En mars dernier, tout comme avec ce deuxième confinement, les entreprises se sont vues contraintes de modifier leurs habitudes de travail du jour au lendemain, basculant en urgence dans le télétravail. Du fait de son ampleur exceptionnelle et des contraintes humaines et technologiques qu’elle a imposées, la crise sanitaire a accéléré l’adoption au pied levé d’outils numériques par les entreprises et services publics afin de permettre la continuité des activités et des flux financiers.
Cette numérisation parfois « forcée » a soulevé un certain nombre d’enjeux sécuritaires, les systèmes d’information des entreprises ayant été fragilisés par le confinement et le travail à distance. Une aubaine pour les cybercriminels qui ont profité de cette période de confusion pour multiplier les attaques informatiques. Une récente étude de Malwarebytes[1] précise notamment que 24 % des entreprises interrogées ont dû supporter des frais imprévus pour faire face à des incidents de cybersécurité.
Cette situation n’est malheureusement pas nouvelle. Les périodes de crise ou liées à des catastrophes naturelles sont généralement propices à la prolifération de cyberattaques. Déjà en 2005, les hackeurs avaient profité de l’émotion suscitée par l’ouragan Katrina pour extorquer de l’argent en envoyant des e-mails appelant à la générosité, en créant de fausses cagnottes ou en multipliant les sites frauduleux.
Du fait de sa dimension internationale, la pandémie actuelle a cristallisé les ambitions des cybercriminels du monde entier qui n’ont montré aucun signe de trêve et n’ont pas hésité à s’en prendre aussi bien au grand public qu’aux entreprises et organisations. D’un côté, la plateforme Cybermalveillance.gouv a enregistré une augmentation de 400 % des tentatives de phishing, les hackeurs jouant notamment sur le sentiment d’urgence pour arriver à leurs fins. De l’autre, de nombreuses entreprises, qu’il s’agisse de grands groupes ou de PME, ont été victimes de ransomware, une attaque particulièrement prisée pour son efficacité et pouvant entraîner la paralysie totale de l’activité de la société.
Le secteur de la santé au premier plan
Parmi les plus touchés, le secteur de la santé dans son ensemble n’a pas été épargné, et ce à plusieurs égards. Si les professionnels de santé se démènent chaque jour pour sauver des vies et accompagner les malades, les hackeurs tendent à profiter de ce chaos pour exploiter certaines failles de sécurité.
Le 16 juillet dernier, les gouvernements américains et britanniques ont révélé avoir identifié des attaques de cyber espionnage visant des institutions travaillant sur un vaccin contre la Covid-19. Et si le spécialiste de la téléconsultation Doctolib a été victime d’un vol de données et l’assureur MMA a vu son site Internet paralysé pendant plus de dix jours, les établissements de santé ont également été particulièrement touchés.
A titre d’exemple, l’hôpital universitaire de Brno, le second plus grand centre de soins de République Tchèque et lieu de tests du coronavirus, a dû faire face à une cyberattaque l’obligeant à reporter les interventions chirurgicales et à rediriger les nouveaux patients dans un autre hôpital. En France, dès la fin du mois de mars et alors même que les établissements de santé étaient saturés, l’assistance publique – Hôpitaux de Paris a été victime d’une attaque par déni de service (DDoS) contraignant l’AP-HP à couper pendant une heure l’accès aux mails et outils à distance pour ses salariés en télétravail. Cette attaque, entièrement gérée en interne par les équipes de l’hôpital public, n’a heureusement pas eu de répercussions sur la qualité des soins et le fonctionnement des hôpitaux français à ce jour, contrairement à la clinique universitaire de Düsseldorf qui a été victime d’un ransomware en septembre dernier, causant indirectement au moins un décès.
Mais nos établissements de santé disposent-ils aujourd’hui des moyens nécessaires pour faire face à la multiplication des cyber attaques ? La réponse est clairement « non ».
L’urgence de permettre au secteur de la santé de développer des politiques de sécurité efficaces
La crise sanitaire a mis en lumière l’importance stratégique que revêtent nos hôpitaux et cliniques, une importance qui n’a pas échappé aux cybercriminels. Depuis mars dernier, plusieurs établissements de santé ont fait appel à nos services à la suite d’une paralysie des activités due à des ransomware.
Une conséquence logique car la plupart d’entre eux sont équipés de systèmes vétustes et manquent de moyens et de ressources pour sécuriser efficacement leur système d’information. Outre des entreprises spécialisées dans la cybersécurité, ils peuvent également se tourner vers l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les aider à se prémunir face aux nombreuses menaces informatiques actuelles.
Cependant, ce manque de ressources humaines et financières apparaît comme un non-sens, les établissements de santé étant considérés comme des Opérateurs d’Importance Vitale (OIV) du fait de leurs activités essentielles à la Nation. Le rôle tenu par l’Etat devrait être renforcé afin de leur permettre de mettre en place des politiques de sécurité optimales.
Cela passe notamment par une évaluation fine des risques, un audit de sécurité, une mise à jour des équipements, serveurs et systèmes applicatifs, mais aussi par une meilleure sensibilisation de l’ensemble du personnel aux enjeux de sécurité.
Réagir dans l’urgence d’une crise n’est jamais bon. Si ces périodes font le jeu des cybercriminels, il est crucial que l’ensemble des entreprises, organisations et pouvoirs publics mettent dès à présent tout en œuvre pour se protéger et protéger les clients et consommateurs, à l’heure où une numérisation massive des métiers, process et modes de travail est actuellement en cours.
Par Anthony Baube, Senior Security Consultant and Trainer chez Sysdream, division cybersécurité de Hub One
[1] Etude « Enduring from Home : COVID-19’s Impact on Business Security »