Ces derniers mois, plusieurs hôpitaux français ont été touchés par des "rançongiciels", des virus informatiques qui cryptent les données de leurs victime et exigent une rançon. Le phénomène inquiète les autorités, qui encouragent à relever le niveau de sécurité informatique.

Le Centre Hospitalier d'Issoudun © Radio France / Sébastien Sabiron

Tout commence par un simple message texte, localisé dans la nuit du 3 au 4 octobre 2019 sur l'un des serveurs du Centre Hospitalier d'Issoudun dans la Nièvre (58). Le message, en anglais, réclame une rançon de 900 $, pour décrypter des données corrompues. Probablement introduit par un mail frauduleux, le "cryptovirus" atteint 300 ordinateurs en quelques heures et rend inaccessibles les centaines de dossiers patients de la structure.

"Transmissions" dans le service de médecine polyvalente © Radio France / Sébastien Sabiron

Immédiatement, l'hôpital passe en "mode dégradé". Les ordinateurs sont éteints et tous les personnels reviennent au papier et au stylo. C'est le cas aux urgences, en imagerie médicale et dans le service de médecine polyvalente, dirigé par le Dr Christian Dufrene :

À ce moment, c'est un peu la panique. On pense à toutes nos bases de données, toutes les procédures, tous nos protocoles, tout est informatisé. On se demande ce que l'on pourra récupérer, jusqu'où est allée l'attaque.

Rapidement, le service informatique constate que le cryptovirus vise uniquement le système d'exploitation Windows. Par chance, tous les logiciels métiers, qui gèrent les données des patients et des ressources humaines sont basés sur un système Linux. Le pire est évité. Malgré tout, 30 000 fichiers (Word, Excel) sont perdus à jamais. L'hôpital ne paye pas la rançon et investit dans un nouveau pare-feu informatique. Au total, l'attaque aura coûté 100 000 euros et l'établissement met plus de deux mois pour retrouver un fonctionnement normal.

Le service d'imagerie médicale a du imprimer les clichés sur papier pendant plusieurs jours © Radio France / Sébastien Sabiron

Les hôpitaux, des proies faciles

En 2019 plusieurs hôpitaux français ont été victimes de "cryptovirus", le cas le plus spectaculaire étant le CHU de Rouen, paralysé durant plusieurs semaines. Si les entreprises sont coutumières de ce type de chantage, les établissements hospitaliers font figure de proies faciles, "à la mode". Des proies faciles car moins bien protégées que certains secteurs plus attendus estime Emmanuel Gras, fondateur et président de la société Alsid, spécialisée en cybersécurité.

C'est plus facile de braquer trois bureaux de tabac plutôt qu'une seule banque. Dans le monde de l'informatique, avec un seul virus, vous pouvez braquer, cent mille ou dix-mille structures en même temps. Pour l'attaquant qui fonctionne un peu comme une PME, cela peut valoir le coup de rançonner un peu plusieurs structures qu'on imagine plus faibles d'un point de vue cybersécurité plutôt que d'autres secteurs d'activité comme la finance.

Le problème est pris très au sérieux par les autorités comme l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Son directeur Guillaume Poupard imagine un "scénario catastrophe", dans lequel un virus rendrait inopérante la machinerie médicale d'un hôpital, mettant en danger la santé des patients.

Guillaume Poupard, président de l'ANSSI © Radio France / Sébastien Sabiron

Pour s'en prémunir, l'ANSSI estime qu'il faudra "dégager suffisamment de ressources, dans des budgets globalement insuffisants, pour atteindre un juste niveau de sécurité." Pour bien faire, chaque établissement devrait investir 10% de son budget dans la cybersécurité. Une gageure pour l'hôpital public.