L’accès à Internet et au système informatique a été coupé, les postes de travail ont été déconnectés du réseau et tous les téléphones ont été mis hors service sauf celui des urgences. L’hôpital de Villefranche-sur-Saône (Rhône) s’est mis en quasi-quarantaine numérique depuis lundi 15 février après une cyberattaque.

C’est le deuxième hôpital français à subir ce sort en une semaine. Le même scénario s’était produit il y a exactement sept jours à Dax (Landes), des cybercriminels ayant réussi à paralyser en partie le fonctionnement de l’établissement hospitalier.

L’urgence, un levier pour les pirates

Dans les deux cas, les assaillants ont utilisé un rançongiciel, c’est-à-dire un logiciel malveillant qui permet de bloquer l’accès à une partie du système informatique. L’hôpital est ensuite sommé de verser une rançon pour pouvoir revenir à la normale.

En attendant, l’hôpital est pris à la gorge… surtout en cette période de pandémie de Covid-19. Avec la numérisation tous azimuts en milieu hospitalier, “l'arrêt des serveurs conduit à une paralysie, à une difficulté de prise en charge, à une déprogrammation, parfois à des transferts de patients dans des hôpitaux proches parce qu'il y a des choses que vous ne pouvez plus faire”, explique Frédéric Valletoux, le président de la Fédération hospitalière de France (FHF), interrogé par Francetvinfo. Le personnel soignant n’est plus capable de faire face à l’afflux constant de nouveaux patients qui est devenu leur routine avec la crise sanitaire.

Ces attaques peuvent même avoir des conséquences fatales. En Allemagne, une patiente en état critique est décédée en septembre 2020, car l’hôpital où elle devait être opérée avait été paralysé par un rançongiciel et ne pouvait pas effectuer l’intervention nécessaire.

Ce sentiment d’urgence fait des hôpitaux des cibles de choix pour les cybercriminels. “Dans une phase critique de crise, comme celle que nous vivons actuellement, toute perturbation du fonctionnement de l’hôpital doit être réparée au plus vite, ce qui donne plus de poids aux demandes de rançons”, souligne Jean-Christophe Vitu, vice-président ingénierie solutions Europe pour CyberArk, une société américaine de cybersécurité, contacté par France 24.

Une situation qui rend les cybercriminels gourmands. Les hôpitaux sont sommés de payer des “dizaines de milliers d’euros, parfois des centaines de milliers d’euros”, précise Frédéric Valletoux. Des montants très élevés par rapport aux ressources souvent limitées de ces établissements publics. Mais vu les circonstances, ils n’ont “guère le choix”, confirme Jean-Christophe Vitu.

Tentatives d'intrusion quotidiennes

Autre avantage de la crise actuelle pour les pirates : les équipes informatiques des hôpitaux sont moins sur le qui-vive. “Elles sont déjà débordées pour maintenir les systèmes d’information à flot afin de gérer l’immense quantité de données générées par la prise en charge des patients et n’ont donc pas la tête à mettre à jour des systèmes informatiques qui ont longtemps été les parents pauvres des budgets”, résume Julien Billochon, expert technique pour la société de cybersécurité Cybereason, contacté par France 24.

Les cybercriminels ont aussi amélioré leur arsenal pour être plus efficaces contre ces établissements. À Dax comme à Villefranche-sur-Saône, ils ont utilisé Ryuk, considéré comme le nec plus ultra des rançongiciels en ce moment. “Son avantage est sa rapidité à chiffrer toutes les données. Il permet de commettre son forfait très vite sans laisser le temps de réagir”, note Jean-Christophe Vitu. “C’est aussi une caisse à outils très complète qui permet de s’infiltrer très en profondeur dans le système informatique de la cible”, ajoute Julien Billochon.

Et ils n'hésitent pas à se servir de ce logiciel. Les attaques ne se limitent pas aux quelques cas médiatisés ces derniers jours. “C’est une pression continue que subissent ces établissements et les tentatives d’intrusion pour installer ces logiciels malveillants se comptent par dizaines, voire par centaines tous les jours”, précise le spécialiste de Cybereason, qui travaille avec une soixantaine d’hôpitaux en France pour limiter les dégâts.

Feu sur le secteur de la santé

Et les hôpitaux ne sont que les arbres qui cachent la forêt des attaques contre le secteur de la santé depuis le début de la crise sanitaire. “Les cliniques privées, les centres de rééducation, les laboratoires pharmaceutiques ou encore les agences de santé sont autant de cibles pour les cybercriminels”, souligne Loïc Guezo, directeur de la stratégie cybersécurité pour la société Proofpoint, et secrétaire général du Club de la sécurité de l’information français (Clusif), contacté par France 24. 

Il peut alors aussi bien s’agir d’attaques par rançongiciels que de cyberespionnage - comme contre l’Agence européenne du médicament en décembre 2020 - ou des tentatives de sabotage informatique. Ainsi, toujours en décembre dernier, un laboratoire pharmaceutique français, qui aide à produire le vaccin allemand CureVac, avait dû mettre plusieurs sites à l’arrêt après avoir découvert un virus dans son système informatique.

La crise sanitaire a “été un révélateur de l’intérêt du secteur de la santé pour les cybercriminels. Il n’était auparavant qu’un marché naissant pour eux”, affirme Loïc Guezo. Pour lui, il y a fort à parier que les attaques par rançongiciel contre les hôpitaux ne soient qu’une étape dans cette campagne. Par la suite, les pirates informatiques pourraient, par exemple, dérober des dossiers médicaux “pour faire chanter des patients”, ajoute-t-il.

Une perspective qui rend d’autant plus urgent l’appel de Frédéric Valletoux, le président de la FHF, qui demande aux autorités d’inclure les hôpitaux et les établissements de soins dans “les cibles à protéger au premier niveau” afin de leur faire bénéficier de ressources supplémentaires et d’un plus grand accompagnement pour renforcer leurs défenses.