Nathalie – prénom d'emprunt – a vécu une cyberattaque de près. Employée dans un hôpital du réseau Vivalia ciblé en 2022, elle nous raconte que les employés “n'avaient plus le droit d'allumer aucun PC. On n'avait plus accès à rien, plus aucune information sur les patients. Certaines activités, comme les opérations non urgentes, ont dû être mises à l'arrêt. Les assurances ne voulaient plus assurer les médecins qui opéraient sans dossiers médicaux”. Panique à bord: serveurs coupés, consultations annulées, informations personnelles inaccessibles, les attaques coupent les hôpitaux du reste du monde et représentent un réel danger pour la santé de leurs patients et la confidentialité des données.

La Clinique André Renard, piratée en 2019 et 2021, a chiffré le coût de ce dernier incident à 300.000 euros, avec 70 des 120 serveurs cryptés et 100 millions de fichiers infectés en seulement quelques heures. La Clinique Saint-Luc, elle, a été prise en otage, confrontée à un choix complexe: payer ou non une rançon de 150.000€ pour retrouver une situation normale, tout en finançant un groupe criminel.

La Clinique André Renard, la Clinique Saint-Luc Bouge, le Centre Hospitalier de Wallonie picarde, le réseau Vivalia et le Centre Hospitalier Régional Sambre et Meuse, ont tous en commun d'avoir été victimes de cyberattaques.

La méthode la plus commune pour entrer frauduleusement dans un système informatique s'appelle le phishing. Les hackers, via des mails ou des SMS par exemple, tentent de piéger une victime en l'incitant à cliquer sur un lien ou à télécharger un fichier qui contient un logiciel malveillant. L'attaquant se fait passer pour quelqu'un d'autre afin d'induire sa cible en erreur, gagnant sa confiance ou en jouant sur la peur. Il peut faire croire que “votre” banque vous signale des mouvements d'argent suspects, par exemple, ou que “votre” fournisseur d'énergie a une prime à vous verser.

Les hackers peuvent donc rentrer dans le système afin de le crypter, rendant les données illisibles et inutilisables. Certaines données peuvent aussi être subtilisées: noms, mails, mots de passe, dossiers médicaux, numéros de Sécurité sociale, etc.

Dans un second temps, grâce aux données volées, les hackers connaissent mieux leurs victimes et peuvent ainsi personnaliser les futurs messages envoyés à leur encontre afin de mieux les manipuler (spear phishing).

Une autre méthode de hacking peut consister, simplement, à laisser une clé USB infectée dans un lieu public comme un parking ou une cafétéria. Un employé curieux l'insérera dans son ordinateur pour en découvrir le contenu… qui infiltrera son ordinateur et son réseau professionnel.

Les employés sont donc utilisés comme des portes d'entrée vers le réseau informatique du lieu dans lequel ils travaillent.

Les hôpitaux, vulnérables donc vénérés

Le Conseil fédéral des Établissements hospitaliers (CFEH) émet des avis à l'intention du gouvernement en matière de politique hospitalière. Dans une note de décembre 2021, il confirme que 3 attaques majeures perpétrées contre les hôpitaux en 2021 ont entraîné des “conséquences lourdes sur la prestation de services et d'éventuelles implications sur la qualité des soins. Il ne s'agit donc plus d'événements fortuits, mais d'une preuve que le secteur des soins de santé en général (et les hôpitaux en particulier) est une cible de choix pour ce type d'attaque.”

Plusieurs facteurs peuvent expliquer la vulnérabilité des hôpitaux:

Il est difficile de former de nombreuses équipes, déjà en surcharge de travail. Ces équipes sont de plus en plus en interaction avec des outils informatiques, ouvrant ainsi de nouvelles potentielles failles. Selon l'APD, ce sont les erreurs humaines qui sont à l'origine de près de la moitié des cas de violations de données. Les hôpitaux ont en leur possession des données liées à la santé, considérées comme des données “sensibles” par le règlement européen de protection des données personnelles (RGPD). Ces données, si elles sont dérobées, peuvent donc se revendre cher. Les institutions de soins sont de plus en plus interconnectées avec des fournisseurs, des universités, des clients… Les hôpitaux ont par définition un environnement avec de multiples portes d'entrée et ils sont parfois simplement les victimes collatérales d'une attaque perpétrée contre un organisme avec lequel ils travaillent, comme des prestataires connectés à distance à leur matériel médical par exemple.

“Cela fait longtemps que les hôpitaux se sont lancés dans la numérisation: planification des horaires, logiciel de paye… Mais aujourd'hui le scope de la digitalisation s'est élargi: dossiers médicaux partagés, ordinateur pour l'ensemble du personnel, formulaire de livraison en ligne avec les fournisseurs, etc... Les hôpitaux ont longtemps travaillé en vase clos, mais ce n'est plus le cas aujourd'hui”, explique Axel Legay, professeur à l'École polytechnique de l'UCLouvain et spécialiste en cybersécurité. Ces éléments offrent de plus en plus d'opportunités pour les hackers. Et le futur semble ouvert à la digitalisation croissante des services, comme les opérations à distance par exemple, ouvrant d'éventuelles failles. La multiplication des interfaces de contact avec les potentielles victimes (email, WhatsApp, réseaux sociaux…) et le développement de l'intelligence artificielle (imitation des voix), vont aussi permettre aux cyberattaques de devenir de plus en plus créatives et personnalisées.

Selon lespecialiste.be, site d'actualité des médecins spécialistes, “les hôpitaux belges consacrent environ 3 à 4% de leur chiffre d'affaires à l'informatique. Aux États-Unis, le budget informatique représente environ 10% du chiffre d'affaires des hôpitaux.” Il peut sembler difficile, vu le contexte budgétaire, d'imaginer consacrer une enveloppe plus importante à la cybersécurité quand on sait qu'à Bruxelles et en Wallonie, près de la moitié (43,24%) des hôpitaux affichaient une perte courante en 2021, comme nous l'écrivions dans notre article sur l'état des finances des hôpitaux.

Nombre d'attaques: la difficulté de se faire une idée

Lorsqu'un hôpital est attaqué, il peut contacter le service opérationnel du Centre pour la Cybersécurité Belgique (CCB). Ces équipes accompagnent et aident à réagir durant cette période de crise. La notification des incidents cyber par les hôpitaux n'est pas obligatoire, “et nous ne disposons pas de données sur le nombre de cyberattaques”, nous indique le CCB, alors qu'un formulaire spécifique pour les hôpitaux est présent sur leur site pour signaler une attaque. Premier mur, donc, pour connaître le nombre d'hôpitaux impactés. Les victimes sont, par contre, obligées de notifier la violation des données à l'APD, l'Autorité de protection des données, qui… ne communique pas “les chiffres exacts de fuites notifiées par un type spécifique d'organisation”. Deuxième mur.

Une lecture de leur rapport annuel nous donne cependant une idée du nombre d'hôpitaux victimes, en 2022, d'un rançongiciel – un logiciel qui prend en otage les données personnelles en les cryptant.