Entre 2022 et 2023, trente hôpitaux français ont fait l’objet d’une cyberattaque par rançongiciel, selon un «état de la menace informatique» de la santé publié jeudi 7 novembre par l’Anssi, gardien de la sécurité informatique française.
Le bilan est certain. « En 2022 et 2023, l’Anssi a été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé », qui « représentent 10 % des incidents liés à des rançongiciels signalés à l’Anssi sur cette période ». En 2022, l’attaque contre le centre hospitalier sud francilien à Corbeil-Essonnes avait notamment entraîné le transfert de nouveau-nés du service de néonatologie dans un autre hôpital, et la paralysie d’automates d’analyse biologique. Onze gigaoctets de données avaient été volés simultanément, puis été publiées en ligne par les pirates.
Interrogé par l’AFP, le directeur général de l’Anssi Vincent Strubel a estimé que les hôpitaux aujourd’hui parvenaient mieux à maîtriser les conséquences de ces attaques. « Ce qu’on observe aujourd’hui, ce sont des hôpitaux qui réagissent vite et bien aux attaques et parviennent à empêcher la propagation d’une attaque à l’ensemble de l’informatique d’un hôpital », a-t-il indiqué.
Des risques pour les dispositifs médicaux connectés
Les attaques « entraînent des gênes significatives pour le fonctionnement » des établissements « pendant quelques semaines », mais « on ne voit plus […] de paralysie quasi complète de l’informatique », nécessitant « des mois » de travail pour rétablir un fonctionnement normal, explique-t-il. Pour autant, « les attaques continuent à engendrer de la gêne, il y a des vols de données, donc on ne peut pas se contenter » de la situation actuelle et il faut poursuivre les efforts pour améliorer la défense des hôpitaux, a-t-il estimé.
En 2024, deux hôpitaux ont été encore été victimes de cyberattaques significatives, l’hôpital d’Armentières, en février 2024, et l’hôpital de Cannes, en avril 2024. Dans sa note, l’Anssi mentionne d’autres risques cyber pesant sur le secteur de la santé, et en particulier le risque lié aux dispositifs médicaux connectés. Elle rappelle ainsi qu’en septembre 2022, la société Medtronic « a rapporté une vulnérabilité affectant ses pompes à insuline », rappelle l’institution.
Cette vulnérabilité désormais corrigée pouvait notamment « permettre à un attaquant d’avoir un accès non autorisé à une pompe à insuline, et d’augmenter ou de baisser le dosage d’insuline administré », indique l’Anssi.
En février 2024, les spécialistes français de la gestion du tiers payant Almerys et Viamedis ont également été victimes d’attaques informatiques « qui ont entraîné la fuite de données personnelles de plus de 33 millions de personnes, soit près de la moitié de la population française », rappelle également l’Anssi.