Pourquoi nos hôpitaux se font hacker (et comment ils y font face)
Sous pression, sous-financés, en réseau, les hôpitaux constituent une cible de choix pour les hackers, comme l’illustrent les expériences du CHRSM et de Vivalia.
Ce 4 août, il y a peu de passage dans les couloirs du Centre hospitalier régional Sambre et Meuse (CHRSM), sur le site de Sambreville. Pas moins, toutefois, que dans n’importe quel hôpital en période de vacances. En apparence, tout y semble normal. Jusqu’à ce que le regard croise cette affichette: «Nous sommes victimes d’une attaque informatique. Cette attaque perturbe les soins et empêche certaines prises en charge.» J+70 depuis le hacking. Comme bien d’autres hôpitaux avant lui, le CHRSM subit encore les conséquences d’un ransomware qui a bloqué l’ensemble de son système informatique et engendré, tant à Namur qu’à Sambreville, un retour quasi complet au papier. Des hackers ont bien revendiqué la cyberattaque au mois de juin, mais leur identité n’est pas encore vérifiée. «Dès le départ, nous avons fait le choix de ne pas entrer en contact avec eux. Nous n’avons pas reçu directement de demande de rançon, mais nous ne comptons pas payer », précise d’emblée Jérôme Massart, le directeur du CHRSM – site Sambre.
« C’est désormais la logique sécuritaire qui doit prévaloir. C’est-à-dire: tout est interdit, sauf ce qui est autorisé. »
Tout a commencé dans la nuit du 25 au 26 mai dernier. Les équipes sur place constatent des anomalies de fonctionnement dans le système. L’ampleur du problème ne laisse rapidement aucune place au doute: le groupe hospitalier est bien la cible d’un hacking. Une partie du réseau est encrypté et la téléphonie, qui repose sur la technologie VoIP (voix sur IP), ne fonctionne plus. Comme le prévoit la procédure d’urgence, la première tâche consiste à verrouiller l’ensemble de l’architecture du système, pour limiter autant que possible les dégâts. Applications, serveurs, liaison informatique entre les sites: en moins d’une heure, tout est coupé jusqu’à nouvel ordre. «Lors de la première journée suivant l’attaque, la priorité consiste à faire basculer l’hôpital dans un mode de fonctionnement dégradé, en remettant en place les anciennes procédures papier, poursuit Jérôme Massart. En parallèle, nous avons alerté les autorités, dont la police et la Cert (NDLR: la Cyber Emergency Response Team fédérale), pour nous faire aider et déposer une plainte. Dès que l’on pose ce choix-là, une bonne partie de l’infrastructure informatique reste indisponible pendant plusieurs semaines, pour les besoins de l’enquête.»
Selon la situation arrêtée au 4 août, le CHRSM a pu rétablir un réseau intermédiaire, très peu connecté vers l’extérieur, lui permettant de restaurer trois flux. D’abord tout ce qui relève de l’informatisation des dossiers patients, du laboratoire et de l’imagerie médicale. Ensuite les applications de gestion du personnel, des prestations horaires ainsi que les badges d’accès. Et enfin l’informatisation des applications financières et administratives, pour commencer l’encodage des piles de documents qui se sont accumulées. «Il a fallu repréparer le parc informatique en plusieurs vagues, réinstaller les applicatifs et leurs passerelles, tout cela dans ce réseau intermédiaire, expose Jérôme Massart. Viendra ensuite un réseau définitif, qui dépendra de nouvelles machines en cours d’arrivage. C’est cette bascule vers le réseau définitif que nous préparons pour le moment.»
«L’après-11-Septembre informatique»
Depuis 2019, les cyberattaques se multiplient à l’encontre des hôpitaux en Europe. Parmi les autres victimes en Belgique: le centre hospitalier de Wallonie Picarde (Chwapi), début 2021, le CHU Saint-Pierre, en mars dernier, et surtout, le réseau hospitalier Vivalia, en province de Luxembourg, dans la nuit du 13 au 14 mai 2022. C’est le groupe de hackers russophone LockBit qui était à l’origine de cette cyberattaque à l’ampleur jusqu’ici inégalée – Vivalia compte sept sites hospitaliers, quatre maisons de repos, trois crèches et une maison de soins psychiatriques. «Comme les hôpitaux fonctionnent en mode ouvert, on part encore du principe que tout est autorisé, sauf ce qui est explicitement interdit, témoigne Yves-Henri Serckx, responsable de l’informatique pour le groupe hospitalier. Mais depuis que l’on s’en prend au secteur des soins de santé, c’est la logique sécuritaire qui doit prévaloir. C’est-à-dire: tout est interdit, sauf ce qui est autorisé. Je l’ai dit à nos utilisateurs dans les jours qui ont suivi la cyberattaque: nous sommes à l’après-11-Septembre sur le plan informatique. Au total, nous avons mené trois cents projets de restauration sur dix sites en sept mois. J’estime que c’est une performance, d’autant que nous avons dû restaurer les données en parallèle.»
Pourquoi tant de cyberattaques à l’encontre des hôpitaux? «Ce sont des structures auxquelles on a demandé de se digitaliser très vite, commente Axel Legay, professeur à l’UCLouvain et spécialiste de la cybersécurité. Elles partagent beaucoup de données et fonctionnent en réseaux, y compris avec les universités. Cette digitalisation et cette mise en réseau accrue ont considérablement augmenté la surface d’attaque. Il ne faut pas oublier non plus que ce sont des structures dans lesquelles le personnel travaille sous tension. Il a donc moins de temps pour réfléchir quand il reçoit un e-mail de phishing. Si l’on ajoute à cela l’amplification du télétravail et le manque de moyens, tout est réuni pour faire des hôpitaux des cibles privilégiées.»
Outre la volonté de nuire à des institutions – l’«hacktivisme» a considérablement augmenté depuis la guerre en Ukraine – et le versement d’une éventuelle rançon, les hackers tentent parfois d’obtenir les données des patients, pour ensuite les valoriser sur le Darknet. «On le sait, les informations collectées dans un cadre médical sont très précises: nom, prénom, date de naissance et parfois le numéro de registre national, souligne Olivier Bogaert, expert à la Computer Crime Unit. Cela peut permettre à certains pirates d’usurper une identité voire, dans certains cas, d’ouvrir un compte en banque en fournissant les informations requises.» A côté de l’assistance de la Cert, les hôpitaux victimes d’un ransomware peuvent aussi compter sur «No More Ransom», un outil lancé par Europol permettant de lutter contre le cryptage des données. Dans le cadre de cette structure, plusieurs entités officielles liées à la cybersécurité s’attellent à analyser le logiciel installé pour trouver la clé de décryptage.
Un manque criant de moyens
Même en faisant appel aux meilleurs experts, la réponse à une cyberattaque se mesure en mois. «Pour éviter qu’une attaque se reproduise, il faut d’abord comprendre d’où elle vient, et donc laisser le système en mode dégradé, résume Axel Legay. Il y a souvent une dualité entre le responsable de la cybersécurité, qui veut enquêter, et le responsable du réseau, qui veut le refaire fonctionner au plus vite. Par ailleurs, il arrive que l’attaque soit toujours en cours: quand bien même vous réinstalleriez tout, le système serait à nouveau bloqué dès son redémarrage.» Et quand les experts identifient la clé de décryptage, le processus de restauration des données peut lui-même prendre des semaines.
De Vivalia au CHRSM, les hôpitaux n’ont pourtant pas attendu une attaque pour renforcer leur cybersécurité. Le hacking a souvent pour effet d’accélérer la transition vers des procédures informatiques plus sûres. «A présent, les méthodes d’authentification fortes constituent la norme pour toute connexion à distance au réseau de Vivalia, assure Yves-Henri Serckx. Il n’est, en outre, plus question de garder ce qu’on appelle une “vieille biquette”, c’est-à-dire cet appareil obsolète auquel tel médecin est habitué, ou cet ancien logiciel développé par une société qui a disparu du marché. Avant l’attaque, nous étions contraints de garder des machines fonctionnant encore sous Windows XP (NDLR: le système d’exploitation lancé par Microsoft en 2001, et dont le support a pris fin en 2014).»
Mais le manque de moyens financiers pour la cybersécurité des hôpitaux reste criant. «Pour la première fois au 1er juillet 2022, le secteur hospitalier a reçu un montant de vingt millions d’euros, à l’échelle nationale, rappelle Jérôme Massart. En 2023, cette enveloppe n’était déjà plus que de quatorze millions. A l’échelle du CHRSM, nous avons obtenu 300 000 euros en 2022 et 200 000 euros cette année. Pour une structure comme la nôtre, c’est totalement insuffisant. La seule utilisation d’outils de monitoring ou de gestion à distance d’un parc informatique coûte plus cher que cela.»
Ces attaques sont aussi épuisantes pour le personnel, comme le souligne le directeur d’hôpital. «Bien que l’on avance dans cette crise et que l’on essaie de donner un meilleur confort à nos équipes, la situation affecte leur seuil de tolérance. Je suis néanmoins émerveillé de voir à quel point tout le monde rame dans le même sens. Dès le départ, nous avons voulu continuer à assurer notre mission d’hôpital, dans une logique de proximité et d’accessibilité des soins, et je trouve cela beau.»
Pour l’avenir, Jérôme Massart se montre perplexe face à une politique encourageant encore chaque hôpital à bâtir sa propre citadelle de cybersécurité. «Ne serait-il pas plus opportun de mutualiser certains investissements? J’espère que l’arrivée de la directive NIS 2 entraînera un réveil politique, afin d’aboutir à une stratégie digne de ce nom.»
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici