Mardi 9 février, une cyberattaque a paralysé l’hôpital de Dax. Tous les services furent touchés, et les blocs opératoires mis à l’arrêt. Ce piratage n’est pas un fait divers, même s’il est éclipsé par la thématique écrasante de la Covid. D’ailleurs, les patients Covid n’en sont pas épargnés. Compromettre le monitoring des patients en réanimation est un acte criminel.

Il sera très difficile d’identifier les pirates, et donc de les appréhender pour les juger. Surtout s’il s’agit d’informaticiens chevronnés – et on peut le penser, a fortiori s’ils sont hors de France. La Russie est souvent montrée du doigt. Quelle Russie ? Celles de hackers indépendants ou celle de serviteurs de Kremlin ? D’autres évoquent la Chine ou l’Iran… La seule manière d’aborder la question de la responsabilité est d’assimiler le piratage à du terrorisme : l’État qui laisse faire est aussi coupable que s’il faisait lui-même. L’Europe n’a que peut de moyen de contre-attaquer. Elle devra principalement se contenter de se défendre, de protéger ses systèmes, de mieux former ses directeurs des systèmes informatiques, de sensibiliser tous les personnels. Par contre, ceux qui s’amusent à attaquer les États-Unis risquent de comprendre à leurs dépens que l’oncle Sam peut les écraser. Si l’administration américaine, a fortiori aidée par les GAFAM, décidait d’une attaque informatique massive contre un pays, les dégâts seraient considérables.

En réalité, ce qui est arrivé à l’hôpital de Dax n’a rien d’étonnant. Dans un entretien accordé au Monde.fr en 2016, Cédric Cartau, responsable sécurité des systèmes d’information au centre hospitalier universitaire (CHU) de Nantes et Pays de la Loire, soulignait : « Il y a environ mille hôpitaux en France, mais à peine cinquante responsables sécurité des systèmes d’information. La situation n’est pas plus enviable dans les structures privées, et c’est encore pire dans le médico-social. Dans 95 % des cas, il n’y a personne pour se préoccuper de sécurité informatique ».

Cinq ans plus tard, la sécurité informatique est loin d’être la première préoccupation des responsables informatiques. Leur souci, c’est que tout fonctionne au quotidien, dans un environnement de plus en plus numérique. Pourtant, le piratage d’un établissement sanitaire, voire de l’assurance maladie, peut avoir des conséquences multiples. Outre le blocage de l’hôpital, comme à Dax, les dossiers de milliers de patients (ou ceux de quelques notables !) peuvent se retrouver sur le Darknet, voire sur Facebook. À l’heure des smartphones, des réseaux, des objets connectés, cela ne relève plus de la science-fiction. Aux États-Unis, des rançons de 100.000 € ont été payées par des hôpitaux pour récupérer les données de leurs patients, données qui restent toutefois définitivement partagées avec les rançonneurs. Le Centre hospitalier universitaire (CHU) de Rouen a d’ailleurs été victime d’une telle attaque en novembre 2019. L’hôpital a refusé de payer les 40 bitcoins, soit environ 300 000 euros, qu’auraient exigés les rançonneurs. Il faut espérer qu’il possédait une sauvegarde à jour de ces dossiers, mais ceux-ci demeurent aux mains des rançonneurs. Qu’en ont-ils fait ? Qu’en feront-ils ? Les cyberattaques contre les établissements de santé se multiplient : 120 établissements du privé Ramsay-Générale de Santé ont été attaqués. On rapporte également des actions contre des établissements d’Albertville (Savoie), de Montpellier (Hérault), de Saint-Denis (Seine-Saint-Denis) ou de Condrieu (Rhône)… 

En France, l’hôpital est en passe d’achever sa numérisation. Le mot clé est le DPI, le Dossier Patient Informatisé. A Dax, la cyberattaque de mardi a rendu inaccessibles les dossiers des patients. On saura peut-être plus tard s’ils ont également été téléchargés par les hackers. Contrairement à une idée reçue, la sécurité informatique est autant l’affaire de l’utilisateur final (à l’hôpital, l’équipe de soins et les administratifs) que du service informatique. Les hôpitaux, les grandes administrations et entreprises victimes de piratage (Saint-Gobain, BNP Paribas, Auchan, Deloitte, Netflix, Uber, la SNCF, le Trésor américain…), avaient tous des responsables informatiques a priori compétents. Et pourtant…

Ce constat a conduit notre partenaire formation, l’IDP, en partenariat avec Opinion Internationale et des informaticiens hautement qualifiés, à réaliser un didacticiel vidéo consacré aux bonnes pratiques de l’utilisateur final. Comme en matière sanitaire, la prévention est l’affaire de tous. A Dax, il est fort probable que si les gestes barrière informatiques avaient tous été respectés, les dégâts auraient au moins pu être minimisés. Du moins, la remise en route des systèmes aurait vraisemblablement été plus rapide. Quels exemples de fautes habituelles : sauvegardes non effectuées ou non protégées, mise à jour de sécurité du système d’exploitation remise au lendemain, mot de passe sur un post-it, poste de travail non verrouillé, gestion des droits d’accès insuffisante, voire inexistante, disques non chiffrés, accès aux ports USB non restreints, messagerie non sécurisée (pas de chiffrement, pas de sensibilisation des utilisateurs aux faux mails avec faux lien de désinscription, pièces jointes contenant un virus ou équivalent non reconnu par l’antivirus, qui lui-même, n’est pas toujours mis à jour), firewall et Wifi mal paramétrés, machines et unités de stockage obsolètes non détruites, audit non effectué malgré les obligations du RGPD…

Le propos n’est pas d’accabler les établissements sanitaires ni leurs responsables informatiques. Ils sont au four et au moulin, courant d’un service à l’autre, ici parce qu’on ne peut accéder aux dossiers numériques ou qu’on a oublié son mot de passe, là parce que l’image se fige lors d’une visioconférence… Faire reposer toute la sécurité informatique d’un établissement sanitaire, comme d’ailleurs de toute entreprise ou établissement sur le seul service informatique, c’est comme si on réduisait la lutte contre la Covid-19 aux seuls services de réanimation. D’ailleurs, ce fut longtemps le cas !

En revanche, on se demande pourquoi l’Etat, par le truchement du ministère de la Santé et des ARS, n’a rien entrepris pour renforcer significativement la sécurité informatique des établissements sanitaire, en particulier en formant tous les personnels à ces véritables gestes barrières informatiques. Puisse la cyberattaque contre l’hôpital de Dax, une de plus, une de trop peut-être, servir de leçon. Hélas, la réponse politique risque d’être l’aggravation de peines contre les hackers… qu’on n’attrape quasiment jamais !

Michel Taube

Raymond Taube

Rédacteur en chef d’Opinion Internationale et Directeur de l’IDP – Institut de Droit Pratique,