Vincent Trély (APSSIS) : « N’importe qui peut acheter sur le darknet un cryptovirus »

Par

Publié le 17/02/2021

Article réservé aux abonnés

Le président et fondateur de l'Association pour la sécurité des systèmes d'information de santé (APSSIS) décrypte les récentes cyberattaques dont ont été victimes plusieurs hôpitaux et livre ses pistes pour renforcer leur sécurité. Entretien.

LE QUOTIDIEN : Les hôpitaux de Dax et de Villefranche-sur-Saône ont été récemment victimes d'attaques informatiques, comment expliquez-vous la recrudescence de cette menace ?

VINCENT TRÉLY : On peut citer aussi les hôpitaux d'Albertville et de Narbonne, touchés pendant la période des fêtes et l'attaque contre le CHU de Rouen en 2019. Cela fait trois ou quatre ans que ça dure avec une fréquence relativement importante. C'est quasiment toutes les semaines qu'un établissement de santé, peu importe sa taille, est victime d'une cyberattaque. La première explication à cela est lucrative. L'objectif est de gagner de l'argent et sur l'ensemble des cyberattaques au niveau international, il y a entre 20 % et 30 % des personnes attaquées qui payent. Cela représente plusieurs milliards de recettes par an.

Mais c'est aussi une pratique qui se démocratise. N'importe qui peut acheter sur le darknet un cryptovirus et une base de données d'e-mails pour quelques milliers d'euros. Alors que pendant longtemps la cybercriminalité était réservée à une élite informatique, on arrive aujourd'hui à des outillages qui sont à la portée du premier délinquant pas trop idiot.

Pourquoi les hôpitaux sont-ils des cibles privilégiées ?

Deux choses peuvent intéresser les pirates. La première c'est le vol des données de santé. Il y a un marché. Un dossier médical vaut environ 250 dollars. Mais les hôpitaux font face aujourd'hui plus souvent à des rançongiciels qui chiffrent toutes les données en échange d'argent pour débloquer la situation. C'est intéressant car l'hôpital est un lieu de production intensif. Cela représente des centaines d'infirmières et de médecins qui ont besoin d'accéder constamment à leur ordinateur. On peut imaginer qu'un établissement qui est bloqué paye la rançon car il n'a pas le temps de passer trois semaines à réparer son système d'information.

Face à cette menace, on peut dire qu'il y a deux mondes aujourd'hui. L'un n'est plus tellement visé parce que le niveau de sécurité y est très élevé. Il s'agit des sociétés qui ont commencé à se préoccuper de cela il y a 25 ans : les banques, les grandes compagnies d'assurance et les industries de pointe. Donc les pirates se tournent vers d'autres cibles moins matures. Dans les hôpitaux ou dans les mairies par exemple, on retrouve de l'informatique encore souvent vieillotte. Cela crée des fragilités vers lesquelles se détournent les agresseurs.

Comment les hôpitaux peuvent-ils se protéger ?

Il n'y a pas d'antivirus miracle, c'est un ensemble. D'abord il faudrait que tous les systèmes d'information soient convenablement à jour. Les cryptovirus sont connus et s'attaquent plus souvent à des systèmes obsolètes. Par exemple, si vous êtes sous la dernière version de Windows, vous réduisez de 95 % les risques. Il faut aussi mettre à disposition des équipes informatiques des outils de sécurité, de supervision ou de gestion de comptes sophistiqués. Cela permet de détecter plus vite la menace et de la stopper.

Enfin il faut sensibiliser les usagers. Tout part souvent de quelqu'un qui clique sur un mail viral. Mais aujourd'hui, imposer des mots de passe à huit caractères que l'on change tous les six mois, c'est très compliqué dans un hôpital. Il faut se heurter à la communauté médicale. Ce n'est pas non plus évident de faire comprendre au directeur général qu'il faudrait dépenser 100 000 euros pour acheter des outils dont personne n'entendra parler et pour se protéger d'une menace qui n'arrivera peut-être jamais.

Y a-t-il une prise de conscience politique de cette menace ?

En France, on a commencé à parler de sécurité des systèmes d'information à l'hôpital à partir de 2013, pas avant. Il y a eu un premier plan de financement à hauteur de 430 millions d'euros baptisé « Hôpital numérique ». Puis c'est en 2015 qu'est née la politique de sécurisation des ministères sociaux. Et petit à petit est arrivé le règlement général sur la protection des données personnelles (RGPD) en 2018. Tout cela progresse mais dans un environnement contraint financièrement.

Il y aurait un intérêt à mutualiser le pilotage de la cybersécurité. Il faudrait un pilotage régional pour doter tous les hôpitaux, peu importe leur taille, des mêmes outils de sécurité. En parallèle, il faudrait au niveau national un programme de financement ciblé et non négociable. Mais je suis optimiste. Pour la première fois en novembre 2019, la ministre de la Santé a fait de la cybersécurité une priorité nationale. Il y a une prise de conscience politique de plus en plus forte mais il reste beaucoup de travail.