Cybersécurité : les hôpitaux peuvent-ils échapper aux attaques par rançongiciels ?

Une attaque par rançongiciel a bloqué à la mi-février 2021 plus de 3 000 postes informatiques de l’hôpital Nord-Ouest de Villefranche-sur-Saône. Celle-ci suivait une autre attaque équivalente contre l'hôpital de Dax. L'hôpital d'Oloron dans les Pyrénées-Atlantiques a lui aussi été attaqué le 8 mars dernier : les ordinateurs sont inutilisables, leurs données sont chiffrées et les pirates informatiques demandent une rançon de 50.000 dollars payables en bitcoin (cryptomonnaie). Ces paralysies des systèmes d'information d'hôpitaux par "rançongiciels" sont loin d'être les premières en France et s'accentuent depuis le début de la crise sanitaire causée par l'épidémie de coronavirus.

L'Agence nationale de sécurité des systèmes d'information (ANSSI) a publié début février un rapport sur "l'état de la menace rançongicielle à l'encontre des entreprises et des institutions" : ce phénomène est devenu un véritable problème national qui devient chaque jour plus inquiétant et que l'ANSSI prend très au sérieux. Mais malgré ces communiqués d'alerte ou la publication de manuels de "bonnes pratiques" à destination des entreprises et des institutions — contenant la description des différents modes opératoires des pirates et les méthodes pour s'en prémunir — pourquoi les hôpitaux français en particulier ne parviennent-ils toujours pas à se protéger contre ces attaques informatiques ?

Nous avons voulu savoir ce qu'en pensaient deux spécialistes de la sécurité informatique :  Philippe Laquet, ingénieur en sécurité et architecture des réseaux, ayant travaillé durant 20 ans au sein d'institutions publiques, dont plusieurs hôpitaux, et Eric Fressinet, officier de la gendarmerie, spécialisé dans la lutte contre la cybercriminalité et chef du pôle national de lutte contre les cybermenaces de la Gendarmerie nationale.

TV5MONDE : Trois hôpitaux se sont retrouvés partiellement ou totalement paralysés par des attaques informatiques, à un mois d'intervalle. Est-ce normal, selon vous ?

Eric Fressinet : Qu'il soit normal que des hôpitaux soient touchés, je dirais oui, dans le sens où les systèmes criminels actuellement ne ciblent pas de façon spécifique une entreprise ou une personne, mais tapent tous azimuts sur des opportunités, là où il y a des vulnérabilités. Donc, dès qu'ils trouvent une porte d'entrée dans une organisation, plus ou moins grande, ils y rentrent, regardent ce qu'il s'y passe, extraient des données et installent en dernière étape des rançongiciels.

Aujourd'hui tout est ouvert sur Internet d'une façon ou d'une autre, ne serait-ce que par le courrier électronique, qui est potentiellement sécurisé. La difficulté c'est de savoir si on est suffisamment sécurisés, préparés à ce type de menaces, ce n'est pas forcément le cas partout.

Philippe Laquet : Je trouve ça assez logique, parce que les hôpitaux sont des établissements relativement critiques mais ne sont pas logés à la même enseigne que les opérateurs d'importance vitale — des OIV —, comme le secteur de l'énergie, parce qu'ils ne dépendent pas du national. Ils ne sont pas des OIV mais des groupements hospitaliers de territoires, pour la plupart. Les hôpitaux n'ont donc pas la même criticité pour l'Agence de la sécurité des système d'information (ANSSI).

Si je trouve logique que ces attaques informatiques touchent des hôpitaux c'est que cela représente l'état de santé d'un pays au sens figuré et au sens propre. Les pirates se disent que rançonner les hôpitaux est plus intéressant, qu'ils payeront plus facilement que d'autres, vu leur état de tension et leurs difficultés. Pour l'aspect facilité technique à les attaquer, je pense aussi que c'est très logique. J'ai travaillé dans des groupements hospitaliers de territoire et pour moi, dans ces institutions, d'un point de vue technique, on marche sur la tête.

TV5MONDE : Est-il logique qu'un hôpital expose tout son système d'information à Internet, avec ces attaques qui s'amplifient depuis plusieurs années et semblent très difficile, voire impossibles à contrer ?

E.F : Le constat c'est qu'aujourd'hui tout le monde utilise et a besoin d'Internet au quotidien. Un médecin va aller vérifier des informations à jour sur Internet pour des symptômes d'un patient, par exemple. Un hôpital ce n'est pas que médical, c'est aussi administratif. Il y a toute la gestion des processus, de l'accueil des patients, du suivi des patients, donc isoler des postes pour accéder à Internet en ne laissant pas les autres le faire, semble difficile à faire.

La plupart des postes informatiques ont des fonctionnalités internet, ne serait-ce que le mail, et ce sont ces risques que l'on doit prendre en compte. Des systèmes industriels d'entreprises, sur le même réseau que des systèmes qui étaient connectés à Internet ont été infectés par des vers, pour de la mise à jour ou de la gestion. Donc c'est aussi une problématique de gestion des réseaux.

P.L : La gestion de ce qui est fait en termes de réseaux est mauvaise, il n'y a que très peu d'isolation des flux. Cela se traduit par le fait qu'une personne qui  est au bureau des entrées par exemple et qui ne fait que de l'administratif, si on lui envoie un mail avec du hameçonnage ou un logiciel malveillant, peut propager ces menaces logicielles très rapidement sur des systèmes critiques de l'hôpital. J'ai fait remonter ces problématiques de mauvais gestion de réseaux quand je travaillais pour des hôpitaux, mais c'est un problème d'arbitrage budgétaire qui a empêché que des améliorations soient effectuées pour résoudre ces problèmes de sécurité.

On a malheureusement affaire, la plupart du temps, qu'à des raisonnements de type budgétaire et c'est tout le problème lié à la sécurité informatique en général. La sécurité coûte de l'argent et les décideurs ne savent pas ce que ça va rapporter, donc comme toute la réflexion passe uniquement par un retour sur investissements, cette sécurité n'est souvent pas améliorée.

TV5MONDE : Il faudrait donc cloisonner les réseaux dans les hôpitaux, pour empêcher que les machines qui ont un accès à Internet ne communiquent avec d'autres, moins dépendante du réseau ?

E.F : Oui, il y a des problématiques de cloisonnement entre les réseaux et ces cloisonnements n'existent pas toujours. Donc on pourrait très bien imaginer d'être connecté mais que les réseaux soient suffisamment cloisonnés pour qu'on ne puisse pas facilement passer de l'un à l'autre. Dans pas mal de cas, ces cloisonnements n'existent pas et ne sont pas à jour, au niveau d'une sécurité basique dans ces environnements-là.

La grosse difficulté dans un scénario de type rançongiciel, c'est que le système n'est plus utilisable dans l'immédiat, les jours et les semaines qui suivent. Donc pour éviter ça il ne faut pas que tout le monde soit connecté sur la même infrastructure. Il faut des mises à jour et une capacité à reprendre le contrôle avec des plans de continuité d'activité, avec des sauvegardes et des copies maîtresses pour rétablir rapidement un système. Mais couper entièrement Internet n'est pas forcément une solution raisonnable dans un environnement normal de travail.

P.L : Oui, c'est une nécessité et j'ai un peu participé à ça dans les endroits où je suis passé. Des services critiques ont été laissés déconnectés du réseau principal de l'hôpital en étant sur un sous-réseau, mais coupé physiquement du reste. Mais ce n'est pas fréquemment le cas. Je pense par exemple aux services de réanimations où c'est simplement hallucinant de laisser leurs matériels informatiques raccordés au réseau, ce qui est encore le cas dans beaucoup d'endroits.

A mon sens, on est dans une course au solutionnisme technologique, à la compétitivité, ce qui n'est pas applicable à certains secteurs d'activité comme celui de la santé. Mais laisser des parties du réseau déconnectées c'est reculer pour mieux sauter, j'espère, parce que de nombreux appareils biomédicaux sont maintenant connectés au réseau avec des systèmes très spécifiques. Et les informaticiens qui font de la tierce-maintenance dessus ont très souvent besoin d'avoir un accès. On peut avoir par exemple des pompes à morphine dans des services de réanimation qui sont raccordées au réseau Internet pour bénéficier de maintenance à distance. Ce qu'on appelle du "patch management" — qui permet de contrôler au préalable les mises à jour avant de les déployer en interne — était courant auparavant, mais cela ne se fait quasiment plus aujourd'hui. Tout ou presque a été donné à de la gestion externalisée, donc à des entreprises privées, qui bien souvent fournissent l'appareil et son logiciel et qui font de la maintenance à distance par le Net.

TV5MONDE : La course pour sécuriser les systèmes d'information face aux attaques de pirates informatiques — équipés de logiciels de plus en plus performants —, semble sans issue : n'y aurait-il pas une réflexion à mener sur l'architecture des système d'information, des réseaux, dans les structures vitales comme les hôpitaux ?

E.F : La réalité du terrain dans les hôpitaux, les écoles, les entreprises, c'est qu'il y a un besoin quotidien de ces échanges passant par Internet. Mais la question est de savoir si les systèmes de production eux-mêmes doivent être connectés. Typiquement, dans un hôpital, les systèmes de production vont être les scanners, les IRM, etc. Ils n'ont pas besoin d'être connectés en permanence. On peut imaginer ne les connecter qu'au moment des mises à jour ou de la maintenance à distance. En revanche, pour le travail quotidien, la vie de l'organisation, il y a besoin de cette connexion à Internet.

Donc, cela veut dire qu'il faut peut-être revoir la sécurisation de ces accès, mieux les filtrer qu'ils ne le sont actuellement, puis cloisonner les réseaux pour qu'une attaque dans une zone n'ait pas un impact rapide sur l'ensemble du réseau.

P.L : On a un usage déraisonné de l'informatique aujourd'hui. Pour faire une comparaison routière, c'est un peu comme si sur une autoroute on avait un panneau qui indiquait un risque de sécurité à 10 kilomètres et que tout le monde continuait d'accélérer, donc élevait sa vitesse. La course effrénée à la technologie dernier cri fait vendre des produits, marcher la communication de l'ANSSI, fonctionner les systèmes de labellisation mais tout cela avec des contradictions totales qui empêchent de mener à bien des véritables stratégies de sécurité informatique sûres.

Les entreprises spécialisées en cybersécurité en France gagnent beaucoup d'argent avec du conseil, de la certification ISO 27001 (management de la sécurité de l'information, ndlr) et malgré cela, rien ne s'améliore en termes de sécurité informatique, on le voit avec les attaques permanentes d'hôpitaux par rançongiciels.

On a un rapport au numérique qui n'est pas sain, avec une course effrénée aux nouvelles technologies, mais sans bon sens. Il y aussi un problème culturel propre à la France dans ce domaine, qui veut qu'on réfléchisse toujours en termes de stratégies, en prenant de la hauteur. Sauf que ce sont des environnements très techniques et des personnes en France qui font du très technique, en sécurité informatique, il n'y en a pas beaucoup. Par contre on a beaucoup de spécialistes qui font du conseil, de l'accompagnement, du label, des préconisations. Mais en réalité, des professionnels qui mettent les mains dans le code ou qui vont paramétrer des équipements réseaux, penser des architectures, eh bien il n'y en a pas tant que cela.