Par Stéphane Astier et Anne Charlotte Andrieux
Vingt-sept cyberattaques ont ciblé des hôpitaux français en 2020, et environ une attaque par semaine est recensée depuis le début de l’année 2021.
L’attaque informatique du CHU de Rouen fin 2019 était visiblement le signe annonciateur d’une série d’attaques informatiques par cryptolocker ciblant le secteur médical français. Après les des hôpitaux de Dax et Villefranche-sur-Saône victimes d’attaques par rançongiciel en ce début d’année, une trentaine de laboratoires de biologie médicale investiguent sur une attaque ayant permis la divulgation sur internet des données médicales sensibles de près de 500 000 personnes.
Le 19 février dernier, l’Agence du numérique en santé a indiqué qu’une liste de 50 000 identifiants de connexion d’agents de centres hospitaliers étaient en vente sur un forum cybercriminel faisant craindre de nouvelles attaques dans les semaines à venir.
Au-delà des répercussions techniques que l’on connait, ces récentes actualités ont révélé les répercussions humaines dévastatrices induites par des attaques ciblées dans le secteur médical.
Les deux hôpitaux de Dax et Villefranche-sur-Saône ont été forcés d’interrompre des soins et de fermer des centres de vaccination contre le Covid-19. Ces actions s’inscrivent dans un contexte général de recrudescence des attaques informatiques dont l’ANSSI constate une augmentation de plus de 255% entre 2019 et 2021.
Un cryptolocker est un logiciel malveillant de type cheval de Troie qui, lorsqu’il est activé, a pour effet de verrouiller l’accès à des fichiers ou à des machines entières. Les systèmes concernés sont alors chiffrés par clé publique et privée.
Les logiciels de type crypto-verrouilleur sont fréquemment employés dans le cadre d’attaque dite ransomware ou par rançongiciel qui ont pour effet de prendre en otage des données. La clé permettant de déverrouiller les machines infectées est conservée par l’attaquant qui sollicite le versement d’un paiement en échange de la clé de déverrouillage.
Ce type d’attaque opportuniste permet de cibler des données stratégiques pour la victime afin d’optimiser les chances de versement d’une rançon. Le seul objectif étant de maximiser les espoirs de gains, les attaquants ne laissent nulle place aux états d’âmes.
Les attaques des derniers mois démontrent que les attaquants ont volontairement ciblé un secteur fragilisé par la crise sanitaire et ont tenté de faire pression en procédant au chiffrement des données les plus sensibles : les dossiers médicaux des patients.
Afin de limiter la propagation du virus, l’hôpital de Villefranche-sur-Saône n’a eu d’autre choix que de couper les accès à son système d’information et de déconnecter l’ensemble des postes de travail à l’exception du standard des urgences. Les services ont dû fonctionner en mode dégradé pendant plusieurs semaines et monter, à la hâte, une cellule de crise afin d’assurer la prise en charge des patients les plus urgents en soins continu et en réanimation.
Article central du Règlement du la protection des données, l’article 32 impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées au regard des risques et du degré de probabilité de leur survenance afin de garantir un niveau de sécurité adapté.
Parmi les mesures recommandées, pour garantir la confidentialité des données, les responsables de traitement peuvent notamment recourir à la pseudonymisation et au chiffrement des données. Ces mesures ne seront toutefois que d’une utilité relative dans l’hypothèse d’une attaque par rançongiciel visant non pas seulement à accéder aux données mais aussi et surtout à les rendre indisponibles.
Par conséquent, ces mesures devront être doublées par différentes actions permettant de garantir la disponibilité des données en cas d’incident et de procédures visant à tester et évaluer régulièrement l’efficacité des dispositifs de protection mis en œuvre (p.ex. : tests d’intrusion, simulations de gestion de crise, exercices de récupération etc.).
Sur ce point, les DSI & RSSI sont en première ligne pour protéger les systèmes informatiques en mettant en œuvre des mesures barrières : sécurisation des postes, mises à jour régulière des anti-virus, sauvegardes à froid, pares-feux munis d’options de détection avancées, sensibilisation périodique des équipes, etc.
Pour être efficaces, ces mesures techniques doivent s’accompagner de mesures organisationnelles appropriées permettant une gestion pertinente des habilitations et des accès des utilisateurs (mots de passe fort mis à jour régulièrement, restrictions les privilèges administrateurs, surveillance des logs etc.).
Un pilotage des risques efficient nécessite, au préalable, de se doter d’outils juridiques appropriés.
Si le recours aux antivirus et autres pares-feux se généralise massivement, trop peu d’acteurs se sont dotés de procédures formalisées en matière de sécurité informatique et de gestion de crise. Ces procédures constituent pourtant des outils de pilotage précieux en amont de la crise, pendant la crise et en aval de celle-ci.
En amont, il appartient notamment aux organismes de :
Une gestion efficiente des situations de crise nécessite de prévoir des procédures à suivre dès la survenance de l’incident et tout au long de la crise en adoptant une politique de gestion des incidents.
L’objectif de ce document essentiel est de définir les typologies d’incidents (internes – externes), de fixer le cadre organisationnel et les responsabilités afférentes à la réponse à apporter à ces incidents tout en rappelant les principes légaux applicables à la fixation de la preuve et à la qualification des faits à l’origine de l’incident (vol de fichier, attaque Dos, usurpation d’identité, abus de confiance, intrusion frauduleuse etc.).
Il s’agit également de répondre à un impératif imposé par l’article 32 du RGPD qui fixe une obligation générale de sécurité et de confidentialité.
Une fois le temps de la crise passé il appartient aux acteurs de faire le bilan de la gestion de crise et d’identifier ce qui peut être amélioré. L’erreur consisterait à relâcher le niveau de vigilance lors du retour à la normale.
L’après-crise permet en effet d’analyser la gestion de crise avec un nouveau regard, d’identifier ce qui doit être amélioré et de mettre en place un plan de remédiation adapté. Cette phase est stratégique pour prévenir la survenance d’une nouvelle attaque .
Afin de maintenir le niveau de vigilance et de renforcer la sensibilisation des équipes, il est recommandé d’adopter une stratégie de prévention durable et d’effectuer un exercice de gestion de crise cyber régulièrement (une fois par an).
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 20 ans en droits des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.