Un « état de la menace informatique » sur le secteur de la santé a été publié jeudi par l’Anssi, le gardien de la sécurité informatique française.
Il en ressort qu’entre 2022 et 2023, trente hôpitaux français ont fait l’objet d’une cyberattaque par rançongiciel.
Trente. C’est le nombre d’hôpitaux attaqués virtuellement par rançongiciel (chiffrage des données les rendant inutilisables) en France en deux ans, selon un « état de la menace informatique » sur le secteur de la santé publié jeudi par l’Anssi, le gardien de la sécurité informatique française. « En 2022 et 2023, l’Anssi a été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé », qui « représentent 10% des incidents liés à des rançongiciels signalés à l’Anssi sur cette période », détaille la note.
Le directeur général de l’Anssi Vincent Strubel a estimé auprès de l’AFP que les hôpitaux aujourd’hui parvenaient mieux à maitriser les conséquences de ces attaques. « Ce qu’on observe aujourd’hui, ce sont des hôpitaux qui réagissent vite et bien aux attaques et parviennent à empêcher la propagation d’une attaque à l’ensemble de l’informatique d’un hôpital », a-t-il indiqué. Les attaques « entraînent des gênes significatives pour le fonctionnement » des établissements « pendant quelques semaines », mais « on ne voit plus (…) de paralysie quasi complète de l’informatique », nécessitant « des mois » de travail pour rétablir un fonctionnement normal, explique-t-il.
Deux hôpitaux attaqués en 2024
Pour autant, « les attaques continuent à engendrer de la gêne, il y a des vols de données, donc on ne peut pas se contenter » de la situation actuelle et il faut poursuivre les efforts pour améliorer la défense des hôpitaux, a-t-il estimé.
Pour rappel, en 2022, l’attaque contre le centre hospitalier sud-francilien à Corbeil-Essonnes avait notamment entrainé le transfert de nouveaux-nés du service de néonatologie dans un autre hôpital, et la paralysie d’automates d’analyse biologique. Onze giga-octets de données avaient été volées simultanément, puis été publiées en ligne par les pirates. À noter toutefois qu’en 2024, deux hôpitaux ont été encore été victimes de cyberattaques significatives, à savoir l’hôpital d’Armentières, en février 2024, et l’hôpital de Cannes, en avril 2024.
Dans sa note, l’Anssi mentionne d’autres risques cyber pesant sur le secteur de la santé, et en particulier le risque lié aux dispositifs médicaux connectés. L’institution appelle ainsi qu’en septembre 2022, la société Medtronic « a rapporté une vulnérabilité affectant ses pompes à insuline », pouvant notamment « permettre à un attaquant d’avoir un accès non autorisé à une pompe à insuline, et d’augmenter ou de baisser le dosage d’insuline administré ».
