Depuis le début de la crise du Covid, on observe une recrudescence des cyberattaques contre des hôpitaux. Pourquoi ces établissements sont-ils spécialement pris pour cible par les hackers ? Entretien avec Jean-Marc Bourguignon de l'ONG Nothing to hide.

Photo de l'entrée de l'hôpital de Dax (Landes) prise le 10 février 2021.
Photo de l'entrée de l'hôpital de Dax (Landes) prise le 10 février 2021. © AFP / GAIZKA IROZ / AFP

Après l'Assistance Publique Hôpitaux de Paris le 22 mars 2020 et l'hôpital de Dax (Landes) le 9 février dernier, c'est au tour de ceux de Villefranche-sur-Saône, Tarare et Trévoux (Auvergne-Rhône-Alpes) d'être victimes d'une cyberattaque ce mardi 16 février. 

Depuis près d'un an et le début de la crise du Covid-19, les hôpitaux semblent bien être devenus des cibles privilégiées pour les hackers. Pourquoi ? Réponse de Jean-Marc Bourguignon, co-fondateur et responsable technique de l'ONG Nothing to hide qui aide les journalistes, avocats, militants des droits de l’Homme et simples citoyens à protéger leurs données.

FRANCE INTER : Quelles sont les motivations de ces attaques ?

JEAN-MARC BOURGUIGNON : "Ce sont quasiment toujours les mêmes, à savoir des motivations évidemment économiques. La grande majorité des cyberattaques consiste à paralyser un système, pour ensuite demander une rançon. Le cas de figure le plus classique, c'est l'envoi par mail d'une pièce jointe, un PDF infecté. Quand la cible clique sur la pièce-jointe pour lire le document, le virus qu'il contient va  chiffrer les documents de l'ordinateur pour les rendre inaccessibles à l'utilisateur. C'est ce qu'on appelle des 'ransomware', des rançongiciels. Si le virus peut se répliquer, il va se répandre sur d'autres ordinateurs avec lesquels celui de la cible est en contact. Pour retrouver l'accès aux documents, il va ensuite falloir envoyer une somme en Bitcoin ou via un compte PayPal par exemple. Éventuellement, les hackers peuvent aussi revendre certaines données, ou les dossier médicaux en les commercialisant sur des forums spécialisés dans le réseau Tor (Ndlr : réseau qui permet une navigation anonyme sur Internet). Il y a un marché pour tout en fait."

Pourquoi ces attaques se multiplient-elles depuis un an ? 

"Notamment à cause du recours massif au télétravail depuis le début de la crise du coronavirus. Beaucoup de salariés de ces hôpitaux, qui travaillent d'habitude dans les bureaux, sont aujourd'hui chez eux. Il est donc beaucoup plus compliqué, pour les établissements, de sécuriser leurs outils. Il s'agit d'institutions qui comptent parfois jusqu'à 500 000 salariés, avec autant de postes informatiques et autant de possibles mauvais comportements. Il y aussi un manque de formation du personnel sur les questions de sécurité informatique et de protection des données. Et dans les hôpitaux que j'ai pu visiter, j'ai souvent constaté que le matériel était obsolète, avec des systèmes d'exploitation Windows 7 par exemple. Donc évidemment, il est beaucoup plus facile d'infecter ce genre d'installation que des systèmes plus récents et plus robustes." 

Comment faire pour que ces attaques ne se reproduisent pas ?

"Il y a un gros gros défi à ce niveau là dans le secteur public. Il y a un très important besoin de formation. Il y a aussi un gros besoin de renouveler le parc informatique dans certains hôpitaux." 

Sait-on qui est derrière ces attaques ? 

"Même les entreprises de sécurité informatique dont c'est le métier de travailler 'post-incident', c'est-à-dire d'enquêter sur ce qui s'est passé, ont toujours du mal à attribuer de façon sûre une attaque à un groupe précis. Il y a bien des groupes connus qui mènent ce type de cyberattaques, certains sont même rattachés à des États. Mais ils laissent très peu de traces et l'attribution d'une attaque est donc très complexe à faire."