Cyberattaques sur des hôpitaux : j’interroge le ministre

Deux cyberattaques ont en une semaine paralysé deux hôpitaux français, en pleine pandémie, alors que ces établissements sont indispensables à la riposte sanitaire.

J’ai co-rédigé avec Alexandra Valetta-Ardison un rapport sur la cyberdéfense, présenté à la commission de la Défense nationale et des forces armées en juillet 2018. Les auditions menées dans ce cadre avaient déjà permis d’identifier le secteur de la santé comme vulnérable à certaines cyberattaques.

En période pandémique, les attaques se multiplient.

Question écrite au gouvernement posée le 23/02/2021 :

M. Bastien Lachaud interroge M. le ministre de la Santé sur la sécurité informatique des hôpitaux français.

L’hôpital de Dax a été victime d’une cyberattaque. Le système informatique est inutilisable : données médicales, coordonnées des patients, mais aussi logiciels permettant de réaliser des soins en radiothérapie ou cancérologie. Le centre de vaccination contre la Covid-19 est suspendu jusqu’à nouvel ordre, dépendant entièrement d’un système informatique. L’arrivée de nouveaux patients est limitée au maximum, les patients sont injoignables pour reporter les rendez-vous. Les malfaiteurs ont installé un logiciel qui bloque le système informatique, et réclame une rançon pour les débloquer. Moins d’une semaine plus tard, l’hôpital de Villefranche-sur-Saône a également été victime d’une cyberattaque. Les interventions chirurgicales ont dû être déprogrammées et les patients qui ont besoin de se rendre aux urgences sont redirigés ailleurs. 

Une situation est catastrophique, et particulièrement criminelle en pleine pandémie. Mais ces attaques ne sont pas lres premières : en décembre dernier, à Narbonne, à d’Albertville-Moutiers, l’AP-HP en 2020. En 2019, le CHU de Rouen avait été touché par une cyber attaque d’ampleur.

Les rançongiciels sont des logiciels installés à l’insu de l’utilisateur, qui peuvent bloquer le système informatique. Les données sont inaccessibles, et peuvent faire l’objet d’un chantage pour leur restitution ou leur non divulgation. Les attaquants réclament alors une rançon en promettant un retour à la normale si elle est payée.

En mai 2017, le rançongiciel WannaCry,était parvenu à infecter plus de 300 000 ordinateurs, dans 150 pays. Victime parmi d’autres de cette attaque, le service national de santé britannique (NHS) avait été durement touché et le fonctionnement de certains services gravement affecté. Plus récemment, fin 2020, 400 hôpitaux aux Etats-Unis ont été attaqués informatiquement.

Le nombre d’attaques au rançongiciel est en nette hausse en 2020, selon un rapport de l’ANSSI publié le 1er février 2021 : alors que 54 incidents liés à des rançongiciels ont été signalés à l’ANSSI en 2019, l’Agence a enregistré une hausse de 255 % en 2020 avec 192 incidents rapportés. Dans une réponse à une question orale au Sénat, le secrétaire d’Etat chargé de la Transition numérique et des Communications électroniques a indiqué qu’il y avait eu 27 attaques majeures sur des hôpitaux en 2020, et une par semaine depuis 2021.

Le rapport de l’ANSSI affirme que « les hôpitaux et autres entités du secteur de la santé représentent globalement l’une des cibles privilégiées des attaquants » et que la tendance s’est « accrue en 2020, notamment dans le contexte de pandémie liée à la Covid-19 ». Celui-ci pousserait « plus facilement les hôpitaux à payer la rançon au vu du besoin critique de continuité d’activité ».

Le rapport conclut que « Les revenus générés par les attaques par rançongiciel et l’émergence d’assurances et de sociétés de négociation validant leur modèle économique suggère que le phénomène rançongiciel continuera à croître dans les années à venir », et souligne que de telles attaques peuvent « en danger la vie des patients » pour ce qui est des attaques ciblant le système de santé.

Par ailleurs, des plateformes privées de prise de rendez-vous médicaux avec lesquelles collaborent les services publics, comme Doctolib (en partenariat avec la sécurité sociale, avec l’AP-HP depuis 2017, pour la gestion des rendez-vous de vaccination contre la Covid-19) présentent des failles de sécurité informatique. Celles-ci sont à même de mettre en danger la sécurité des données de santé des patients, le secret médical, voire de perturber l’organisation de la campagne de vaccination si elles étaient exploitées. La plateforme s’est fait pirater des données relatives à des rendez-vous médicaux à l’été 2020 par exemple.

M. Bastien Lachaud a présenté en juillet 2018 un rapport parlementaire à la commission de la défense nationale et des forces armées. Le rapport analyse de tels risques, et comporte des propositions pour améliorer la résilience du pays face aux cyberattaques, notamment ses hôpitaux.

Aussi, M. Bastien Lachaud souhaite-t-il savoir ce que le ministre a fait depuis les premières alertes en 2020, et compte faire pour améliorer la résilience de notre système de santé face aux cyberattaques qui risquent de se démultiplier dans les prochaines années.