Le vendredi 15 novembre 2019, le centre hospitalier universitaire (CHU) de Rouen a été la cible d’une importante attaque de son système informatique ayant fortement perturbé son fonctionnement pendant plusieurs jours. La médiatisation de cet évènement ayant touché un grand établissement de santé régional relance la question de la menace qui pèse sur les systèmes informatiques dans le secteur de la santé.
Retour sur l’attaque informatique du CHU de Rouen
Le 15 novembre dernier vers 19 heures, l’activité du centre hospitalier normand est ralentie voire paralysée par un virus qui bloque l’accès à la plupart des applications métiers et qui a consisté en un chiffrement de fichiers situés sur des postes de travail et des serveurs, rapporte l’établissement sur son propre site web.
La Direction du Système d’Information (DSI) du CHU a immédiatement réagi pour empêcher la propagation du virus, entré sur les postes allumés au moment de l’attaque. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a envoyé sur place quelques heures plus tard des agents pour assister les équipes du CHU. Pendant ce temps et durant le week-end qui a suivi, de nombreux services, notamment celui de réanimation, ont été contraints de fonctionner en mode dégradé et le personnel a dû adapter sa gestion des blocs, des pharmacies, des modes de traitement des prescriptions, des comptes rendus et des admissions et suivis d’arrivée aux urgences, informatisés en temps normal, en utilisant le téléphone ou par transmissions papier. Sur son site, l’établissement se veut rassurant. Dans sa communication sur l’évènement en date du 19 novembre, il est mentionné que les patients sont repris en charge de façon quasiment normale et que le suivi des patients n’a pas été directement impacté. De plus, ce dernier assure qu’aucune fuite de données personnelles ou médicales n’était à signaler d’après les premières enquêtes.
Le centre hospitalier Charles Nicolle aurait été frappé par un virus de type rançongiciel (ou « ransomware »), c’est-à-dire un virus paralysant les systèmes informatiques par l’infiltration dans les systèmes de traitement automatisé de données (STAD), le codage des fichiers dans le but de les rendre inutilisables par la victime ou ses services et la demande d’une rançon pour procéder au déverrouillage des fichiers via l’achat de la clé de déchiffrement en bitcoins (la transaction se retrouvant ainsi impossible à annuler une fois payée). D’après 76actu, la rançon exigée s’élevait à 40 bitcoins, soit environ 300 000 euros et des adresses e-mail hébergées en Russie auraient été utilisées pour être contacté dans le message de chantage affiché sur les postes infectés. Par ailleurs, la rédaction évoque le fait que le service communication du CHU a fait savoir que celui-ci n’avait jamais eu l’intention de payer la rançon, s’en remettant plutôt aux tentatives de déverrouillage de son personnel informatique soutenu par les agents de l’ANSSI.
La section spécialisée du parquet de Paris, qui est compétent en matière de cybercriminalité au niveau national, a ouvert le 18 novembre 2019 une enquête suite à la plainte contre X portée par le CHU, pour des faits de piratage visant un système informatique de l’Etat en bande organisée, ainsi que pour extorsion et tentative d’extorsion en bande organisée. L’enquête a été confiée à l’unité spécialisée en cybercriminalité de la police nationale, c’est-à-dire l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) et au service régional de la police judiciaire (SRPJ) de Rouen.
Selon les résultats des investigations de l’ANSSI figurant dans son rapport d’expertise publié le 22 novembre, cette cyberattaque est d’origine criminelle et serait le fait d’un groupe de hackers baptisé TA505 opérant depuis 2014 et qui aurait également tenté d’infiltrer d’autres hôpitaux français dans le cadre d’une campagne d’hameçonnage de large ampleur. L’agence rapporte que le mode opératoire serait récurrent de ce groupe de cybercriminels qui cible via l’utilisation du ransomware des infrastructures de distribution, de finance, d’énergie, d’aviation, d’institutions gouvernementales et de santé. Ce groupe aurait plus précisément utilisé ici le rançongiciel « Clop » qui consiste à crypter les fichiers en leur ajoutant l’extension « .clop ».
La menace cybercriminelle pesant sur le secteur de la santé
Le CHU de Rouen n’est pas le premier, ni en France, ni en Europe, ni même dans le monde à subir une attaque sous forme de rançongiciel, justifiant d’autant plus l’inquiétude des autorités spécialisées. En effet, l’épisode du rançongiciel Wanna Cry, logiciel malveillant qui exploitait une faille de sécurité des plus anciens systèmes d’exploitation Microsoft en retard dans leurs mises à jour de sécurité, avait très lourdement touché notamment le secteur de la santé à partir de mai 2017 dans 150 pays du monde, dont nos voisins d’Outre-Manche. Certains établissements de santé au Royaume-Uni avaient ainsi par exemple été contraints pour des raisons de sécurité de refuser des patients. En France, l’hôpital d’Issoire (Puy-de-Dôme) a aussi été atteint par une infection, de moindre ampleur car vite circonscrite, par ce rançongiciel. Dernièrement, au mois d’août 2019, ce sont les 120 établissements du groupe numéro un de l’hospitalisation privée français, Ramsay-Générale de Santé, qui subissaient également une attaque par rançongiciel ayant touché la messagerie et certaines autres applications métiers.
Les établissements de santé constituent en effet des cibles privilégiées, comme le relève le quotidien Le Monde dans un article paru le 18 novembre dernier, en ce qu’elles réunissent un triple facteur de risque : un manque de moyens consacrés parfois à la sécurité informatique, la manipulation de données des plus précieuses qui permettent aux cybercriminels d’exiger un prix très élevé pour leur récupération, et la concentration de nombreux appareils médicaux, de plus en plus connectés sans forcément être de plus en plus sécurisés. Afin d’amoindrir les risques, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) préconise dans son projet de recommandations du 19 juillet 2019 le « security by design », c’est-à-dire la prise en compte de la cybersécurité dès la conception des dispositifs médicaux.
En outre, Kaspersky Lab., spécialisé en cybersécurité, avait en 2017, au moment de la présentation de ses prévisions annuelles en matière de sécurité informatique, identifié une menace de recrudescence en 2018 des attaques sur les équipements médicaux liée à la toujours plus grande informatisation du secteur et utilisation d’objets connectés de santé (sur l’e-santé et l’implication des GAFAM dans le secteur, voir : Baldini L., « L’évolution de la santé connectée et l’impact des GAFAM sur l’e-santé suite au scandale Nightingale », 6 décembre 2019). Il annonce que le secteur médical sera de plus en plus menacé, notamment par des cyberattaques visant les données de santé qui ont une grande valeur sur le darknet, et qu’il faudra dès lors porter attention aux transferts de données, parfois non sécurisés, via des objets connectés utilisés par les professionnels de santé (sont donnés à titre d’exemple les pacemakers et pompes à insuline) et entre établissements ou praticiens. Il faut préciser que le RGPD adopte une conception élargie de la notion de donnée de santé qui comprend l’information en lien direct avec une pathologie mais aussi tout l’environnement lié à la prestation de santé.
Néanmoins, les attaques des systèmes informatiques de santé en France restent relativement rares malgré l’importance de la menace et la hausse constatée des cyberattaques visant les établissements hospitaliers publics ou privés, ceci grâce au travail des « cyberpompiers » de l’Etat (les agents de l’ANSSI) et le règlement général sur la protection des données (RGPD) n’y est peut-être pas pour rien non plus. Entré en vigueur le 25 mai 2018, il responsabilise en effet les responsables de traitement en ayant supprimé les formalités préalables de déclaration de la création d’un fichier auprès de la CNIL (Commission nationale de l’informatique et des libertés), ce qui oblige donc la direction des établissements traitant des données, notamment sensibles (ce qui est le cas des données de santé), de se doter d’un système informatique plus protégé et protecteur. Il faut noter par ailleurs que les structures de santé ont l’obligation depuis le 1er octobre 2017 de déclarer sans délai leurs incidents de sécurité informatique graves par le biais d’un portail dédié, à destination de l’Agence régionale de santé (ARS) compétente, et qu’une cellule d’accompagnement cybersécurité des structures de santé a été mise en place. De surcroît, le ministère des Solidarités et de la Santé a lancé, le jeudi 28 novembre dernier, une campagne nationale d’information et de mobilisation sur la cybersécurité en santé, ce qui montre la pleine conscience de la situation au plus haut niveau de l’Etat.
Sources :
Quéméner (M.), « Cyberattaques et santé publique : l’hôpital de Rouen cible d’un rançongiciel », Dalloz IP/IT, n°12, décembre 2019, p. 648
Galtier (C.), « Attaque informatique du CHU de Rouen : que sait-on de l’enquête, quinze jours après ? », Le Figaro, rubrique Tech & web, 29 novembre 2019 : www.lefigaro.fr
Untersinger (M.), « Attaque informatique au CHU de Rouen : une enquête ouverte », Le Monde, publié le 18 novembre 2019, mis à jour le 25 novembre 2019 : www.lemonde.fr
« Une rançon après la cyberattaque au CHU de Rouen ? Ce que réclament les pirates », 76actu, 19 novembre 2019 : https://actu.fr
Ministère des Solidarités et de la Santé, « La sécurité numérique, socle de la Transformation numérique en santé », Dossier d’information, Campagne nationale d’information sur la cybersécurité en santé, 28 novembre 2019 : https://esante.gouv.fr
ANSM, « L’ANSM lance une consultation publique sur un projet de recommandations pour la cybersécurité des dispositifs médicaux – Point d’information », 19 juillet 2019 : www.ansm.sante.fr
TIC Santé, « Sécurité informatique : Kaspersky Lab présente ses prévisions pour le secteur de la santé », rubrique E-santé, 28 novembre 2017 : www.ticsante.com
CHU Rouen Normandie, « Le point sur l’attaque informatique du 15 novembre 2019 » : www.chu-rouen.fr