant dénués d’intérêt pour des cyberassaillants. Ils sont une source précieuses de données sur leurs patients. Sur le marché illégal de la donnée, sur le darkweb, les données de santé sont plus valorisées que les codes de carte bleue. « Demain quelqu’un pirate un hôpital où, imaginons, se fait soigner notre président, ou un responsable quelconque, et vole son dossier de santé. Nous pouvons imaginer que cette information à une valeur toute particulière. En revanche, voler la carte du président ou de n’importe qui, ne va rien changer », détaille Lionel Mourer, administrateur du CLUSIF. Sans aller jusqu’au Président de la République, Fabien Malbranque insiste sur l’importance des données aujourd’hui dans différents domaines. « Un ensemble de données, même non nominatives, il peut faire tourner un logiciel pour déterminer que l’habitant d’une telle région, à tel âge, son espérance de vie c’est tant… Et là on voit que la donnée de santé c’est une pépite pour des banques, des assureurs… », explique-t-il. Pour lui il ne faut pas être naïf, certaines entreprises n’hésitent pas à racheter ces jeux de données même sur des marchés gris.

Quelles conséquences lorsqu’une attaque survient ?

Avant ces répercussions, il y a, plus directement, celle sur le personnel des hôpitaux et leurs patients. Les conséquences des attaques sur les hôpitaux « sont liées à l’indisponibilité des informations qui désorganisent l’établissement ciblé » explicite Lionel Mourer. « Cela contraint l’hôpital à continuer à travailler en mode dégradé en transférant les activités qui sont devenues impossibles ».

Cette expérience, c’est ce qu’a subi Laura (prénom modifié), médecin dans un hôpital victime d’un rançongiciel en 2021. « J’étais de garde dans mon service ce jour-là. Sur le coup on a cru à un bug, cela arrive tout le temps », raconte-t-elle. Mais très vite le « bug » s’est révélé bien plus étendu que prévu. « J’ai dû refaire les prescriptions d’absolument tout mon service de tête. Autant certains patients je m’en étais occupé, je savais pourquoi ils étaient là, autant pour d’autres je n’en avais aucune idée », se souvient-elle. Les infirmières, les patients en capacité de le faire, ont tenté de se remémorer tant bien que mal des prescriptions des uns et des autres, « Nous ne savions pas du tout si les prescriptions que nous avions faites étaient adaptées, si un patient n’allait pas avoir besoin d’un traitement vital, etc ».

Fabien Malbranque le concède, « les systèmes d’information sont là pour accompagner la prise en charge des patients, sans eux on ramène un établissement au milieu des années 80 ». Un problème, malgré les réflexions qu’a pu entendre Laura de la part de ses collègues plus âgés. « Effectivement “avant on y arrivait bien”, mais ce n’était pas du tout optimal, pas rentable. Avec l’attaque nous nous contentions du strict minimum, le reste nous n’avions ni le temps, ni les moyens de nous en occuper ». Laura et le reste du personnel soignant ont dû « croiser les doigts pour tout aille bien » durant les premiers jours de la crise.

Selon L’Observatoire des signalements d’incidents de sécurité des systèmes d’information, 45% des structures de santé touchées par un incident cyber de tout ordre en 2020 ont dû mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients. Selon le même rapport, 34 patients ont été potentiellement mis en danger, pour deux incidents, la mise en danger a été avérée. À la connaissance de Laura, même si l’offre de soin a été considérablement dégradée il n’y a pas eu de conséquence fatale pour les patients dans son établissement.

Le seul cas officiel d’un décés à la suite d’un rançongiciel a eu lieu outre-Rhin. En septembre 2020 une clinique de Dusseldorf a été attaquée. Lionel Mourer rapporte que « les urgences n’ont pas pu prendre en charge le patient. Il a été transféré à l’hôpital le plus proche, à 30 minutes, il était décédé à l’arrivée ». Bien que ce cas soit largement pris en exemple dans le milieu de la cybersécurité en santé, Fabien Malbranque en relativise la portée. « Il y a eu un manque de chance pour cette personne […], mais je ne suis pas certain qu’il faille faire un lien avec l’attaque ». C’est toute la difficulté, les personnes qui arrivent pour une urgence absolue à l’hôpital auraient-elles vraiment pu survivre si l’offre de soin n’était pas altérée ?

Fabien Malbranque met en avant les atouts du système français. En cas d’attaque majeure, l’information va remonter au CERT-Santé qui donnera ses premiers conseils et le répercutera, le cas échéant, à l’ANSSI. En parallèle, l’Agence Régionale de Santé (ARS) où se trouve l’hôpital infecté, se charge d’organiser la régulation des urgences pour adapter la répartition des patients selon les difficultés rencontrées par un établissement.

Se prémunir des rançongiciels

Laura ne s’estime pas spécialement traumatisée par l’événement, devenu un sujet de blague à chaque petit bug logiciel du quotidien. En revanche, pour elle, il est « vraiment inimaginable de repasser par là ». Le risque est pourtant réel. Au-delà même d’un nettoyage incomplet d’un système d’information après une attaque, ces derniers restent vulnérables. Dans la santé, comme ailleurs, les concepteurs de logiciels, d’applications, n’avaient pas les moyens d’anticiper les menaces à venir et l’ingéniosité des cybercriminels.

Pour autant Fabien Malbranque espère que « ce n’est pas une course perdue d’avance. Que nous sommes capables de nous prémunir ou tout du moins de maîtriser les impacts d’une cyberattaque ». L’ANSSI, le CERT-Santé, les RSSI, échangent sur le niveau de menace, effectuent des veilles sur les risques en France et à l’étranger, sur les vulnérabilités décelées pour anticiper les futures moyens d’actions des cybercriminelles. Ils multiplient également des interventions pour sensibiliser sur les risques.

Après l’attaque contre Dax et Villefranche-sur-Saône Emmanuel Macron a annoncé de nouveaux moyens pour lutter contre la cybercriminalité dans le secteur de la santé. Parmi le plan de Relance, la transition numérique a été qualifiée de priorité avec une enveloppe de 7 milliards d’euros. La santé va bénéficier d‘un milliard d’euros « consacré à la remise à niveau des services publics et deux milliards dans le Ségur de la santé sur le volet numérique » a promis le président. Sur la somme attribuée aux Ségur 350 millions « seront dédiés à renforcer la sécurité des systèmes d’information de santé ».

En parallèle, la stratégie nationale cyber comporte des points intéressants selon les interlocuteurs de Siècle digital : développer un écosystème de la cybersécurité en France, encourager les contacts et surtout investir dans la formation. Le manque criant de personnel qualifié dans la cybersécurité, notamment au poste de RSSI, est souvent pointé du doigt. Fabien Malbranque note le temps pour former un profil correspondant aux exigences du poste : « une dizaine d’années ». Des profils recherchés et donc plus chers, « il y a un déficit d’attractivité par rapport aux emplois qui sont dans le privé » déplore le Fonctionnaire de sécurité des systèmes d’information adjoint.

Charles Blanc-Rollin, directement concerné par les investissements à venir en tant que RSSI, ne se fait pas d’illusion sur les sommes alloués, « sur les millions qui ont été annoncés nous allons peut-être récupérer 20 000 euros par établissement, et encore… ». Pour lui cela peut aider à mettre en place des solutions techniques, mais pas à recruter du personnel qualifié supplémentaire, « c’est un budget pour maintenir en situation opérationnelle ce que l’on va mettre en place ». Même son de cloche du côté de Lionel Mourer du CLUSIF, « Faire un rattrapage tous les 10 ans c’est super, mais ce n’est pas suffisant. Il va falloir que les investissements continuent ». Emmanuel Macron s’est engagé à « réévaluer chaque année les besoins », le Président de la République n’excluait pas en février « que l’on soit obligés de réévaluer de manière régulière cet investissement ».