Le 16 octobre, les visiteurs du site web de Psychiatrie Bâle-Campagne (PBL) étaient accueillis par un message d’alerte: «Mesdames, Messieurs, Psychiatrie Bâle-Campagne n’est joignable que par téléphone. Les e-mails ne fonctionnent pas. La panne est due à des soucis techniques.» Derrière cette annonce mystérieuse se cachait en réalité l’attaque d’un groupe de hackers, à l’origine du blocage des réseaux de l’institution bâloise.PBL n’a pas souhaité répondre à nos questions, ce qui est courant dans ce type de cas. En effet, on veut éviter d’entrer dans le jeu des éventuels maîtres-chanteurs, qui demandent une rançon pour rouvrir l’accès aux données. Plusieurs médias ont toutefois rapporté l’incident, indiquant que le centre était temporairement contraint de recourir au papier et au crayon pour poursuivre son activité [1,2,3,4,5,6].Depuis quelques années, les cyberattaques se multiplient dans les hôpitaux et cabinets médicaux en Suisse. On ne dispose pas de statistiques officielles, puisque le signalement des attaques n’est pas obligatoire. Le rapport du magazine «Beobachter» comptabilise plus de 100 institutions de santé touchées l’an dernier, et la tendance va croissant selon les experts de la branche [7]. «La raison est que les données volées aux hôpitaux et cabinets médicaux sont, en vertu de la loi, particulièrement sensibles. Leur vol met une énorme pression sur les institutions concernées, ce qui les pousse à accepter les demandes de rançon», explique Lucas Schult, expert IT et directeur général de Health Info Net.

Les e-mails comme porte d’entrée

Lucas Schult déconseille par principe d’accepter le chantage. Car nul ne sait si les cybercriminels débloqueront effectivement totalement les données, une fois les fonds reçus. De plus, l’argent versé pourra être utilisé pour d’autres attaques. Rien n’empêche aussi les hackers, malgré le versement de la rançon, de publier les données volées sur le darknet.Les criminels s’infiltrent presque toujours via des e-mails contaminés. Le logiciel malveillant peut aussi être téléchargé sous forme de PDF depuis Internet ou via des comptes mails, puis endommage le système du cabinet médical ou de l’hôpital. Certaines attaques interviennent ainsi à travers l’envoi de publicités au format PDF contenant des codes cachés, sans que les destinataires puissent se douter de quoi que ce soit.

Ce que l’on peut faire

La première chose que doit faire un cabinet médical ou un hôpital qui constate une attaque en cours est de couper les accès Internet aux systèmes de données. Cela empêche les hackers de continuer à voler les données qu’ils n’ont pas encore récupérées. Pour les institutions de santé, se préparer en amont à d’éventuelles cyberattaques est tout aussi important que les mesures à mettre en œuvre après coup. «Car l’une des choses les plus essentielles en cas de cyberattaque est d’avoir un concept de back-up adéquat des données de santé des patients. Il assure la restauration des données initiales après une attaque par blocage des données», explique Lucas Schult. Car on dispose encore des données cryptées de la dernière sauvegarde et l’activité peut reprendre sans avoir à payer de rançon.La fréquence à laquelle l’hôpital effectue une copie de sauvegarde complète des données dans un lieu sûr est définie dans le concept de back-up. À ce sujet, Lucas Schult conseille de ne pas conserver uniquement la dernière version de sauvegarde, mais plusieurs versions. De fait, les hackers naviguent parfois depuis un moment dans le système informatique et attendent quelques semaines avant de commencer à manipuler les données afin de se familiariser au préalable avec les processus internes. Auquel cas, le logiciel malveillant peut déjà avoir contaminé la dernière sauvegarde – les fichiers sont par conséquent infectés. Et les médecins n’ont alors d’autre choix que de faire appel au «docteur» de l’ordinateur.

Références