Le secteur de la santé, hôpitaux en tête, est la première cible des attaques de ransomwares. D’ici à 2020, elles devraient quadrupler selon CSO Online. Rien qu’en France, 478 incidents liés à la cybersécurité ont été signalés à l’Agence des systèmes d'information partagés de santé (Asip) depuis octobre 2017. Retour sur cinq exemples de cyberattaques en milieu hospitalier parmi les plus marquantes.
WannaCry : le « rançongiciel » qui a secoué la NHS
En mai 2017, la cyberattaque WannaCry s’en prend au système de santé britannique (NHS). En exploitant une faille Windows, les hackers parviennent à infecter au moins 16 centres de santé et 200 000 ordinateurs, ce qui conduit à annuler près de 20 000 consultations et paralyse plus de 1 200 équipements de diagnostic.
L’hôpital pour enfants de Boston victime d’une attaque DDoS
Trois ans auparavant, c’est via une attaque DDoS (par déni de service) qu’un hacker s’en était pris à l’hôpital pour enfants de Boston. Le manque à gagner pour l’établissement, dont la page de dons était indisponible, s’élevait à 300 000 dollars. Soit la somme dépensée pour réparer le système informatique.
Les appareils respiratoires et d’anesthésie face au risque de « medjack »
La technologie est de plus en plus présente dans les structures de santé. Avec elle, le risque de « medjack » ou de piratage d’appareils médicaux augmente comme l’illustre la faille de sécurité découverte par des chercheurs dans des produits respiratoires et d’anesthésie de General Electric. Cette vulnérabilité, facilement exploitable d’après le Département de la Sécurité intérieure des États-Unis, n’a pour l’instant pas été corrigée par le groupe industriel américain.
« Hameçonnage » au CHU de Montpellier
L’hameçonnage, ou phishing, est la menace la plus répandue selon le Baromètre de la Cybersécurité des entreprises publié par le CESIN. Un employé du CHU de Montpellier en a fait la malheureuse expérience en mars 2019 : l’e-mail qu’il a ouvert contenait un virus qui a infecté plus de 600 ordinateurs. Heureusement, l’utilisation de réseaux internes indépendants a permis d’éviter la propagation à l’ensemble du parc de 6 000 machines.
Blue Cross fait les frais d’une erreur humaine
Si ces attaques malveillantes sont impressionnantes, les incidents sont parfois les résultats de négligences ou d’un manque d’informations. Ainsi en avril 2018, un employé de l’organisme américain d’assurance maladie Independence Blue Cross met en ligne par erreur un fichier contenant les données personnelles et médicales de près de 17 000 patients. Une erreur humaine que la société va mettre deux mois à détecter.
Voilà qui rappelle l’importance de la sensibilisation aux bonnes pratiques de cybersécurité… même pour les professionnels de santé.
